Non siamo “smanettoni”

Quante volte vi siete sentiti chiamare “smanettone”?

Tu che sei uno smanettone, mi metti a posto la TV?

Tu che sei uno smanettone mi metti a posto lo smartphone?

Ma voi smanettoni avete anche interessi normali?

Non c’è qualche tuo amico smanettone che mi può fare il sito web?

Leggi tutto “Non siamo “smanettoni””

Le email ai tempi del ransomware

Credo che oramai più o meno tutti gli utenti un minimo esperti abbiano capito cosa è un ransomware e anche che non si clicca mai su link o files allegati a email che contengono informazioni inesatte (numeri di partita iva errati, codici cliente errati, ecc) o incomplete (nessuna indicazione del nome dell’azienda o della persona a cui è destinata la mail, per esempio, ma un semplice “Spett.le utente@dominio.tld, ecco la sua fattura in allegato”).

Leggi tutto “Le email ai tempi del ransomware”

Installare Linux su un Dell M4800

Il Dell M4800 è un portatile “carrozzato”, adatto ad un uso gravoso. Viene venduto, volendo, con Ubuntu preinstallato. Questo mi faceva sperare che non ci fossero problemi con Linux, ma ho dovuto ricredermi.

Ho installato Linux Mint 17.1 con Cinnamon. (Ottimo desktop manager, secondo me, molto più usabile di Gnome 3 e di Unity)

Ma vediamo cosa non va e come risolverlo:

Leggi tutto “Installare Linux su un Dell M4800”

Finte email per le fatture del telepass

Ricevo oggi una finta email di avviso di emissione di una fattura del Telepass. La mail è del tutto identica a quella vera, l’unica differenza  è che in allegato vi è un malware (Zbot), mentre in quella vera non vi è alcun allegato, in quanto le fatture devono essere scaricate dal sito www.telepass.it.

Il malware ad oggi viene riconosciuto da 16 antivirus su 56 (dice Virustotal), fra i quali Kaspersky e NOD32.

Non viene riconosciuto da Microsoft, ne’ da nessuno dei vari antivirus gratuiti.

Synolocker

Il famoso ransomware CrysynolockerptoLocker e` stato, a quanto pare, adattato per poter girare direttamente dentro ai NAS Synology. Al momento non so in quale modo viene portato l’attacco, ovvero in che modo il malware si installi nel NAS, ma mi sembra ovvio che sia opportuno prendere in considerazione le classiche misure di sicurezza, soprattutto fino a che non sara` fatta piu` luce sul problema.

 

 

  1. Se possibile, staccare totalmente il NAS da internet
  2. Se non e` possibile, esporre solo le porte veramente necessarie. Ad esempio esporre la porta del file manager ma non quella dell’amministrazione
  3. Esporre se possibile il NAS usando porte non standard (riduce il rischio di essere oggetto di un attacco casuale)
  4. Assicurarsi che il NAS non sfrutti UPNP per aprire delle porte sul router all’insaputa dell’utente
  5. Impostare password complesse e lunghe
  6. Aggiornare il firmware del NAS
  7. Tenere un backup offline dei files.

 

Visto che ancora non si sa come il malware penetri nel NAS, puo` essere che la via di infezione sia a mezzo di un altro malware che gira su un PC Windows nella LAN del NAS, in questo caso le precauzioni relative all’accesso via internet sarebbero inutili, ma e` comunque meglio prenderle in considerazione tutte. E` altrettanto logico che un PC infetto sul quale sia stata salvata (o anche solo digitata) la password di amministrazione e` un vettore di attacco contro il quale non c’e` soluzione, se non spegnere il NAS. 🙂

Aggiornamento: Cercando notizie in giro ho scoperto che da parecchio tempo (diversi mesi, pare) e` in giro un malware che infetta i NAS Synology e che mina bitcoin, senza fare altri danni. A parte che trovo assurdo minare bitcoin con le CPU ridicole che si trovano nei NAS, questo nuovo malware potrebbe evidentemente avere ereditato le capacita` di attacco dal vecchio bitcoin miner.

 

 

L’insostenibile difficoltà di mandare una mail (2)

Ho preso da poco un cliente che fra i mille problemi che ha mi dice che spesso non riesce a inviare email.

Mi sono fatto mandare i dettagli dell’errore, e ho scoperto che il server email del suo fornitore (un emerito sconosciuto che gli fornisce la mail e l’hosting web) gli rifiuta le mail  senza alcuna indicazione utile nel messaggio di errore (550) del protocollo SMTP.

