File dei certificati SSL

Più studio i dettagli e i dietro le quinte di SSL/TLS e della PKI e più mi rendo conto di quanti (troppi?) livelli di complessità ci siano in questo insieme di tecnologie.

Tra questi ci sono i formati dei file e le loro estensioni.

Anche in questo caso vale la regola che il bello degli standard è che ce ne sono tanti tra cui scegliere.

Ho cercato di mantenere il discorso il più chiaro possibile linkando fonti esterne per evitare di aprire troppi incisi; l’elenco e le spiegazioni sono tutto fuorché esaustivi. Leggi tutto “File dei certificati SSL”

Secondo intercalare in giugno

Porta del tempo / Time portalIl 2015 durerà un secondo in più.

Quando la differenza in valore assoluto tra il tempo universale  UT1 e il tempo coordinato universale (UTC) si avvicina agli 0,6 secondi viene applicato un secondo intercalare per mantenere il delta tra le due misure entro 0,9 secondi in valore assoluto.

Applicata per la prima volta nel 1972, è una correzione necessaria per mantenere sincronizzata il più possibile l’ora degli orologi atomici con il movimento della Terra.

Fin’ora le correzioni sono sempre state in positivo. Leggi tutto “Secondo intercalare in giugno”

Due tool command line

Capita ogni tanto di essere davanti ad un terminale ad aspettare che finisca un’operazione sistemistica oppure di aver bisogno un’informazione e trovarla senza utilizzare un browser.

Questi due programmi sono utili proprio in quei due contesti. Leggi tutto “Due tool command line”

Ridurre lo spazio di WSUS

Molti lamentano che WSUS occupa troppo spazio su disco.

Se l’opzione di utilizzare wsusutil movecontent non è praticabile oppure si desidera proprio togliere di mezzo un po’ di file, allora si può seguire questa procedura. Leggi tutto “Ridurre lo spazio di WSUS”

Rigenerare le chiavi ssh

Quanto è vecchia la vostra chiave ssh?

Rigenerare le chiavi ssh usate per collegarsi ai server è una rottura di scatole, ma potrebbe essere una rottura di molte unità di grandezza inferiore rispetto allo scoprire che una chiave ssh viene usata da mesi a nostra insaputa.

Quanto sono cortelunghe le chiavi ssh registrate nei file authorized-keys dei vostri server?

Per fortuna a questa ultima domanda c’è una risposta veloce sotto forma di un pratico script shell. Leggi tutto “Rigenerare le chiavi ssh”

Cancellare i file: CMD vs. PowerShell

La buona abitudine di usare gli script sta tornando anche nell’ambiente Windows.

Dopo alcuni aborti come VBscript e alcune soluzioni di terze parti come KiXtart, sembra che PowerShell sia diventato il linguaggio di scripting sulla cui disponibilità nei client si può fare affidamento per l’immediato futuro.

PowerShell è una CLI molto potente e non ha nulla a che fare con CMD.EXE. L’ostacolo maggiore è che ha una serie di comandi e una sintassi completamente diverse da CMD.EXE, perciò l’amministratore di un sistema Windows deve impararsi di fatto un linguaggio nuovo.

Tra le differenze c’è l’interpretazione delle wildcard nella cancellazione dei file. Leggi tutto “Cancellare i file: CMD vs. PowerShell”

Cercare nel punto giusto

Linux performance tools by Brendan Gregg«Il server è lento».

Una frase molto comune che tutti possono pronunciare. La ricerca delle cause dei rallentamenti spesso non è così semplice perché non è affatto detto che la causa sia una sola né che risieda all’interno del server.

Diversamente da Windows, Linux ha una struttura interna ben documentata al pubblico, inoltre negli anni sono stati sviluppati molti tool a livello utente che permettono di compiere analisi molto dettagliate sullo stato del kernel e del sistema e consentono di modificare i parametri operativi di funzionamento, molti dei quali senza riavviare il sistema operativo.

Brendan Gregg, Senior Performance Architet di Netflix, ha fatto un lavoro encomiabile di raccolta e catalogazione dei tool che possono aiutare il SysAdmin nella ricerca dei problemi e nella loro soluzione.

Sul sito ci sono alcune immagini come quella riportata in questo articolo che aiutano a capire quale sia il tool giusto per operare nel punto in cui si vuole analizzare il problema o modificare un parametro.

Per chi ha a che fare con problemi di performance delle macchine Linux, la pagina di Brendan è un ottimo punto di partenza che guida il SysAdmin nell’analisi dei problemi.

WAMP su Windows 7

Questo articolo spiega come configurare una struttura WAMP su un Windows 7 installando i singoli programmi separatamente.

