SIAMO GEEK

Categoria: SysAdmin

  • Aggiornare è meglio

    I recenti fatti di cronaca relativi agli attacchi informatici dei siti di varie aziende sono noti a tutti e sono in continua evoluzione.

    Se si leggono le analisi di molti malware, uno tra tutti Stuxnet, si riconosce un vettore d’attacco comune a molti programmi di questa categoria: lo sfruttamento di vulnerabilità 0-day o corrette dall’ultimo aggiornamento.

    Avevo già trattato questo argomento qualche anno fa, ma mi sembra il caso di tornarci, anche perché sono cambiate un po’ di cose, tra cui la virtualizzazione.

    Anche lasciando la variabile virtualizzazione fuori dall’equazione, credo che nel 2011 aggiornare i sistemi operativi e gli applicativi sia l’unica strada sensata percorribile.

    Pensare che continui ad andare bene perché fino a quel momento è andata bene è irresponsabile e per nulla professionale.

    Aggiornamento del 16/6/2011 – Secondo un articolo di Naked Security l’aggiornamento di Windows distribuito all’inizio dell’anno che ha cambiato il comportamento dell’AutoRun ha drasticamente ridotto la diffusione di virus che si propagano attraverso le chiavette USB.

    Certo, deve esistere un solido disaster recovery plan che regga il sistema informativo, ma l’adozione di un sistema di virtualizzazione che, come VMware, disponga di un sistema di snapshot unito ad un buon software di backup (come Veeam e l’Instant VM Recovery) rendono la vita molto facile a chi vuole aggiornare in tutta tranquillità, senza correre il pericolo di lunghi downtime dovuti al recovery di un disaster.

    (altro…)

  • Microsoft Standalone System Sweeper Beta

    Microsoft ha reso disponibile la versione beta di Standalone System Sweeper.

    Il tool, una volta scaricato, crea un CD o una chiavetta USB avviabili con cui dovrebbe essere possibile rimuovere il malware più insidioso dai computer infetti.

    Il CD contiene, purtroppo solamente una versione dell’antimalware di Microsoft, ma mancano due funzioni fondamentali che l’avrebbero reso uno strumento davvero utile.

    Innanzi tutto non esiste una funzione in grado di aggiornare le definizioni o via file o direttamente da Internet.

    In secondo luogo, sarebbero stati graditi una shell per accedere al file system del sistema infetto e un editor del registry del sistema infetto. Queste due funzioni avrebbero aiutato moltissimo il personale tecnico esperto.

    Un’altra occasione sprecata in cui le terze parti sono molto avanti rispetto a questo stadio.

  • openWAF

    openWAF è un firewall applicativo distribuito per il web.

    Il mondo dei firewall per le applicazioni è ancora da esplorare, ma le recenti notizie di cronaca invitano a prendere rapidamente in esame questo aspetto della sicurezza.

    Normalmente i firewall operano a livello di protocollo di rete e fanno pochissime incursioni nei livelli applicativi.

    Inoltre, con una curiosa allegoria del teorema di Gödel, i firewall migliori sono quelli posti all’esterno di ciò che si vuole proteggere.

    Possiamo, infatti, scrivere l’applicazione web nel modo più sicuro che ci viene in mente, sanificando ogni input, ma una distrazione o un giro imprevisto della procedura sono sempre in agguato.

    (altro…)

  • Prova gratuita Amazon EC2

    Amazon EC2 (Amazon Elastic Compute Cloud) è un servizio di cloud computing a capacità scalabile/ridimensionabile, erogato con modello “pay per use”: si paga solo per il tempo e le risorse utilizzate.
    Consente di creare “istanze” contenenti sistemi operativi.
    Sono disponibili “immagini” preconfigurate per varie distribuzioni Linux e Windows server.

    I prezzi sono piuttosto abbordabili anche paragonati con quelli di altri gestori che offrono servizi di VPS.

    Per chi volesse effettuare una prova gratuita viene offerta la possibilità di far girare a tempo pieno un’istanza “micro” (altro…)

  • I dollari di Windows

    Gli amministratori di sistemi Windows senza dubbio conoscono bene la possibilità di accedere all’intero disco fisso di un computer collegato in rete per  il quale si hanno le credenziali di amministratore usando la condivisione amministrativa identificata dal nome del drive seguita dal segno dollaro.
    Sfruttando questo accesso, è possibile copiare o prelevare files senza disturbare il lavoro degli utenti, facilitando al contempo l’amministrazione di un computer Windows.
    Ovviamente questa abilità offre il fianco anche a possibili attacchi: è sempre buona norma – e questo è un motivo in più – fare attenzione all’elenco degli utenti che fanno parte del gruppo Administrators e alla forza della loro password. Invece la difesa perimetrale della rete dovrebbe fare in modo di impedire l’accesso a queste condivisione a chiunque sia all’esterno della LAN.

