Non servono coltelli senza filo

Apple ha compiuto una mossa coraggiosa con la pubblicazione di una lettera aperta ai propri clienti (americani).

Nella lettera Apple rivela che l’FBI avrebbe chiesto, in sostanza, di indebolire la sicurezza dei dispositivi iOS e di creare una backdoor che permetterebbe agli agenti di accedere facilmente alle informazioni personali registrate su di essi. Questo è il testo dell’ordine emesso dal giudice.

Apple dice di non aver dato seguito a questa richiesta e chiede che venga aperto un dibattito tra gli Americani su questo tema.

Tempo fa Google aveva dichiarato di essersi opposto alle ingerenze dell’FBI e Microsoft si era unita a Apple nella protesta. Leggi tutto “Non servono coltelli senza filo”

Abuso di utenti con privilegi elevati

Una delle norme più virtuali dei SysAdmin *NIX e’ l’uso di sudo al posto di su - e della shell interattiva di root. Tutti dicono di farlo e pochi lo fanno per una mera ragione di praticità (e poi non è simpatico digitare continuamente la propria password sotto gli occhi della gente).

Chi amministra *NIX lo fa spesso con un’interfaccia a riga di comando, quindi l’utilizzo della shell con privilegi di root è veramente quasi sempre dedicata ad attività amministrative.

Gli amministratori di Windows fanno anche di peggio. Leggi tutto “Abuso di utenti con privilegi elevati”

Sito del PD Toscana hackerato

La notizia non è che un WordPress sia stato sfondato, ma come.

In questo momento il sito del PD Toscana mostra questa immagine di apertura:

pd toscana hack

Ad un’analisi superficiale potrebbe apparire che degli abilissimi hacker abbiano rubato le credenziali al webmaster. Leggi tutto “Sito del PD Toscana hackerato”

Sicurezza, trasparenza, facilità d’uso

Lascio all’articolo precedente lo sviluppo del lato tecnico della storia del furto di immagini, qui vorrei fare qualche commento.

In molti abbiamo perso dei dati o abbiamo scoperto che per un errore (nostro o informatico) alcuni dati sono finiti in un contesto pubblico quando sarebbero dovuti rimanere privati. Ma quando si tratta di parti intime di persone famose o dei loro partner l’evento diventa una notizia. Leggi tutto “Sicurezza, trasparenza, facilità d’uso”

Synolocker

Il famoso ransomware CrysynolockerptoLocker e` stato, a quanto pare, adattato per poter girare direttamente dentro ai NAS Synology. Al momento non so in quale modo viene portato l’attacco, ovvero in che modo il malware si installi nel NAS, ma mi sembra ovvio che sia opportuno prendere in considerazione le classiche misure di sicurezza, soprattutto fino a che non sara` fatta piu` luce sul problema.

 

 

  1. Se possibile, staccare totalmente il NAS da internet
  2. Se non e` possibile, esporre solo le porte veramente necessarie. Ad esempio esporre la porta del file manager ma non quella dell’amministrazione
  3. Esporre se possibile il NAS usando porte non standard (riduce il rischio di essere oggetto di un attacco casuale)
  4. Assicurarsi che il NAS non sfrutti UPNP per aprire delle porte sul router all’insaputa dell’utente
  5. Impostare password complesse e lunghe
  6. Aggiornare il firmware del NAS
  7. Tenere un backup offline dei files.

 

Visto che ancora non si sa come il malware penetri nel NAS, puo` essere che la via di infezione sia a mezzo di un altro malware che gira su un PC Windows nella LAN del NAS, in questo caso le precauzioni relative all’accesso via internet sarebbero inutili, ma e` comunque meglio prenderle in considerazione tutte. E` altrettanto logico che un PC infetto sul quale sia stata salvata (o anche solo digitata) la password di amministrazione e` un vettore di attacco contro il quale non c’e` soluzione, se non spegnere il NAS. 🙂

Aggiornamento: Cercando notizie in giro ho scoperto che da parecchio tempo (diversi mesi, pare) e` in giro un malware che infetta i NAS Synology e che mina bitcoin, senza fare altri danni. A parte che trovo assurdo minare bitcoin con le CPU ridicole che si trovano nei NAS, questo nuovo malware potrebbe evidentemente avere ereditato le capacita` di attacco dal vecchio bitcoin miner.

 

 

Password “comuniste”

Nicola Porro ha sfogato la sua frustrazione nel suo blog in merito alla complessità delle password imposte.

Non essendo un giornalista tecnico che scrive abitualmente in temi di sicurezza, possiamo, con presunzione di innocenza, classificare quell’articolo come uno sfogo a livello di chiacchiera da bar.

Purtroppo questo episodio è esemplificativo dell’ignoranza (etimologica) in materia di sicurezza informatica e di valore dei dati che accomuna molte professioni.