Esistono anche dei kit preconfezionati come, a puro titolo di esempio, EasyPHP, ma è più istruttivo costruire da soli la propria configurazione in quanto si imparano meglio il funzionamento e l’interazione dei vari componenti, si possono aggiornare i singoli programmi senza dipendere da terzi ed è molto più semplice di quello che si possa credere. Le istruzioni di seguito partono da alcuni presupposti e hanno alcune limitazioni, tra cui:

  • l’installazione non ha una sicurezza adatta ad un server pubblico, ma è pensata per un server di sviluppo protetto da altri metodi;
  • la piattaforma su cui viene installato il tutto è un Windows 7 a 64 bit e, dove possibile, vengono installate le versioni a 64 bit dei programmi;
  • vengono installate le ultime versioni disponibili dei software cercando il più possibile di mantenere i default;
  • tutti i download suggeriti riguardano solamente programmi gratuiti, anche se per alcune utility esistono alternative a pagamento;
  • ripeto: non usate questa procedura per configurare un server pubblicato su Internet.

Queste istruzioni sono valide per le ultime versioni di Apache (2.4), PHP (5.5) e MariaDB (10.0), con versioni precedenti potrebbero essere necessarie ulteriori modifiche o accorgimenti per far funzionare il tutto. Leggi tutto “WAMP su Windows 7”

Synolocker

Il famoso ransomware CrysynolockerptoLocker e` stato, a quanto pare, adattato per poter girare direttamente dentro ai NAS Synology. Al momento non so in quale modo viene portato l’attacco, ovvero in che modo il malware si installi nel NAS, ma mi sembra ovvio che sia opportuno prendere in considerazione le classiche misure di sicurezza, soprattutto fino a che non sara` fatta piu` luce sul problema.

 

 

  1. Se possibile, staccare totalmente il NAS da internet
  2. Se non e` possibile, esporre solo le porte veramente necessarie. Ad esempio esporre la porta del file manager ma non quella dell’amministrazione
  3. Esporre se possibile il NAS usando porte non standard (riduce il rischio di essere oggetto di un attacco casuale)
  4. Assicurarsi che il NAS non sfrutti UPNP per aprire delle porte sul router all’insaputa dell’utente
  5. Impostare password complesse e lunghe
  6. Aggiornare il firmware del NAS
  7. Tenere un backup offline dei files.

 

Visto che ancora non si sa come il malware penetri nel NAS, puo` essere che la via di infezione sia a mezzo di un altro malware che gira su un PC Windows nella LAN del NAS, in questo caso le precauzioni relative all’accesso via internet sarebbero inutili, ma e` comunque meglio prenderle in considerazione tutte. E` altrettanto logico che un PC infetto sul quale sia stata salvata (o anche solo digitata) la password di amministrazione e` un vettore di attacco contro il quale non c’e` soluzione, se non spegnere il NAS. 🙂

Aggiornamento: Cercando notizie in giro ho scoperto che da parecchio tempo (diversi mesi, pare) e` in giro un malware che infetta i NAS Synology e che mina bitcoin, senza fare altri danni. A parte che trovo assurdo minare bitcoin con le CPU ridicole che si trovano nei NAS, questo nuovo malware potrebbe evidentemente avere ereditato le capacita` di attacco dal vecchio bitcoin miner.

 

 

Festeggiate i SysAdmin

keep-calm-and-call-a-sysadminOggi ricorre l’annuale System Administrator Appreciation Day.

Ci sono tante definzioni di SysAdmin, traducibile in italiano con sistemista; uno dei modi per capire se un tecnico informatico è anche un vero SysAdmin è vedere se quella persona “ci tiene” a che le cose vadano bene e che tutto funzioni come si deve.

Spesso, però, le azioni che il SysAdmin fa per fare andar bene le cose sono comprensibili solamente ad altri colleghi, anche perché è impossibile spiegare a non addetti ai lavori una frase tipo “script bash che monitora la porta TCP e restarta il demone se non risponde entro un timeout”.

Il lavoro del SysAdmin spesso è paragonabile alla manutenzione delle fognature: non se ne accorge nessuno finché le cose funzionano, ma quando qualcosa non va…

Prima o poi i sistemisti domineranno la Terra, nel frattempo oggi offrite almeno un caffè al vostro SysAdmin.

Estensione esagerata

Il funzionamento dell’informatica per gli utenti è spesso un mistero, più simile a magia nera che a tecnica. C’è da dire che molto spesso, chi lavora in ambito IT e si spaccia per professionista non fa altro che alimentare la confusione, invece di risolverla.
In particolare, un argomento sempre ostico per l’utente è la questione della estensione del nome file: quella sigla poco comprensibile, succinta e spesso incomprensibile che segue il punto dopo il nome del file.