Avevo il dubbio che per qualche motivo il client non si autenticasse, cosi` ho tirato fuori uno sniffer e ho verificato. Il client si autenticava correttamente, ma quando tentava di mandare la mail veniva rifiutato.

La cosa che mi lasciava perplesso era che aveva smesso di funzionare all’improvviso e apparentemente senza motivo. Il fatto che poi non vi fosse alcuna indicazione del perche` la mail venisse rifiutata aiutava ancora meno.

Per curiosita` provo (a mano, in telnet) dal mio ufficio e vedo che la mail viene accettata senza problemi.

Mi viene un dubbio atroce.

Controllo le blacklist piu` note, e scopro che l’ ip della ADSL del cliente e` in effetti in blacklist. Siccome il cliente ha ip dinamico, tento di cambiarlo disconnettendo e riconnettendo il router. Riuscito ad ottenere un ip diverso, riesco a mandare mail senza problemi.

Ora tutto e` chiaro. Il provider commette un errore madornale: controlla se l’ ip del mittente e` in blacklist anche se questo si e` autenticato. E` logico che se tutti i mail server si comportassero cosi`, nessun utente potrebbe inviare email dalla propria ADSL con ip dinamico, o da ip condivisi come quelli dietro un NAT (vedi Fastweb, H3G, ecc.).

Resomi conto di quale fosse il problema, ho provato a chiamare il provider in questione per spiegargli il problema del cliente, dapprima in modo soft e facendo finta di essere un utente normale, e poi spiegando chiaramente e in modo tecnico quale fosse il problema e quale fosse la soluzione.

La risposta del provider e` stata che “va bene cosi`” e che loro non vogliono che i clienti possano mandare spam.

Il provider ha perso un cliente.  Speriamo che presto li perda tutti.

 

L’insostenibile difficoltà di mandare una mail

round-hole-square-pegSe pensate che impostare un client di email per inviare tramite SMTP autenticato sia facile e lineare, non avete mai cercato di fare parlare assieme Apple Mail e Plesk.

Apple Mail e` il client di email installato di default sui Mac. Plesk e` un sistema (composto di varie parti, alcune delle quali open source) che serve a fornire servizio di hosting (web, email, dns, ecc) in maniera semplice e soprattutto in modo da renderlo facilmente gestibile dal cliente.

Leggi tutto “L’insostenibile difficoltà di mandare una mail”

Il riciclaggio infinito

server room disasterQualche giorno addietro vi avevo parlato della Cascata dei catorci, oggi voglio stupirvi con un esempio ancora piu` demente di cattiva gestione aziendale, ovvero il “riciclaggio infinito” (dei catorci, ovviamente).

Quando un PC e` troppo vecchio oppure e` guasto viene necessariamente dismesso. Se l’azienda (mal gestita) ha ancora i soldi per comperare un PC nuovo al titolare  si mette in moto la cascata dei catorci. Ma se l’azienda e` veramente in ristrettezze economiche, o se il capo ha cambiato PC giusto la settimana scorsa e non ha senso che ne comperi uno nuovo anche oggi, che succede?

In una azienda gestita decentemente si comprerebbe un nuovo PC adeguato al lavoro richiesto, ne` sovradimensionato ne` sottodimensionato, e si butterebbe in discarica il vecchio PC rotto.

In una azienda disfunzionale invece il capo entra in sala macchine, la quale incidentalmente e` anche adibita a discarica dei vecchi PC guasti o non piu` adeguati (l’ho detto che e` una azienda disfunzionale, vero?), e vedendo che ci sono cataste di vecchi PC ammucchiati contro il muro, chiede al sistemista una cosa che a lui sembra assolutamente naturale:

Leggi tutto “Il riciclaggio infinito”

La cascata dei catorci

Computer-TrashOggi voglio parlarvi di una pratica aberrante, che io definisco “la cascata dei catorci”.

Quando un computer di qualche impiegato si rompe o e` troppo lento per le sue necessita`, anziche` comperare un computer nuovo all’impiegato in oggetto  l’azienda comprera` un computer nuovo per il titolare, quindi dara` l’ ex-pc del titolare alla persona subito sotto di lui, l’ ex-pc di questa persona alla persona subito sotto di lui, e cosi` via, fino ad arrivare a sostituire il pc troppo lento in oggetto.