    Fatta questa piccola precisazione sulla sicurezza, diciamo che gli utenti migrati da Windows XP (ancora ampiamente usato soprattutto in ambito aziendale) verso Vista o 7 avranno trovato impossibile utilizzare questo tipo di accesso che infatti risulta disabilitato per impostazione di base nei due sistemi operativi più recenti di Microsoft.
    E’ tuttavia possibile riattivare manualmente questa funzionalità agendo su un valore del Registro che si trova nella chiave

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    Verificate se esiste la voce LocalAccountTokenFilterPolicy, altrimenti createla come 32-bit DWORD e impostatela al valore 1.
    Dopo aver riavviato il PC, sarà di nuovo possibile accedere alle condivisione amministrative usando la solita sintassi del tipo \\nomecomputer\c$.

  • Tanto fumo, niente fuoco

    Come ormai tutti saprete, oggi la Web Farm di Aruba.it – uno dei grandi fornitore di connettività, server e servizi internet in Italia – ha subito un grave incidente, per fortuna senza danni a persone.

    Come cliente, devo dire che l’azienda non ha brillato per velocità nella comunicazione e per trasparenza, tuttavia è ormai chiaro come si sono svolti i fati.
    A causa di un corto circuito in una batteria nella sala UPS, la plastica degli involucri è andata letteralmente in fumo, facendo scattare gli allarmi antincendio che hanno quindi preventivamente tagliato l’alimentazione elettrica in tutta la struttura.
    A causa di questo problema, molti siti internet in hosting, server in housing e altri servizi hanno smesso di funzionare per molte ore. I tecnici di Aruba hanno quindi messo l’alimentazione elettrica in bypass escludendo gli UPS e assicurando un ritorno all’operatività per quanto senza più nessuna ridondanza sull’alimentazione fornita dalla rete.

    Per chi volesse approfondire la questione, può rivedersi il microblog su Twitter oppure il comunicato stampa ufficiale.
    Sarà interessante seguire la vicenda nelle prossime ore e giorni e vedere come questa azienda affronterà il resto del disaster recovery, oltre che prendere nota delle reazione dei clienti all’interruzione prolungata.

  • Trasferire account email

     

    Riprendo un tema analogo a quello già trattato in precedenza nell’ottimo articolo di Luigi Rosa (copiare messaggi tra mail client incompatibili) estendendo l’argomento a migrazioni di grossi e numerosi account email per i quali il sistema di copia attraverso client IMAP non è possibile.

    Partiamo dal caso reale: mi trovo a dover migrare un certo numero di account dal vecchio server DOMINO ad uno di tipo differente.

    Ciascun account contiene una struttura di cartelle piuttosto complessa e un gran numero di messaggi (alcuni più di 30.000).

    Stimo un totale che supera abbondantemente il mezzo milione di messaggi da migrare (chissà perchè la gente non cancella mai niente 🙂 ).

    Fallito miseramente l’utilizzo del tool che gira sotto windows fornito dal provider del nuovo server e fallito al primo tentativo lo spostamento con client (TB impallato ripetutamente…..) mi trovo a dover cercare una soluzione differente ed affidabile.

    La prima scelta, confortata da un certo numero di messaggi sui forum che ne esaltavano le grandi qualità è imapsync.

    Il prodotto è scritto in PERL e fa già parte dei pacchetti diponibili per la maggior parte delle distribuzioni LINUX.

    Purtroppo le ultime versioni non sono free, ma acquistabili per una cifra irrisoria.

    Utilizzando il pacchetto disponibile su rpmforge scopro che:

    • è in grado di migrare in automatico ricostruendo pari pari tutta la struttura di cartelle IMAP
    • riesce a sincronizzare gli account. Cioè se lo fermo e lo rilancio, non mi trasferisce nuovamente le mail già copiate
    • supporta il protocollo SSL (indispensabile)
    • con un semplice bash script si può far lavorare su una lista di account (file .CSV) elaborandoli in sequenza consentendo di automatizzare migrazioni grosse.

    Provandolo sul mio account (circa 16.000 messaggi) scopro che la migrazione è veloce ed assolutamente indolore. Mi ricrea tutte le cartelle uguali sul nuovo server e trasferisce tutti i messaggi. Rispetto al copia/incolla  con TB è veramente una festa.

    Dopo avere creato il file .CSV con tutti gli utenti da migrare, l’ho lanciato più volte (la copia ha richiesto un intervento manuale per eliminare un messaggio che bloccava il procedimento). In pochissimi casi ha creato dei messaggi duplicati sui quali sono intervenuto con un altro ottimo prodotto che meriterebbe una trattazione a parte: imaptools (in particolare delIMAPdups).

    Insomma un piccolo software che vale la pena tenere sul nostro PC portatile e che può semplificare la vita in alcune situazioni.

    Ultima nota: esiste una versione windows sempre acquistabile per un importo veramente modesto.

     

     

     

     

     

     

  • VMUG IT – vmware User Group Italia

    Oggi si è tenuta la prima riunione del VMware User Group Italia.

    Ambiente molto informale, ricco di spunti, belle iniziative e incontri interessanti.

    Durante la mattinata, dopo gli interventi di un rappresentante di VMware e del presidente del VMUG IT Piergiorgio Spagnolatti, sono seguiti tre panel sulla progettazione dei sistemi VMware, sulla certificazione e sui rumor relativi alla prossima versione del software.