Perchè sia lì, a cosa serva, come sia fatta e via dicendo spesso è un mistero ed è apparentemente complicato far capire alle persone il suo semplice funzionamento.
Tutti sappiamo che, in Windows, l’estensione è un identificativo che, tramite una tabella di associazione, dice al sistema operativo con quale applicativo deve manipolare il file. Per la maggior parte degli utenti, invece l’estensione ha la proprietà magica di rivoluzionare il contenuto del file.

Nei miei corsi, quando cerco di spiegare questo concetto, normalemente prendo un bicchiere di plastica con una etichetta bicchiere attaccata sopra e chiedo alla platea che cosa sia. Quasi tutti riescono a rispondere correttamente, identificando l’oggetto.
Dopodichè cambio l’etichetta con una con scritto forchetta e ripeto la stessa domanda: di nuovo la maggior parte riesce a rispondere correttamente.
Passo infine a chiedere perchè se il bicchiere non è cambiato, perchè un file dovrebbe farlo, semplicemente sostituendo una scritta attaccata sopra. Leggi tutto “Estensione esagerata”

Operation Windigo

Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.

Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.

Questa è più o meno la scansione degli eventi:

  • agosto 2011: il server di kernel.org viene compromesso (tornerà online in ottobre);
  • novembre 2011: Steinar Gunderson pubblica la prima analisi tecnica di Linux/Ebury, un trojan che colpisce i server ssh;
  • febbraio 2013: cPanel denuncia che alcuni suoi server sono stati infettati da Linux/Ebury; il CERT tedesco inizia ad avvertire alcune vittime del medesimo trojan;
  • aprile 2013: Sucuri pubblica la prima analisi tecnica di Linux/Cdorked, una backdoor che colpisce Apache, Nginx e lighttpd;
  • giugno 2013: viene trovato un nesso tra Linux/Ebury e Linux/Cdorked; l’analisi di frammenti di traffico rivela che Linux/Ebury ha infettato oltre 7.500 server;
  • luglio 2013: viene scoperto Perl/Calfbot, legato ai due malware di cui sopra;
  • settembre 2013: l’analisi del traffico rivela che Linux/Cdorked genera oltre un milione di ridirezioni in due giorni;
  • ottobre 2013: l’analisi del traffico rivela che oltre 12.000 server sono infettati da Linux/Ebury;
  • gennaio 2014: l’analisi del traffico di un C&C di Perl/Calfbot rivela che il bot genera 35 milioni di messaggi al giorno.

Leggi tutto “Operation Windigo”

L’insostenibile difficoltà di mandare una mail (2)

Ho preso da poco un cliente che fra i mille problemi che ha mi dice che spesso non riesce a inviare email.

Mi sono fatto mandare i dettagli dell’errore, e ho scoperto che il server email del suo fornitore (un emerito sconosciuto che gli fornisce la mail e l’hosting web) gli rifiuta le mail  senza alcuna indicazione utile nel messaggio di errore (550) del protocollo SMTP.

Avevo il dubbio che per qualche motivo il client non si autenticasse, cosi` ho tirato fuori uno sniffer e ho verificato. Il client si autenticava correttamente, ma quando tentava di mandare la mail veniva rifiutato.

La cosa che mi lasciava perplesso era che aveva smesso di funzionare all’improvviso e apparentemente senza motivo. Il fatto che poi non vi fosse alcuna indicazione del perche` la mail venisse rifiutata aiutava ancora meno.

Per curiosita` provo (a mano, in telnet) dal mio ufficio e vedo che la mail viene accettata senza problemi.

Mi viene un dubbio atroce.

Controllo le blacklist piu` note, e scopro che l’ ip della ADSL del cliente e` in effetti in blacklist. Siccome il cliente ha ip dinamico, tento di cambiarlo disconnettendo e riconnettendo il router. Riuscito ad ottenere un ip diverso, riesco a mandare mail senza problemi.

Ora tutto e` chiaro. Il provider commette un errore madornale: controlla se l’ ip del mittente e` in blacklist anche se questo si e` autenticato. E` logico che se tutti i mail server si comportassero cosi`, nessun utente potrebbe inviare email dalla propria ADSL con ip dinamico, o da ip condivisi come quelli dietro un NAT (vedi Fastweb, H3G, ecc.).

Resomi conto di quale fosse il problema, ho provato a chiamare il provider in questione per spiegargli il problema del cliente, dapprima in modo soft e facendo finta di essere un utente normale, e poi spiegando chiaramente e in modo tecnico quale fosse il problema e quale fosse la soluzione.

La risposta del provider e` stata che “va bene cosi`” e che loro non vogliono che i clienti possano mandare spam.

Il provider ha perso un cliente.  Speriamo che presto li perda tutti.

 

L’insostenibile difficoltà di mandare una mail

round-hole-square-pegSe pensate che impostare un client di email per inviare tramite SMTP autenticato sia facile e lineare, non avete mai cercato di fare parlare assieme Apple Mail e Plesk.