In pratica il PC nuovo viene inserito al vertice dell’organigramma, e tutti i vecchi PC piu` in basso cadono, a cascata, verso il gradino piu` basso dell’organigramma stesso. Leggi tutto “La cascata dei catorci”

La prima legge di Kurgan (o anche “Del contrappasso”)

“Quanto piu` un cliente snobba le piu` elementari misure di protezione (backup, raid, ups) tanto meno avra` incidenti disastrosi”

Corollario:

“Chi applica  misure di protezione multiple e ridondanti subira` incidenti talmente disastrosi da mettere a dura prova tutte queste misure di protezione”

 

Ma vediamo un paio di esempi significativi…

Leggi tutto “La prima legge di Kurgan (o anche “Del contrappasso”)”

Beata incoscienza

C’era una volta, molti anni fa, un me stesso decisamente piu` incosciente del me stesso di oggi. Vi raccontero` una avventura (da sistemista) di quel me stesso.

Erano i tempi di Windows NT4, e c’era un cliente che aveva un server Compaq con un disco SCSI connesso a un controller SCSI non RAID. Questo cliente aveva deciso che voleva installare un controller RAID e 3 dischi (due nuovi piu` quello che gia` aveva) per metterli in RAID5.

Aveva quindi comperato il controller e due dischi, e aveva chiesto all’azienda per la quale lavoravo di installarlo. Io avevo suggerito di installare 3 dischi nuovi e tenere per sicurezza i dati sul  disco vecchio, ma chiaramente mi e` stato detto che non se ne parlava nemmeno: comperare 3 dischi nuovi al posto di 2 era un costo che non volevano pagare.

Ed e` cosi` che, con due ore di tempo massimo di fermo del server, e senza alcun backup (perche` il cliente ovviamente non l’aveva, e non aveva ne` intenzione ne` modo di farne uno al volo), ho tentato l’impresa.

Ho installato su NT4 il driver del controller RAID, alla cieca, confidando che al riavvio avrebbe visto il controller. Poi ho spento la macchina, riavviato con un dischetto con il Norton Ghost, fatta una immagine ghost del disco originale su un altro computer in rete (una sola, perche` non avevo il tempo per farne due e nemmeno per fare un check che l’immagine fosse a posto), smontato il controller non RAID, installato il controller RAID e altri due dischi, creato un RAID5 con i 3 dischi (perdendo tutti i dati dal disco originale), riavviato il Ghost, fatto il restore dell’immagine (con resize automatico alla nuova dimensione) sul nuovo RAID5, e riavviato Windows NT4, pregando che vedesse il controller RAID e non andasse in bomba blu.

Grazie a una serie incredibile di miracoli (nessun errore nell’immagine Ghost, il dischetto DOS del Ghost che vede il controller RAID senza problemi come un unico disco a livello di BIOS, Windows NT che riesce a fare il boot sul nuovo controller senza inceppamenti) questa storia ha avuto un lieto fine.

Se mi avessero chiesto oggi di fare un lavoro del genere in due ore senza backup, e tutto per non pagare il prezzo di un disco nuovo in piu`, gli avrei riso in faccia.

Ci vuole una laurea

 

Ogni tanto, ma comunque sempre troppo spesso, mi capita di dover installare un nuovo PC con Windows (non importa quale versione) da un cliente. Come piu` o meno tutti, ho un mio schema di “cose che servono sempre”; di programmi che ha senso installare su qualsiasi PC da ufficio. A parte quelli specifici per il lavoro del cliente, infatti, senso installare qualche utility, come ad esempio un software di masterizzazione CD e DVD che sia meno “basico” della funzionalita` inclusa in Windows, un software per visualizzare i PDF, un browser che non sia Explorer, un client di posta che non sia Outlook Express o Windows Mail o come si chiama oggi, una stampante virtuale che crei i PDF dalle stampe, magari un player multimediale che funzioni e non sia uno spyware, eccetera.

Chiaramente ho in testa una mia lista (Infrarecorder, VLC, Firefox, Thunderbird, CutePDF writer, ecc) e cosi` mi metto a installare tutto quanto.

Il problema e` che per installare tutto questo senza installare anche una decina di spyware allegati occorre una preparazione specifica.

Leggi tutto “Ci vuole una laurea”

La sicurezza dei gestionali nel 2013

fail-owned-fence-security-failOggi sto lavorando all’installazione di un gestionale che gira su Linux. Il software in questione gestisce le paghe dei dipendenti, fra le altre cose. Usandolo tramite la sua interfaccia client (che parla con un servizio di qualche tipo sul server) richiede ovviamente uno username e una password (lunga almeno 8 caratteri) per identificare gli utenti che accedono.