Il concetto più comune che viene urlato è “l’account è mio e la password la decido io”. Leggi tutto “Password “comuniste””

La sicurezza dei gestionali nel 2013

fail-owned-fence-security-failOggi sto lavorando all’installazione di un gestionale che gira su Linux. Il software in questione gestisce le paghe dei dipendenti, fra le altre cose. Usandolo tramite la sua interfaccia client (che parla con un servizio di qualche tipo sul server) richiede ovviamente uno username e una password (lunga almeno 8 caratteri) per identificare gli utenti che accedono.

Purtroppo pero`, su specifiche precise del fornitore del software, e` richiesto che sul server sia installato FTP e anche telnet, e che ci sia un unico utente “di gestione” che puo` accedere via FTP e telnet per poter leggere o modificare arbitrariamente  ogni file di dati e di programma del gestionale. Ssh, invece, non e` richiesto.

Infine, per essere assolutamente sicuri che anche un utente inesperto e privo di cattive intenzioni possa comunque fare il massimo danno anche involontariamente  e`  inoltre necessario che la directory di installazione del gestionale (che contiene programmi e dati) sia accessibile da uno share SMB, ovviamente configurato con permessi 777 per tutti gli utenti.

Che dire?

I nastri usati delle etichettatrici

password_dymoEro da un cliente a installare un nuovo router, e quando ho finito ho preso la buona vecchia etichettatrice a trasferimento termico e ho scritto un paio di etichette: una con l’indirizzo IP pubblico del router, e subito dopo una con la password, quest’ultima da attaccare in un posto non cosi` evidente sul router. Prima che mi diciate che non sono abbastanza paranoico, sappiate che lo sono perfettamente: so che se non lascio la password in un posto raggiungibile questa verra` persa, e il danno sara` maggiore dell’eventuale danno che puo` essere causato dalla possibilita` che qualcuno la legga, visto dove si trova fisicamente il router.

Insomma, stampo le mie etichette, e quando le tiro fuori dalla etichettatrice queste, a causa di un problema di caricamento del nastro, si portano dietro anche il nastro di inchiostro che viene usato per stamparle, appiccicato all’etichetta stessa. Quello che vedete nella foto e`, appunto, il nastro dell’inchiostro, dove sono perfettamente leggibili gli indirizzi ip e le password.Non e` che prima di ieri io non sapessi come funzionano le stampanti di etichette, ma vederlo davanti al mio naso me l’ha ricordato in maniera molto incisiva.

La prossima volta che butterete via il vecchio nastro dell’etichettatrice, fermatevi un momento a pensare.

Ecco a cosa servono gli antivirus

I professionisti dell’informatica consigliano sempre di installare un buon antivirus e di tenerlo aggiornato.

Altre persone, che appartengono alla stessa categoria dei 60 milioni di CT della nazionale e 60 milioni di Presidenti del Consiglio, dicono che non serve e snocciolano queste sapienti motivazioni:

  • i virus sono scritti dalle ditte di antivirus;
  • non ho nulla da proteggere;
  • me l’ha detto mio cuggggino che è stato trasferito da poco al reparto computer e telefoni di $società_della_GDO e, quindi, ne capisce;
  • io capisco a sensazione quando il mio PC è infetto senza bisogno di antivirus; [i “tennici sensitivi” sono i più divertenti, NdLR]
  • è troppo caro;
  • mi rallenta il PC;
  • io sono più furbo dei virus;
  • il mio computer è inattaccabile perché ho $sistema_operativo_diverso_da_Windows e i virus li fanno solo per Windows (me l’ha detto mio cugggino che eccetera eccetera).

Ieri BBC e New York Times hanno dato la notizia di un attacco di DDoS contro Spamhaus nell’ambito di una guerra di malviventi contro chi li blocca. Il grosso dall’attacco sarebbe stato un traffico generato contro Spamhaus di 300 Gb al secondo; immaginate ogni due secondi il contenuto di un migliaio di CD-ROM lanciato contro i server di Spamhaus.

Leggi tutto “Ecco a cosa servono gli antivirus”

Poi non date la colpa al malware

Museo di Iraklio / Heraklion museumSpesso c’è la tendenza ad incolpare il malware per ogni tipo di danno causato ai sistemi informativi o per ogni tipo di furto di informazioni.

Se non si può parlare di colpa di chi scrive il software, certo il programmatore è in molti casi correo colposo (quando non è doloso, ma è un altro paio di maniche) di intrusioni illecite o furti di informazioni.

Negli ultimi anni le cose stanno lentamente cambiando, ma fino a poco tempo fa chi scriveva software era assolutamente inconsapevole dei rischi della sicurezza perché o non se ne curava affatto o pensava che fosse un Problema Altrui.

Scrivere un software che tenga presente i problemi della sicurezza non è semplice, ma sta diventando rapidamente una necessità imperativa se non si vuole fare brutte figure, o peggio.

Leggi tutto “Poi non date la colpa al malware”

Attacchi alle aziende

Ma in fondo, a cosa serve?NBC pubblica un articolo di Reuters in merito ad un attacco informatico ai danni di EADS e ThyssenKrupp.

