Se da oggi avete problemi a collegarvi ad un dominio Active Directory (AD), controllate l’ora del client e del server.
Questo vale soprattutto per i NAS e assimilati che sono stati aggregati ad un dominio AD per condividerne gli utenti.
Il protocollo Kerberos utilizzato per validare gli accessi in AD è, infatti, molto sensibile alla differenza di ora tra client e server.
I browser moderni hanno una funzione apparentemente utile, ma che provoca un notevole e inutile incremento di traffico DNS.
Una piccola spiegazione a grandi linee su cime funziona la risoluzione dei nomi, una delle tecnologie che stanno alla base del funzionamento di Internet per l’utente finale.
Ogni macchina (host) collegata a Internet ha un indirizzo IP che è necessariamente univoco (tralasciamo i NAT delle reti private che non ci interessano in questo contesto). L’indirizzo IP è, per ora, formato da una quaterna di numeri decimali da 0 a 255 separati da punti, tipo 1.2.3.4
Per rendere più facile la memorizzazione dei siti, esiste un sistema che assegna ad ogni indirizzo (ad esempio 209.62.58.154) uno più nomi a dominio (ad esempio siamogeek.com). Questo accoppiamento è gestito dal DNS.
(altro…)Avevamo già trattato l’argomento della cancellazione di un disco, questa volta vediamo come farlo utilizzando i comandi ATA, che operano ad un livello inferiore rispetto a quello che avevamo trattato la scorsa volta.
Lo scopo delle istruzioni che seguono è di inviare al disco da cancellare il comando Secure Erase (SE). Questo comando è disponibile anche su molti dischi SCSI e su alcuni dischi FC.
SE dice al firmware del hard disk di sovrascrivere tutte le aree dati del disco, indipendentemente dal fatto che siano raggiungibili dal sistema operativo, quindi anche quelle non partizionate. Nel caso in cui un disco sia scollegato dall’alimentazione durante il processo di cancellazione, appena questo viene alimentato riprende la cancellazione. Per evitare che qualcuno spenga il disco e lo connetta ad un altro firmware prima del termine della cancellazione, SE cambia la chiave con cui i dati vengono scritti sul disco, rendendo impossibile il recupero dei dati in tempi ragionevoli.
Secondo alcune fonti, questa procedura potrebbe migliorare le performance dei dischi allo stato solido (SSD).
HIC SUNT LEONES!
Queste operazioni devono essere eseguite su hardware sacrificabile, non utilizzate il vostro computer di lavoro o l’unico computer che avete per compiere le operazioni descritte di seguito. C’è il rischio concreto che il testo che segue contenga indicazioni che portino a danneggiare irreparabilmente l’hardware e comportino la perdita definitiva di dati. Questo tipo di attività va eseguito con coscienza di causa e ogni tipo di responsabilità è a carico di chi esegue queste operazioni.
HIC SUNT LEONES!
Ho interagito per lavoro con il sistema di messaggistica di Microsoft fin da Microsoft Mail e mi sono visto tutte le incarnazioni di Exchange, in parallelo con l’evoluzione degli MTA di *NIX.
Dieci e oltre anni fa per aggiungere un account mail su *NIX il sistema più comune era uno script shell tipo useradd che prende come parametri una serie di dati utente. Il corrispettivo comando nel mondo Exchange era una serie di azioni WIMP non scriptabili con sistemi nativi.
Il tempo è passato e adesso gli MTA e i server POP/IMAP si basano su database multipli per gestire gli utenti, quindi per aggiungere un account si può utilizzare sia un’interfaccia carattere sia un applicativo con interfaccia HTML o similare. Ci sono alcune interfacce amministrative, come quelle di prodotti come Plesk o CPanel, che consentono di modificare alcuni parametri degli MTA e dei server IMAP/POP, anche se i parametri più esotici restano sotto il tappeto e devono essere modificati editando il file di testo apposito.
Exchange 2010 introduce una novità sostanziale rispetto ai predecessori, già anticipata dalla versione 2007. Con l’interfaccia grafica WIMP, infatti, si può accedere solamente ad una parte (a naso direi 1/3) delle caratteristiche e dei comandi di amministrazione, il resto è tutto command line di power shell. Benvenuti nel magico mondo dei SysAdmin che se devono fare una cosa anche due volte creano uno script per farla.
È uscito il Service Pack 1 per Windows 7 e Windows Server 2008.
Se l’aggiornamento non viene rilevato tra quelli disponibili, si può forzare il controllo immediato con il comando wuauclt /detectnow mentre le installazioni che dipendono da in WSUS si comportano come stabilito dall’amministratore di rete.
È disponibile la documentazione di Microsoft che descrive l’elenco delle patch incluse nel Service Pack, i principali cambiamenti e le guide per il deployment dell’aggiornamento.