Purtroppo pero`, su specifiche precise del fornitore del software, e` richiesto che sul server sia installato FTP e anche telnet, e che ci sia un unico utente “di gestione” che puo` accedere via FTP e telnet per poter leggere o modificare arbitrariamente  ogni file di dati e di programma del gestionale. Ssh, invece, non e` richiesto.

Infine, per essere assolutamente sicuri che anche un utente inesperto e privo di cattive intenzioni possa comunque fare il massimo danno anche involontariamente  e`  inoltre necessario che la directory di installazione del gestionale (che contiene programmi e dati) sia accessibile da uno share SMB, ovviamente configurato con permessi 777 per tutti gli utenti.

Che dire?

I nastri usati delle etichettatrici

password_dymoEro da un cliente a installare un nuovo router, e quando ho finito ho preso la buona vecchia etichettatrice a trasferimento termico e ho scritto un paio di etichette: una con l’indirizzo IP pubblico del router, e subito dopo una con la password, quest’ultima da attaccare in un posto non cosi` evidente sul router. Prima che mi diciate che non sono abbastanza paranoico, sappiate che lo sono perfettamente: so che se non lascio la password in un posto raggiungibile questa verra` persa, e il danno sara` maggiore dell’eventuale danno che puo` essere causato dalla possibilita` che qualcuno la legga, visto dove si trova fisicamente il router.

Insomma, stampo le mie etichette, e quando le tiro fuori dalla etichettatrice queste, a causa di un problema di caricamento del nastro, si portano dietro anche il nastro di inchiostro che viene usato per stamparle, appiccicato all’etichetta stessa. Quello che vedete nella foto e`, appunto, il nastro dell’inchiostro, dove sono perfettamente leggibili gli indirizzi ip e le password.Non e` che prima di ieri io non sapessi come funzionano le stampanti di etichette, ma vederlo davanti al mio naso me l’ha ricordato in maniera molto incisiva.

La prossima volta che butterete via il vecchio nastro dell’etichettatrice, fermatevi un momento a pensare.

Abilita` perdute: La capacita` di diagnosi

Da qualche giorno riflettevo su una capacita` fondamentale nel mio lavoro di sistemista: la capacita` di capire che cosa e` rotto e come. Per poter risolvere un problema la prima cosa da fare e` individuarlo con precisione, ma apparentemente la capacita` di farlo e` una abilita` perduta nei giovani sistemisti (e nei giovani in generale).

Fin da quando ho iniziato a lavorare (e anche prima, quando cazzeggiavo soltanto) ho sempre cercato di approcciare i problemi tecnici con metodo e con attenzione, chiedendomi “come posso arrivare a capire cosa c’e` che non va?”. A dire il vero quando avevo meno di 20 anni (25 anni fa) alcune volte riuscivo a stupirmi da solo perche` riuscivo a individuare il problema praticamente al primo sguardo.

Andando avanti con gli anni ho perso un poco di “magia” ma ho acquisito tanta tecnica nell’identificare la causa del malfunzionamento di qualcosa. Del resto nel mio lavoro ci sono tanti strumenti adatti a fare analisi dei problemi. I log, il debugger, lo sniffer di rete, il tester per i cavi CAT5… E non solo: spesso possiamo provare a sostituire parti di un sistema per vedere se il problema e` legato a quella specifica parte: possiamo facilmente cambiare la porta dello switch, cambiare un cavo, cambiare una NIC, eccetera.

E visto che gli strumenti ci sono, mi chiedo come mai apparentemente quasi nessuno dei miei giovani (25 anni piu` o meno) colleghi sistemisti si sforzi di usarli. Le tecniche di risoluzione dei problemi che vedo applicate dai sistemisti in questione sono fondamentalmente queste:

  • Riprovare per vedere se l’errore si ripresenta
  • Riavviare il demone
  • Modificare a caso qualcosa nella configurazione del demone (o dei demoni) che fornisce il servizio
  • Telefonare a me

Arrivati all’ultimo passo, io rispondo al telefono e dopo che mi hanno spiegato che “X non funziona” chiedo: “Hai guardato i log?” “No.” “Hai provato a sniffare?” “No.” “Hai verificato se il cavo di rete e` a posto?” “No”. “Hai controllato se il disco e` pieno?” “No.””Hai provato a fare un login in pop3 usando il telnet?” “No”. “Ma la risoluzione DNS funziona?” “Non ho provato”.

