SIAMO GEEK

Categoria: SysAdmin

  • Usabilità contro sicurezza

    In un’organizzazione tipica la proprietà (o chi per lei) si affida all’IT (dipendente, consulente o mix) per la gestione dei dati e della loro sicurezza (intesa sia come integrità sia come protezione).

    L’IT sa benissimo che usabilità e sicurezza sono due vettori uguali e contrari; compito del bravo IT è di mediare le due cose con le necessità aziendali e, spesso, con i capricci di alcuni utenti.

    Fino a poco tempo fa la soluzione della sicurezza informatica era quasi banale perché bastava stabilire un perimetro con accessi controllati: i computer all’interno erano sicuri, quelli all’esterno insicuri e alle porte si mettevano dei guardiani feroci (firewall, proxy e assimilati). (altro…)

  • Postfix: bloccare le mailing list hackerate

    Capita ogni tanto di dover bloccare un flusso cospicuo di mail in arrivo da un indirizzo o una mailing list hackerata o che rifiuta il comando di disiscrizione e di doverlo fare adesso.

    I filtri applicati ai client possono essere efficaci, ma non comunicano al mittente la nostra intenzione di non voler ricevere più i suoi messaggi. Nel caso di un list server, inoltre, la raffica di delivery failure dovrebbe provocare la rimozione amministrativa dell’account.

    (altro…)

  • Ping parlante

    Invariabilmente, quando faccio una dimostrazione di questo script, mi chiedono: “Sì, ma a che serve?”

    È un ping che oltre a scriverti a video il tempo di round-trip in millisecondi, te lo pronuncia pure. Solo uno strumento in più. Magari un giorno ti capiterà un’occasione in cui ti potrebbe far comodo.

    (altro…)

  • Come far scaldare la CPU in pochi byte

    Qualche anno fa ho avuto a che fare con un computer altrui, con sistema operativo Windows XP, che si spegneva casualmente da solo in continuazione. Era il trentotto luglio, e faceva molto caldo, sospettavo quindi uno shutdown termico di emergenza, ma mi trovavo in difficoltà nel verificare l’ipotesi: ero solo di passaggio e invece del mio solito zaino con “gli strumenti”, avevo con me il borsone con pinne e maschera; nell’ufficio in questione non c’erano cacciaviti; la linea Internet era fuori servizio causa manutenzione estiva (classico cavo tranciato per errore da un bulldozer).

    Ho dovuto improvvisare.

    (altro…)

  • Aggiornamenti per Flash

    Adobe ha aggiornato l’advisory con cui segnala un baco di Flash e di Acrobat Reader.

    Da oggi sono disponibili gli aggiornamenti di Flash Player.

    Diversamente da quanto annunciato, gli aggiornamenti che correggono il problema di Acrobat Reader saranno disponibili nella settimana del 4 ottobre p.v. (via F-Secure)

  • Problema di sicurezza di Linux a 64 bit

    Ben Hawkes ha scoperto un problema nella gestione della sicurezza del layer di compatibilità a 32 bit di Linux a 64 bit.

    Il baco permette ad un attaccante di guadagnare i privilegi di root; l’attacco deve avvenire eseguendo un’applicazione sul sistema da attaccare. È disponibile il sorgente C che sfrutta questo baco.

    Se non girano applicativi a 32 bit è possibile disabilitare il layer di compatibilità con questo comando suggerito nella mailing list Full Disclosure:

    echo ':32bits:M:0:\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register

    che dice al kernel di eseguire /bin/echo al posto di qualsiasi applicativo a 32 bit.

    Una patch è già stata trovata e probabilmente verrà inclusa nella prossima release del kernel. (via Slashdot)

  • Vulnerabilità di ASP.NET – Aggiornamento

    Secondo Microsoft sembrerebbero non esserci ancora stati attacchi basati sulla vulnerabilità di ASP.NET segnalata qualche giorno fa; lo stesso articolo di Microsoft elenca in dettaglio i sistemi coinvolti e propone una modifica alla configurazione che potrebbe mitigare l’impatto del problema.

    Anche Scott Guthrie consiglia di modificare i medesimi parametri per ridurre gli effetti del problema e segnala uno script VBS che analizza il server locale e verifica se ci sono applicazioni con la pagina di errore personalizzata. (via SANS)

  • Samba nuovo per Debian vecchio

    Oggi mi sono trovato nuovamente di fronte al problema di mettere dei client Windows 7 in un dominio con DC Samba. Il problema e` che occorre una versione recente di Samba (3.4.x o 3.5.x) e che spesso i server che ho presso i clienti hanno una versione vecchia di Debian, versione che quando e` possibile evito di aggiornare, seguendo la regola d’oro che dice “Quando va che tanto basta, non toccar che poi si guasta”.

    Se serve Samba 3.4.x per Debian Lenny, e` disponibile nel repository dei backports, ma se si deve installare su vecchie Debian Etch o addirittura Sarge, tutto potrebbe essere molto ma molto rognoso.

    Per fortuna mi e` venuto in aiuto un sito, http://enterprisesamba.org/, che mette a disposizione Samba (recente) bello pronto e pacchettizzato (a 32 e 64 bit) per diverse distribuzioni Linux, fra le quali Debian, e supporta versioni decisamente vecchie (ad oggi, Lenny, Etch e Sarge). Il sito manca purtroppo di chiarezza su quali siano esattamente le differenze fra le loro scelte di patch (o assenza di patch) e di parametri di compilazione fra la versione “Debian ufficiale” e la loro, pero` messo alle strette ho deciso di dare loro fiducia, e direi che l’installazione di Samba 3.4.x dal loro sito su una Debian Etch abbia avuto esito assolutamente positivo. Occorre solo fare un minimo di attenzione alle dipendenze quando si aggiorna (di fatto si sostiuisce) la versione Debian originale di Samba con questa.