L’entità del download dipende da molti fattori; secondo la documentazione di Microsoft, Windows 7 dovrebbe scaricare 44 Mb; in questo momento ho un’installazione di Windows 7 che sta scaricando 61 Mb di Service Pack 1.
In questo momento il Service Pack non si vede ancora nell’elenco degli aggiornamenti disponibili via WSUS.
Aggiornamento 24/2 20:35 – Se si vuole bloccare temporaneamente l’installazione del service pack si può utilizzare l’apposito tool distribuito da Microsoft.
Fonti diverse confermano un vulnerabilità del protocollo SMB di Windows pubblicata, assieme al codice per sfruttarla, l’altro ieri sulla mailing list full-disclosure.
La vulnerabilità consisterebbe nell’inviare a macchine Windows dei pacchetti di richiesta di Browser Election modificati ad arte per sfruttare un baco della funzione BrowserWriteErrorLogEntry() definita nel file mrxsmb.sys.
La vulnerabilità colpirebbe solamente Windows, non le implementazioni del protocollo SMB di SAMBA.
(altro…)Il prossimo patch tuesday interesserà tutte le versioni di Windows e di Internet Explorer supportate da Microsoft più un aggiornamento per Visio.
Secondo quanto anticipato da Redmond, usciranno una dozzina di patch, alcune critiche e altre importanti. Le patch critiche correggono tutte bachi che permettono l’esecuzione di programmi da remoto.
Adobe ha anticipato che martedì prossimo usciranno degli aggiornamenti anche per Adobe Reader 9 e X (10) per Windows e Macintosh.
Per il momento, anche Mozilla ha in programma il rilascio di Firefox 3.6.14 e 5.15.17, Thunderbird 3.1.8 e Seamonkey 2.0.12.
Il prossimo potrebbe essere un martedì affollato.
Dopo lunga agonia lo spazio IPV4 è venuto a mancare (anche gli ultimi 5 netblock /8 sono stati assegnati da IANA ai registri locali….)
La comunità internet ha accolto incredula il triste annuncio ( http://www.nro.net/news/ipv4-free-pool-depleted).
Microsoft ha pubblicato una nota in cui riconosce l’esistenza di uno zero day che interessa tutte le versioni di Windows tranne Server Core.
La vulnerabilità riguarda il sistema di rendering MHTML e interessa tutti i programmi che utilizzano le librerie di Microsoft per visualizzare i contenuti HTML, inclusi Internet Explorer e tutti i client mail di Microsoft.
Il codice che dimostra in pratica questa vulnerabilità è già in circolazione ed è quindi lecito supporre che entro breve verrà integrato in qualche tipo di malware.
Microsoft ha reso disponibile un tool che permette di impostare i settaggi opportuni per bloccare gli effetti di questo baco. È consigliabile distribuire questo tool via policy per evitare di cadere vittima di attacchi che sfruttano questo baco. (via nakedsecurity)
Capita spesso di avere la necessità di copiare dei messaggi di posta elettronica tra client tra cui non è prevista una procedura di migrazione.
Anziché passare per conversione esotiche che finiscono per causare perdite o degrado di informazioni, ho visto che c’è una soluzione comoda e lineare: IMAP.
Tutti i client di posta elettronica, chi bene e chi male, supportano il protocollo IMAP.
Per migrare i messaggi è, quindi, sufficiente utilizzare un account IMAP, come un account gmail o account di un server IMAP creato ad hoc su un computer.
La procedura è banale: dal client sorgente si copiano tutti i messaggi sull’account IMAP, da cui vengono in seguito copiati sul mail client destinatario.
È l’uovo di Colombo, ma spesso ci si infila in pericolosi cul de sac cercando programmi o procedure di conversione che non fanno quasi mai quello che promettono.
Ho sempre avuto l’hobby del “fai da te informatico”.
Cercando ispirazione per costruire un piccolo storage di rete, mi sono imbattuto in questo
interessante articolo
Nell’articolo viene spiegato in dettaglio come Backblaze (internet backup) abbia risolto il problema dello storage con una soluzione autocostruita utilizzando hardware comune e realizzando un notevole risparmio.
Per chi volesse cimentarsi nella costruzione di un “ferro” simile mi permetto di consigliare come piattaforma software l’ottimo Openfiler.
Il personale IT (interno o esterno che sia) ha spesso in mano le chiavi dell’organizzazione.
Non quelle fisiche per aprire la porta: al personale IT non serve una porta per entrare in un’organizzazione in cui lavora legittimamente.
Negli Stati Uniti ci sono vari studi e alcune linee guida, tra cui la Common Sense Guide to Prevention and Detection of Insider Threats [PDF] del CERT della Carnegie Mellon University che merita sicuramente una lettura da parte di tutte le entità coinvolte per prendere coscienza dei rischi ed implementare eventuali soluzioni. (altro…)