Scusa se te lo chiedo, ma sto parlando con un sistemista o con un utente?

 

QR Code pericolosi

QRLeggevo qualche giorno addietro che gli spacciatori di malware hanno trovato nuovi modi per attirare gli utenti sui loro server, i quali poi naturalmente cercano di sfruttare le vulnerabilita` note dei browser (o la creduloneria degli utenti) per installare malware sulle macchine (tipicamente smartphone, in questo caso) degli utenti stessi.

I malviventi codificano l’ URL del loro sito in un QR code, ne fanno un adesivo e poi lo appiccicano sopra ai QR code “legittimi” presenti sui manifesti pubbilicitari presenti lungo le strade o sugli autobus o in altri luoghi pubblici. Le persone che vogliono visitare il sito del prodotto pubblicizzato si trovano cosi` nel sito del malvivente.

Anche se non ho ancora avuto notizia di casi di questo tipo in Italia, e` evidente che non ci vuole molto per mettere in atto un piano come questo. Dal momento che il QR code non e` umanamente leggibile, presenta lo stesso rischio che presentano gli URL shortener: quando ti rendi conto che il link e` “anomalo” e` troppo tardi, l’hai gia` visitato.

Il mio consiglio e` di leggere i QR code usando sempre un programma che  vi consente di vedere il contenuto del codice prima di decidere se visitare il link oppure no. Questo almeno fino a che qualcuno non scoprira` una vulnerabilita` nel lettore stesso di QR code, che consenta di attaccare il telefono nel momento in cui il codice viene letto, mediante il contenuto del codice stesso.

Lunga vita ai (lunghi) nastri

 

In un complesso progetto di conservazione di un archivio di dati, 110.000 (centodieci mila) cassette a nastro di diversi tipi e diverse epoche, contenenti 11 Pb di dati derivanti da prospezioni geosismiche sono stati convertiti in circa 8000 cassette a nastro IBM 3592, suppongo usando quelle di massima capacita`: 4 TB per cassetta, in 880 metri di nastro. E incidentalmente per la prima volta sono state fatte due copie (quindi ora c’e` anche un backup) di questi dati. Leggi tutto “Lunga vita ai (lunghi) nastri”

La memoria del fax

Un mio cliente ha comperato ad una qualche asta giudiziaria un lotto di macchine fotocopiatrici/stampanti/fax multifunzione;  noi li stavamo provando per vedere quali fossero ancora funzionanti  e quali fossero piu` morti che vivi.

Attacca, accendi, carica la carta… ancor prima che potessimo provare a dare qualsiasi comando il fax inizia a stampare, e stampa circa una ventina di pagine, quasi tutte contenenti informazioni bancarie, coordinate di conti correnti, ricevute di bonifici da e per l’azienda fallita. Roba da centomila euro a botta.

Immagino che il fax fosse rimasto senza carta negli ultimi giorni di vita, e abbia tenuto in memoria tutti quei dati per alcuni mesi, fino al momento in cui l’abbiamo acceso e dotato di carta.

 

Marketing done wrong

Oggi sono a casa della mia signora, la quale, pur non essendo una nerd come me, non e` proprio a digiuno di tecnologia. Riceve una telefonata da un noto gestore telefonico fisso, del quale lei e` cliente:

Operatore: “Buonasera, sono Marco di PippoPrada, vorrei segnalarle che solo per i nostri clienti piu` affezionati c’e` l’opportunta` di acquistare, in 30 comode rate mensili, pagabili nella bolletta telefonica, un TAGGET“.

La signora, che ha capito benissimo cosa intedeva, non si lascia scappare l’occasione di farsi due risate, e risponde “EH?

Operatore: “… Vorrei segnalarle che solo per i nostri clienti piu` affezionati c’e` l’opportunta` di acquistare, in 30 comode rate mensili, pagabili nella bolletta telefonica, un TAGGET…”

Un cosa?

Operatore: “Signora, un TAGGET… un TABBET… sa, quell’aggeggino moderno, quelle cose uscite adesso, simile a un IPPAD  (pronunciato come  “ippopotamo”, non “aipad”) ma molto piu` funzionale

 

Ovviamente da qui e` andata in discesa verso un deciso fallimento della vendita del TAGGET… ma voglio dire, come si fa?