SIAMO GEEK

Categoria: Internet

  • Postfix: forzare il dialogo cifrato fra due MTA

    È possibile forzare il dialogo cifrato TLS tra due server di posta elettronica (MTA).

    Di seguito viene spiegato come farlo con Postfix 2.10.2, l’ultima disponibile, compilata sul server in cui gira con il supporto TLS attivato. È naturalmente possibile ottenere lo stesso risultato anche con altri MTA o con versioni precedenti di Postfix (sconsiglio di scendere sotto la 2.6.0 ed è meglio evitare il range  2.9.0 – 2.9.5 (incluse) perché hanno un baco nel calcolo del fingerprint della chiave pubblica.

    È fondamentale una certa padronanza con Postfix, che viene data per scontata dalla procedura descritta di seguito.

    (altro…)

  • La chiave di volta della sicurezza HTTPS

    Molti siti popolari stanno passando per default alle comunicazioni via HTTPS.

    Se per un sito ospitato su un solo server dedicato è un’operazione banale, Per una grossa organizzazione non è un’impresa semplice.

    Passare in HTTPS non risolve ogni problema di sicurezza sia perché è un protocollo soggetto ad attacchi (qui e qui) sia perché esiste comunque un single point of failure.

    La chiave privata.

    (altro…)

  • Userei una password complessa, ma…

    CartaSISono anni che si sprecano litri di inchiostro e gigabyte di storage per spiegare l’importanza di una password non banale. Alla fine i suggerimenti sono sempre gli stessi, ma non sempre è possibile metterli in pratica.

    Una password come ad esempio siamogeek.com potrebbe essere rifiutata da molti siti che impongono che le password siano formate solamente da lettere o cifre. Il sito dei Servizi Interbancari è uno di questi, qui sopra si vede l’errore che mi è apparso questa mattina; non dirò quale carattere speciale avevo messo nella password, ma posso assicurare che quel carattere speciale è noto ai bambini che frequentano i primi anni delle scuole elementari. Ci sono moltissimi siti che presentano un comportamento analogo.

    La maggior parte dei siti utilizza (o dovrebbe utilizzare) una codifica che permette di avere nella stessa frase  caratteri di qualsiasi alfabeto della Terra (e non), passato e presente. Nonostante ciò, c’è ancora chi obbliga a scrivere le password con un insieme di caratteri così limitato che avrebbe fatto ridere anche i programmatori di 30 anni fa.

    Forse qualcuno teme che un utente metta come password ;DROP DATABASE;--

    O probabilmente tutti i layer Java[Script] che si frappongono tra l’utente e il database sottostante sono scritti o integrati così male che solo un apice nella password farebbe crollare tutto. Però il sito ha una bella grafica, eh! Sarà contento il Baiocchi [NSFW]

    (altro…)

  • HTTPS: come funziona?

    Abbastanza bene, ma non è una bacchetta magica.

    Prima di spiegare HTTPS è necessario spiegare cosa sia la Public Key Infrastructure (PKI) e prima ancora la crittografia asimmetrica, il vero mattone con cui è costruito tutto quanto: se qualcuno scoprisse come crackare velocemente una cifratura asimmetrica verrebbe giù tutto o peggio.

    I sistemi di crittografia più noti sono simmetrici, ovvero quelli che richiedono una chiave, la stessa, per cifrare e decifrare un testo: dal cifrario di Cesare a Enigma era questo il modo di nascondere le informazioni fino a qualche decennio fa.

    (altro…)

  • Wikipedia passa in HTTPS

    wikihttpsA partire da oggi Wikipedia utilizza HTTPS per il login degli utenti e mantiene il protocollo crittografato per il resto degli accessi al sito.

    Questa decisione, già parte del percorso di tutela della sicurezza, è stata anticipata alla luce dei recenti eventi legati alle rivelazioni di Edward Snowden secondo le quali Wikipedia sarebbe stata uno dei metodi per tracciare le persone poste sotto sorveglianza.

    Per il momento HTTPS non viene attivato sulle versioni di Wikipedia di Paesi che scoraggiano o vietano quel protocollo: cinese (zh.*), fārsì (fa.*), gilaki (glk.*), curdo (ku.*), mazanderani (mzn.*) e soranî (ckb.*). In seguito la decisione di utilizzare o meno HTTPS sarà basata sulla geolocalizzazione dell’indirizzo IP dell’utente che visita Wikipedia.