    Nel pomeriggio c’è stata la presentazione di quattro casi di implementazione di VMware esposti dai responsabili che li hanno implementati, i quali hanno condiviso le loro esperienze con gli intervenuti.

    È stata davvero una giornata spesa bene: complimenti all’organizzazione e grazie!

    Per il momento il VMUG IT ha una pagina su LinkedIn e un form in cui si può lasciare la propria mail per iscriversi.

     

  • CentOS 5.6

    È uscita la versione 5.6 di CentOS.

    La sola sincronizzazione dei mirror potrebbe aver mosso più di 11 Tb prima ancora che sia iniziato il download degli aggiornamenti.

    Si sono verificati alcuni problemi con il pacchetto eclipse-ecj, risultato danneggiato nella versione x86_64, che hanno provocato uno slittamento della data di rilascio.

    Tra le novità di questa release ci sono la possibilità di installare PHP 5.3 (pacchetto php53) e bind 9.7 (pacchetto bind97).

    Le note di rilascio complete sono disponibili qui ed è consigliabile leggerle prima di aggiornare, specialmente se si aggiorna da una versione precedente la 5.5.

    A causa di un baco, chi aggiorna una CentOS con un Apache e certificati SSL deve fare alcune operazioni per far funzionare Apache.

    L’aggiornamento alla nuova versione avviene con un semplice yum update.

    Se, eseguendo questo comando, non succede nulla, potrebbe essere che il vostro mirror di riferimento non sia ancora aggiornato; uno yum clean all potrebbe risolvere il problema. Se l’aggiornamento si blocca con un errore di dipendenza durante i primi giorni dopo l’uscita è probabile che il mirror utilizzato non sia ancora completamente aggiornato.

    Dopo l’aggiornamento il comando rpm -q centos-release ritorna centos-release-5-6.el5.centos.1

    Per chi volesse scaricare la versione completa din CD o DVD questi sono i link ai torrent con i relativi MD5 dei file torrent:

    Ora che la versione 5.6 è uscita, il team si dedicherà alla 6.0.

    Fra circa un anno verrà interrotto il supporto della CentOS 4.

     

     

  • Solo una occhiata

    Finalmente, due giorni fa ho potuto toccare con mano il BlackBerry Playbook ovvero il tablet di casa RIM annunciato mesi fa e in uscita – buon ultimo tra i prodotti simili delle grandi case – in Nord America alla metà di Aprile.
    Purtroppo è stata una vera toccata e fuga: da quello che mi ha detto il tecnico di RIM che mostrava il prodotto, si tratta dell’unico esemplare esistente in Italia, quindi ognuno dei partecipanti alla conferenza ha potuto tenerlo solo un minuto.

    La prima impressione è di uno strumento maneggevole: si può tranquillamente tenere con una mano afferrandolo per un lato o tenendolo nel palmo.E’ poco più piccolo di un blocco note A5, ha gli angoli arrotondati, ma per il resto è un bel “mattoncino” che da una ottima sensazione di solidità e non da l’impressione di poter sfuggire dalle mani. Pesa 425g, ma stranamente avendolo tra le mani sembra molto più pesante, evidentemente  è solo una impressione data dalla combinazione con le dimensioni che visivamente sono, dopo tutto, molto ridotte.

    (altro…)

  • Attenzione ai log

    Chi vuole attaccare un sito cerca anche se questo pubblica più o meno volontariamente delle informazioni utili all’attacco.

    Tra queste informazioni ci sono le versioni del software utilizzato, i path assoluti nel file system e i log.

    WS_FTP è un client FTP che risale ai tempi di Mosaic, quanto Internet era un posto amichevole. Una delle feature di questo software è la creazione del file WS_FTP.LOG con il risultato del trasferimento.

    Purtroppo, se viene caricata una directory intera, il client trasferisce anche WS_FTP.LOG, che viene indicizzato da Google, con i conseguenti buchi di sicurezza, in quanto nel log sono indicati chiaramente i path assoluti nel file system.

  • Come aggirare il blocco dell’accesso RDP

    Spesso si dice ad un utente che lamenta un problema di lasciare il suo computer acceso per fare un intervento fuori dall’orario di lavoro.

    Può succedere che l’utente abbia disabilitato l’accesso RDP al proprio computer, ma è un blocco facilmente aggirabile.

    Bisogna, ovviamente, conoscere delle credenziali con diritti amministrativi sul computer di cui si vuole ottenere il controllo, cosa facilissima se il computer è membro di un dominio e chi deve intervenire è l’amministratore del dominio.

    La procedura per abilitare da remoto l’accesso RDP su un computer è semplicissima:

    1. eseguire REGEDIT;
    2. dal menu File selezionare Connetti a registro di sistema in rete…;
    3. indicare il nome o l’IP del computer a cui ci si vuole connettere;
    4. andare sulla chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server del computer remoto;
    5. modificare il valore REG_DWORD fDenyTSConnection da 1 a 0.

    L’accesso RDP si attiva dal momento in cui viene salvato il nuovo valore di fDenyTSConnection, non bisogna riavviare nulla.