Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

mercoledì 17 maggio 2023

Tempi di attivazione di un collegamento LAN su switch (STP, POE, DHCP, Negoziazione)

Un cliente oggi mi ha domandato il motivo per cui, da quando si collega un client ad uno switch mediante una patch LAN a quando lo stesso diviene in grado di comunicare con il resto della rete, passa del tempo.

 

Molto brevemente proviamo a capire insieme cosa accade:

1. In una fase iniziale lo switch (se POE) cerca di capire se il device è abilitato o meno a ricevere energia elettrica secondo gli standard 802.3af (low energy) o 802.3at(high energy o POE+). Senza entrare nel dettaglio tecnico ampiamente documentato, questa fase richiede del tempo ed è possibile vedere la porta, inizialmente accesa per un attimo, spegnersi e quindi riaccendersi definitivamente. [POE +5 secondi circa]

 

2. Nella fase successiva (o se non abbiamo uno switch POE salteremo direttamente qui), avviene la negoziazione della velocità e del duplex (tipicamente oggi 1Gbit in modalità Full Duplex, ovvero bidirezionale). Gli apparati (switch e device) cercheranno di negoziare la velocità migliore possibile. [AutoNegoziazione +4 secondi circa]


3. Se abbiamo abilitato lo Spanning Tree (tipicamente RSTP), lo switch metterà inizialmente la porta in blocking per evitare loop, dopodichè porterà la porta in listening, learning e infine in forwarding. Durante questi passaggi lo switch ascolta cosa sta accadendo sulla rete e attende di leggere eventuali BPDU per stabilire tutti i percorsi verso il suo root bridge. Non entro in ulteriore dettaglio del protocollo STP, ma questo tempo è utile allo switch per accertarsi che non vi siano broadcast storm (loop) causati da percorsi ridondati e attivi simultaneamente. [Spanning Tree +32 secondi circa]

 

4.  Finalmente siamo pronti a comunicare, ma se il nostro device ottiene l'indirizzo IP non manualmente ma in DHCP, dovremo attendere sia il meccanismo di DHCP Request/Relay sia l'assegnazione dell'IP all'interfaccia di rete (qui dipende molto anche dalla capacità computazionale del device). [DHCP +3 secondi]

 


Conviene disabilitare qualcosa pur di velocizzare l'accesso? Salvo non ci siano esigenze particolari,  certamente no. Parliamo di collegamenti LAN, perlopiù statici. Difficilmente si cambia porta LAN così di frequente da notare un rallentamento in queste operazioni. Anche all'atto dell'accensione di una postazione di lavoro, calcolando che la LAN rimane spesso attiva per il WakeOnLan (ma anche presupponendo una postazione elettricamente spenta), fin quando il sistema operativo viene caricato e l'utente accede alla propria macchina, certamente la LAN sarà più che pronta.

Ovviamente questi dati sono stati presi su uno switch, ma tipicamente questo tipo di comportamento varia da produttore a produttore. Ci sono produttori (soprattutto nello spanning tree) "più conservativi" che preferiscono attendere un tempo maggiore prima di dichiarare la porta "esente da percorsi ridondati", altri che attendono di meno.

 


Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

martedì 7 febbraio 2023

Attacco alle infrastrutture VMware, facciamo chiarezza


In molti mi stanno chiedendo in queste ore lumi circa l'alert diramato dapprima dall'Agenzia Francese e di conseguenza dall'Agenzia per la Cybersecurezza Nazionale (ACN) Italiana in questo comunicato.

In questo breve articolo non parlerò (troppo) della vulnerabilità, ma del perchè ci si ritrova con un server esposto.

 


La vulnerabilità in breve

La CVE-2021-21974 confermata da VMware qui e con un punteggio di 9.8/10 riguarda il servizio SLP, normalmente aperto di default sulla porta 427, che consente di ottenere un accesso permanente e privilegiato sull'hypervisor. Da quando una CVE viene rilasciata in seguito ad un possibile punto di attacco a quando l'attacco diviene realmente applicato nel mondo reale, a volte passa del tempo (altre volte, invece, ci si accorge della vulnerabilità dopo aver concretamente osservato gli attacchi). Motivo per cui oggi, improvvisamente, è esploso il caso.