Bisogna rendersi conto che questi non sono più attacchi di qualche gruppo di studenti svogliati che vogliono fare qualcosa di eclatante.

Il Governo della Germania ha notato un incremento degli attacchi ai danni di società tedesche, ovviamente le più bersagliate sono quelle che fanno tecnologia e innovazione.

Bisogna rendersi conto una volta per tutte che la sicurezza informatica è forse più importante di quella fisica dei locali e che la storia che i virus li scrivono quelli che scrivono gli antivirus è una cazzata bella e buona detta per auto-giustificare il lassismo della sicurezza informatica.

Per rispondere all’altra domanda che spesso viene posta per auo-assolversi, “Chi vuoi che sia interessato ai miei computer?”, la cronaca degli ultimi anni dimostra che spesso un’azienda o un’organizzazione viene attaccata per attaccarne un’altra in quanto la prima azienda è più vulnerabile dell’obbiettivo finale. Un esempio su tutti: l’attacco a RSA per attaccare un fornitore della Difesa americana che usava i token RSA per autenticare gli utenti (sì: RSA era l’anello debole della catena).

Leggi tutto “Attacchi alle aziende”

Il problema di Cassandra

I professionisti del settore spesso ricordano dei semplici principi base della gestione dell’IT.

Tra questi semplici principi ci sono fare i backup, controllare i backup, non mettere i backup sopra i server che vengono salvati e investire in un piano di backup offsite.

Spesso questi consigli vengono accolti con risolini di compatimento o vengono considerati un metodo per vendere delle apparecchiature o per aumentare i giocattoli dell’IT.

Il piccolo problema è che può succedere questo:

Leggi tutto “Il problema di Cassandra”

La memoria del fax

Un mio cliente ha comperato ad una qualche asta giudiziaria un lotto di macchine fotocopiatrici/stampanti/fax multifunzione;  noi li stavamo provando per vedere quali fossero ancora funzionanti  e quali fossero piu` morti che vivi.

Attacca, accendi, carica la carta… ancor prima che potessimo provare a dare qualsiasi comando il fax inizia a stampare, e stampa circa una ventina di pagine, quasi tutte contenenti informazioni bancarie, coordinate di conti correnti, ricevute di bonifici da e per l’azienda fallita. Roba da centomila euro a botta.

Immagino che il fax fosse rimasto senza carta negli ultimi giorni di vita, e abbia tenuto in memoria tutti quei dati per alcuni mesi, fino al momento in cui l’abbiamo acceso e dotato di carta.

 

La bella idea di appendere le password del WiFi

Le password sono una rottura di balle, specialmente per chi non è sensibile al problema della sicurezza.

Molte realtà hanno una rete wireless, sia essa collegata alla LAN interna oppure direttamente ad Internet per gli ospiti.

In moltissimi di questi casi le password sono scritte in maniera visibile, specialmente quelle degli ospiti perché sembra che la cosa dia un senso di buona ospitalità e non debba costringere l’ospite a chiedere di poter usare la rete.

Bella idea, finché non arriva una troupe televisiva a fare delle riprese in HD:

Photo by Matthew Pascucci

Cos’è il genio? /8

Vivi in Inghilterra anche se non sei un brit. Hai un ruolo importante in quanto sei uno dei responsabili dei database di una multinazionale e stai concordando con il responsabile dei database della filiale italiana la migrazione dei due database server che contengono i dati delle due applicazioni mission critical aziendali.

Dopo che ti sono state illustrate le procedure da utilizzare per la migrazione, nate dall’esperienze passate, decidi di voler cambiare le carte in tavola e chiedi di cambiare la porta di default del database. Quando, dall’Italia, ti vengono chieste spiegazioni in merito, inizi una mini pontificazione sulla necessità, nonostante ci si trovi in una rete interna senza accessi dall’esterno, di essere estremamente attenti alla security: “gli attacchi degli hacker e i virus vanno sulle porte di default dei database“. Quando il tuo alter ego italiano ti sottolinea che, avendo avuto qualche esperienza di hacking “se dovessi fare un attacco certo non mi limiterei alle porte di default“, rispondi con superiorità concedendo di lasciare invariate le porte dei database server.

E poi, pochi minuti dopo, chiedi al responsabile dei database italiani che ti mandi via email gli username e le password di tutti gli account sql dei server?

Sei un genio !

Voi e le vostre password complicate!

Secondo quanto rivela il giornale israeliano Haaretz, la password dell’account mail di Bashar Assad compromesso da Anonymous sarebbe stata 12345.

1 2 3 4 5 

Se la notizia fosse vera non ci sarebbe molto da commentare, tranne che solamente l’erede al trono del regno degli incoscienti (per non utilizzare termini ben peggiori) utilizzerebbe una password del genere per un account governativo.

Poi, però, non diamo la colpa agli hacker…

Ok gli attacchi di Anonymous, ma…

Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.

Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.

Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.

Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.

Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.

I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.

Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.

Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.