    Ovviamente HTTPS non garantisce l’anonimato né la riservatezza assoluti di ciò che si sta visitando, ma contribuisce, in generale, a ridurre i rischi di furto di informazioni riservate. Esistono firewall normalmente acquistabili su cui si possono abilitare dei veri e propri attacchi di man-in-the-middle per poter analizzare le pagine visitate e confrontarle con le policy impostate. [via Wikimedia Meta]

  • Restano i punti nei nomi a dominio

    ICANN ha deciso che per ora i cosiddetti dotless domain names sono vietati.

    dotless domain names (strano che nessuno abbia ancora iniziato a chiamarli DDN) sono quei nomi a dominio che non contengono alcun punto separatore, ad esempio http://pippo

    La proposta era stata avanzata da Google per poter avere un nome a dominio search in modo tale che gli utenti potessero scrivere http://search per accedere alle funzioni di ricerca.

    Per esperienza diretta posso dire che, almeno fino a qualche anno fa, Microsoft USA (non so se valeva per il resto del mondo) al suo interno utilizzava dei dotless domain names per la intranet (ovviamente con IIS+SharePoint).

    Proprio l’utilizzo di nomi senza punto all’interno delle aziende è una delle argomentazioni contrarie all’utilizzo dei dotless domain names sostenute da una ricerca commissionata da ICANN [PDF]. Il rischio che ci sia sovrapposizione tra qualche nome a dominio senza punto (magari creato ad arte) e dei server nelle intranet aziendali è molto elevato al punto tale da non giustificare il via libera di ICANN.

    Purtroppo i rischi di sicurezza non sono legati solamente ai dotless domain names perché ICANN ha approvato da poco i primi gTLD, che, per giunta, non sono scritti in alfabeto latino:

    • .شبكة (Web in arabo)
    • .游戏 (Gioco in cinese)
    • .онлайн (Online in russo)
    • .сайт (Sito Web in russo)

  • Anche una MicroRisposta va bene

    Twitter-HelpIl neologismo “microblogging” non è mai entrato nell’uso comune quanto quello della sua killer application ovvero Twitter.
    Partito appunto con l’idea di diventare il corrispondente per internet dello SMS, si è evoluto poi in un social network di uso mondiale: ormai il termine tweet è entrato nell’uso comune e gli hashtag sono talmente ubiqui che strumenti di terze parti si sono adeguati fin da subito al loro utilizzo (Instagram) mentre altri hanno ceduto dopo anni (Facebook).

    Anche le  finalità di utilizzo si sono negli anni diversificate e sono quanto mai variegate: in tempi recenti non è strano vedere usare questo servizio come una sorta di e-mail.
    Si tratta infatti un modo semplice per inviare messaggi brevi con “allegati” a uno o più contatti.
    Altro uso ormai entrato nella prassi aziendale è quello di usare un account Twitter, non solo come strumento di marketing, ma anche per comunicare con i clienti: per dare assistenza, ricevere suggerimenti o lamentele.

    L’idea non è cattiva: il vantaggio per l’azienda è di costringere il cliente ad esprimersi in spazi del ristretti invitandolo quindi, idealmente, a usare oculatamente i suoi 140 caratteri venendo al dunque tralasciando fronzoli inutili. D’altra parte, il cliente dovrebbe beneficiare di una velocità di trattamento, oltre che della possibilità di essere aiutato volontariamente anche da soggetti terzi, eventualmente non legati all’azienda, ma semplicemente lettori casuali.

    Recentemente mi è capitato di usare Twitter per questi scopi, appunto, e ho tratto qualche conclusione che mi sembra opportuno condividere con i colleghi Geek.

    (altro…)

  • PuTTY 0.63

    puttyÈ stata rilasciata la versione 0.63 di PuTTY.

    Questa è una release che corregge alcuni possibili problemi di sicurezza, quindi tutti gli utilizzatori abituali di PuTTY dovrebbero aggiornare le loro installazioni.

    Nel caso di autenticazione con chiave privata, le versioni precedenti conservavano in memoria una copia della chiave privata per tutta la durata della sessione ssh. In caso di swap o crash dump la chiave privata poteva anche essere scritta su disco.

    Un altro baco permetteva al server di una sessione SSH-2 di trasmettere delle risposte tali per cui PuTTY andava in buffer overrun o underrun e crashava. Questa vulnerabilità poteva essere sfruttata prima ancora della verifica delle chiavi.

    Una nuova feature consente alle applicazioni nelle sessioni xterm di capire la differenza tra testo scritto effettivamente dall’utente e testo incollato in modo da potersi comportare di conseguenza.

  • Tiny Tiny RSS

    tiny tiny rssQuando a metà di marzo Google aveva annunciato la chiusura del suo reader online  si era aperta la caccia all’alternativa.

    All’inizio mi ero attrezzato con un mio reader basato su SimplePie, che faceva il suo onesto lavoro. Ultimamente stavo provando Feedly, ma ieri ha annunciato che ci sarebbero state due versioni: una gratuita e una a pagamento, la qual cosa mi ha convinto a tornare sui miei passi.