    Domani finiro` di mettere le macchine client nel dominio, e vedremo se mi pentiro` di aver detto che funziona con troppo anticipo e troppo entusiasmo. Se qualcuno volesse seguire le mie orme, vi ricordo che oltre alla versione giusta di Samba, occorre anche applicare una piccola patch ai client Win7, come scritto qui: http://wiki.samba.org/index.php/Windows7

  • Patch Tuesday

    Come ogni secondo martedì del mese, oggi Microsoft rilascia le patch per i suoi software, vediamo cosa ci tocca questa volta. 

    (altro…)

  • Vulnerabilità delle applicazioni ASP.NET

    Thai Duong e Juliano Rizzo, due ricercatori nel campo della sicurezza, hanno messo a punto uno schema di attacco che sfrutta un baco del modo in cui le applicazioni realizzate con la piattaforma ASP.NET di Microsoft trattano i cookie di sessione criptati.

    Il problema, che riguarda milioni di applicazioni web che utilizzano quella piattaforma, potrebbe essere molto serio e potrebbe essere utilizzato per impersonare un utente di un sito. Il metodo di attacco verrà illustrato in dettaglio alla ekoparty Security Conference che si tiene questa settimana in Argentina.

    (altro…)

  • DLL hijacking in azione

    (articolo aggiornato dopo la prima pubblicazione)

    Sono disponibili alcuni video che dimostrano il DLL hijacking in azione con alcuni programmi di Windows:

    Il primo filmato mostra una copia di XP SP3 con MSIE 8 e Flash 10.1.82.76 in cui viene copiato sul desktop un file DLL modificato ad arte e vine avviato Internet Explorer che accede ad una pagina che attiva Flash (non importa quale pagina sia). Il file DLL provoca la chiusura di Explorer e l’avvio di un programma scelto da chi ha creato il file DLL modificato, in questo caso la calcolatrice di Windows.

    Gli altri filmati mostrano il medesimo problema di altri file eseguibili.

    Avevo parlato del problema del DLL hijacking qualche giorno fa, questo video mostra nei fatti quanto sia facile e fattibile sfruttare questo tipo di vulnerabilità. (via Bugtraq)

  • Firewall quasi-embedded con Alix Board e Debian Linux

    Dopo aver installato una buona quantita` di firewall per piccole esigenze usando OpenWRT, mi sono stancato della scarsita` dell’ hardware (Linksys WRT54GL) e mi sono dedicato alla ricerca di una piattaforma embedded o quasi che fosse piu` potente ma non costasse un rene.

    Dopo diverse peripezie, ho trovato (mi hanno consigliato) le Alix Board. Si tratta di schede quasi-embedded, nel senso che prevedono anche funzionalita` da “vero computer”, tipo USB, interfaccia IDE, VGA (su alcuni modelli). Ho scelto il modello 2D13, che fornisce 256 MB di RAM (fissa), una porta ide, una porta per schede CompactFlash, due USB, una seriale (e una seconda on-board senza connettore esterno), 3 ethernet 10/100, uno zoccolo per schede Mini-PCI e una CPU AMD Geode. Niente tastiera e video. Su questa scheda e` possibile (con qualche customizzazione) installare una Debian con kernel per 486. L’installazione e` un po` funambolica, ma se vi interessa (scrivetemi nei commenti) posso fornire un link a una immagine gia` pronta da caricare con un semplice “dd” sulla vostra scheda CompactFlash.

    Il sistema e` sufficientemente potente da poter installare una quantita` decente di applicazioni, su una SD da 1 GB ci sta tranqillamente una installazione anche abbastanza complessa. Chiaramente i limiti sono principalmente sulla lentezza della CPU (non aspettiamoci di fare passare traffico a 100 Mbit, pero` a 50 si arriva) e nella lentezza spaventosa della CF. Quest’ultima probabilmente sarebbe decisamente migliorabile se avessi installato una CF piu` costosa e performante. Occorre anche ricordare che la CF, come tutti i dispositivi flash memory, ha una vita limitata dal numero di scritture, quindi non pensate di installare un server FTP dove i files cambiano spesso, un proxy con caching, o un database. Sarebbe lento e massacrerebbe la CF molto in fretta.

    Se pero` vi serve un firewall, concentratore VPN (per pochi utenti), proxy web senza cache (per autenticare o per logging), o un centralino Asterisk puramente voip (senza schede per linee telefoniche PSTN o ISDN) questa potrebbe essere la vostra soluzione. Considerando poi che ho trovato proprio oggi delle schede Mini-PCI per 1, 2 o 4 canali ISDN BRI (marca OpenVox) ecco che (posto che la CPU ce la faccia) potremmo anche farci un centralino con 4 ISDN BRI.

    Il consumo elettrico ridicolo (meno di 15 W) e il costo ridotto (circa 140 euro con alimentatore, scatola, e scheda CF economica da 4 GB) rendono questa soluzione interessante anche in una configurazione ridondante active-standby, anche per clienti con budget molto limitati.