Apple Mail e` il client di email installato di default sui Mac. Plesk e` un sistema (composto di varie parti, alcune delle quali open source) che serve a fornire servizio di hosting (web, email, dns, ecc) in maniera semplice e soprattutto in modo da renderlo facilmente gestibile dal cliente.

Leggi tutto “L’insostenibile difficoltà di mandare una mail”

La cascata dei catorci

Computer-TrashOggi voglio parlarvi di una pratica aberrante, che io definisco “la cascata dei catorci”.

Quando un computer di qualche impiegato si rompe o e` troppo lento per le sue necessita`, anziche` comperare un computer nuovo all’impiegato in oggetto  l’azienda comprera` un computer nuovo per il titolare, quindi dara` l’ ex-pc del titolare alla persona subito sotto di lui, l’ ex-pc di questa persona alla persona subito sotto di lui, e cosi` via, fino ad arrivare a sostituire il pc troppo lento in oggetto.

In pratica il PC nuovo viene inserito al vertice dell’organigramma, e tutti i vecchi PC piu` in basso cadono, a cascata, verso il gradino piu` basso dell’organigramma stesso. Leggi tutto “La cascata dei catorci”

Ransomware e backup

CHIUSO / CLOSEDDopo quasi dieci anni durante i quali i vari tipi di malware non distruggevano i dati, il ransomware ha riportato in auge un vecchio tema di lotta contro i vari tipi di malware.

Il ransomware è quel tipo di software ostile che blocca in qualche modo l’accesso ai file degli utenti per chiedere poi un riscatto (ransom).

Lo scorso anno CryptoLocker è diventato relativamente famoso e in quattro mesi di vita ha già fatto moltissime vittime. Negli ultimi giorni è stato annunciato Prison Locker (originale su Pastebin), un nuovo tipo di ransomware che cripta ogni tipo di file accessibile di un’installazione Windows, con l’eccezione degli eseguibili e dei file di sistema.

Questa nuova famiglia di malware impone una revisione delle politiche di backup.

Leggi tutto “Ransomware e backup”

Forward secrecy in Postfix

È possibile implementare la forward secrecy anche nelle sessioni TLS di Postfix.

Questa guida parte dal presupposto che Postfix abbia TLS configurato e funzionante, non importa se con un certificato auto-emesso o rilasciato da un’autorità PKI, e si applica alla versione 2.10, le versioni precedenti potrebbero aver bisogno di qualche aggiustamento dei parametri, come indicato nel readme apposito.

Lo scopo è di avere delle chiavi di sessione effimere con una vita relativamente breve al fine di rendere più ardua la cosiddetta retrospective decryption attraverso una rigenerazione periodica dei parametri p e g dell’algoritmo Diffie-Hellman per lo scambio di chiavi.

Leggi tutto “Forward secrecy in Postfix”

PHP FastCGI Process Manager con CentOS 6

Con Apache gli script PHP possono essere interpretati essenzialmente in due modi: attraverso un modulo apposito (mod_php) o richiamando l’interprete PHP con FastCGI.

In molti casi si utilizza mod_php perché è l’opzione di default preconfigurata, ma ci sono delle alternative, con vantaggi e svantaggi che vanno valutati con attenzione.

mod_php è in genere (ma anche qui ci potrebbero essere eccezioni) più veloce e permette di personalizzare alcune direttive di configurazione all’interno del file .htacess; il rovescio della medaglia è che l’interprete PHP viene caricato assieme ad ogni istanza di Apache, anche quando non serve perché viene richiesto un file di testo o un file con un’immagine, e viene eseguito nel suo stesso contesto di sicurezza.

Utilizzando FastCGI il codice eseguito dall’interprete PHP è completamente separato da quello del web server, quindi si può definire un contesto di sicurezza differente da quello utilizzato dal server e l’interprete viene eseguito solamente quando è necessario. Nel 2012 è stata scoperta una vulnerabilità di PHP eseguito via CGI tale per cui richiamando una pagina mettendo nell’URL ?-s (esempio: http://www.example.com/index.php?-s) viene visualizzato il sorgente dello script al posto del risultato. Il baco è stato corretto, ma vale la pena di eseguire un test se si passa da mod_php a FastCGI.

Dalla versione 5.3 PHP ha introdotto FastCGI Process Manager (FPM), una tecnologia per demonizzare l’interprete PHP e richiamarlo da server HTTP differenti anche, volendo, da host diversi. FPM crea uno o più pool di server, ciascuno con un proprio contesto di sicurezza e una propria configurazione, in questo modo il numero di worker che interpretano il codice PHP può essere diverso dai worker del server HTTP.

Vediamo come passare da mod_php a FPM su un’installazione CentOS 6.

Leggi tutto “PHP FastCGI Process Manager con CentOS 6”