    Dietro segnalazione di Luigi ho provato Tiny Tiny RSS, che si è rivelata una piacevole scoperta.

    Tiny Tiny RSS è un reader online di RSS open source scritto in PHP (richiesta la versione 5.3) che utilizza MySQL o PostgreSQL come base dati e supporta più profili utente.

    L’installazione è abbastanza semplice e ben documentata: una volta copiati i file nella directory desiderata e creato il database, il tutto avviene via interfaccia web.

    Le opzioni disponibili sono molte e permettono una personalizzazione notevole. Il programma permette di importare un file OPML, chi viene da Feedly può scaricarlo qui. In tema, il file esportato da Feedly non rispetta in maniera ferrea le regole XML e potrebbe non essere importato da Tiny Tiny RSS; in particolare bisogna verificare che i nomi dei feed e gli URL non contengano caratteri ‘&’ non convertiti nell’entità HTML ‘&’

    L’aggiornamento dei feed viene eseguito da uno script demonizzato che gira sotto il profilo utente di Apache.

    Una volta importato l’elenco dei feed e impostato il demone, resta solamente da regolare qualche opzione e godersi il nuovo reader personale di cui ho trovato molto utili le scorciatoie da tastiera.

  • Associare il profilo Google+ di un autore ad un articolo di WordPress

    È possibile associare un profilo Google+ ad un utente di un blog di WordPress per fare in modo che tutti gli articoli scritti da quell’utente siano riconducibili al profilo Google+.

    Per completare questa procedura sono necessari:

    • un account Google+
    • un blog gestito da WordPress
    • la possibilità di installare plugin

    (altro…)

  • Bambini, andate a giocare altrove!

    Un cliente decide di attivare una linea Internet di terra (SHDSL) con Vodafone.

    A livello di pure linee di terra business per il collegamento a Internet sono abbastanza neutrale: una volta che ho la mia classe di IP pubblici non nattata sulla porta ethernet dell’apparato del provider e non ho filtri sulle porte o cazzate come il bandwidth throttling a me vanno bene tutte. È più un problema commerciale del cliente che altro.

    Il /29 che è stato assegnato probabilmente faceva parte di un vecchio blocco pubblico ad assegnamento dinamico che è stato riciclato perché due o tre mail server rifiutano di ricevere la posta dal mail server aziendale dietro la nuova connessione.

    Dal momento che sono abituato a questo comportamento, avevo lasciato come al solito Postfix con il soft bounce attivo in modo tale da poter intervenire guardando la coda della posta in uscita reindirizzando a botte di transport la mail che rimaneva in coda sul mail relay del provider indicato nella documentazione allegata all’attivazione della linea.

    Dopo due giorni la cosa si è normalizzata. Qualche giorno più tardi un utente mi dice che la posta verso Alice.it rimbalza e mi inoltra questo:

    while talking to smtp.aliceposta.it.:
>>> MAIL From:<xxx@xxx.it> SIZE=63750 BODY=7BIT
<<< 550 mail not accepted from blacklisted IP address [91.80.36.102]
<<< 554 5.0.0 Service unavailable

    91.80.36.102 non è un IP della classe /29 assegnata al cliente, ma l’IP del relay esterno di Vodafone che mi è stato detto di utilizzare e che ha funzionato correttamente fino a poche ore prima anche con Alice.it

    (altro…)

  • Attacco BGP

    as25459Il 24 luglio scorso l’autonomous system 25459 ha annunciato oltre 300 IP non suoi appartenenti anche ad istituti di credito di tutto il mondo.

    Per la spiegazione di come funzionano gli autonomous system (AS), sulla loro importanza e sul significato della terminologia utilizzata vi rimando a questo articolo pubblicato un paio di anni fa.

    Con ogni probabilità il BGP dell’AS25459 è stato in qualche modo hackerato e costretto ad annunciare IP non suoi.

    Guardando i report del RIPE riprodotto qui sopra si vede che nel giorno dell’incidente l’AS ha annunciato dei blocchi /32 (un singolo IP), cosa molto strana per un AS, il cui limite inferiore è di solito /24. Dal momento che ogni annuncio occupa un record nelle tabelle dei router, più si aggregano i blocchi e meno si caricano i router. Purtroppo l’esaurimento dell’IPv4 ha portato ad una certa frammentazione dei blocchi, ma annunciare un singolo IP /32 è (almeno per ora) sintomo di un hacking o di una errata configurazione di un router di confine.

    Il 24 luglio uno stesso IP era annunciato da due AS diversi: quello legittimo e l’AS25459 hackerato; in questo caso il protocollo BGP sceglie il routing migliore e c’è la concreta possibilità che sia quello hackerato anziché quello legittimo.

    (altro…)