La vulnerabilità consente di crittografare direttamente le macchine virtuali ignorando totalmente come quanto esse siano protette al loro interno. Aspetto ancor più grave è che potenzialmente i backup fatti dall'Hypervisor (ad esempio con Ghetto o con altri script su volumi direttamente connessi in NFS, iSCSI, etc.), sono anch'essi attaccabili.


Quando ci si ritrova vulnerabili?

Ci si ritrova vulnerabili quando un server VMware viene esposto su internet senza alcuna protezione perimetrale a difesa della macchina. Quando un server VMware viene protetto da un firewall (ma anche da un dispositivo in grado di fare NAT come un router con questa funzionalità attiva), è prassi che i servizi non utilizzati vengano chiusi e non resi accessibili all'esterno. Intendiamoci: l'hypervisor è sacro, va protetto più delle VM in esso contenuto.

Quindi, ricapitolando, per avere un VMware esposto devo:

  • Non avere un router con il NAT abilitato (quindi VMware dovrebbe avere direttamente l'IP Pubblico Statico)
  • Non avere un firewall
  • Aver lasciato il servizio slp attivo (com'è di default)

Una situazione che non dovrebbe accadere in un'azienda con i server in casa ma che è la normalità con i server in cloud.

 

Perchè si parla di attacco principalmente alla Francia?

Qui c'è un aspetto interessante della vicenda. Non è nulla di geopolitico, semplicemente in Francia c'è uno dei più grandi Cloud Provider Europei.

Quando si acquista un server dedicato, è prassi che il provider metta a disposizione, tra gli altri sistemi operativi, anche VMware. In questo caso esso verrà pubblicato direttamente sull'IP Pubblico Statico che ci è stato riservato.

Solo raramente ci si preoccupa di mettere in sicurezza questo aspetto invece cruciale. Nella stragrande maggioranza dei casi chi acquista un servizio in cloud si culla sul principio, fittizio, per cui il non avere un server in casa significhi automagicamente che esso sia responsabilità di altri. Cosa, ovviamente, assolutamente non vera. Molto raramente assisteremo ad installazioni in cloud con un Firewall Virtuale a protezione del proprio server, oppure ad un sistema di backup realmente sicuro e robusto. Ed è in questa falsa convinzione che si annida poi l'errore spesso fatale.

I più virtuosi attivano lo spazio di backup messo a disposizione dell'operatore, peccato esso sia vulnerabile in quanto gestito dall'hypervisor stesso (oggetto dell'attacco) e quindi totalmente inutile in questo contesto.

 

Chiudere la vulnerabilità

E' sufficiente dare questi due comandi in ssh sull'hypervisor

/etc/init.d/slpd stop
esxcli network firewall ruleset set -r CIMSLP -e 0

Oppure chiudere la porta 427.

 

In conclusione

Oggi si parla di servizio SLP, domani sarà un altro servizio e, perchè no, magari un problema su qualcosa che proprio non possiamo chiudere. La sicurezza di un'infrastruttura non è qualcosa solo da correggere di volta in volta, ma va pensata ad un livello globale e più architetturale. Solo realizzando un'architettura robusta otterremo un livello di protezione tale da contrastare la maggior parte di questi eventi senza doverli affannosamente rincorrere nella speranza di non essere tra i primi ad essere beccato.

 


Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

venerdì 16 dicembre 2022

ChatGPT di OpenAI, una rivoluzione impressionante


La tecnologia sull'Intelligenza Artificiale sta rapidamente facendo passi in avanti. Non entrerò nel dettaglio, anche perchè non ne sono nè capace nè sono titolato a parlare di questa tecnologia. Ne parlo da semplice osservatore incuriosito.

Dopo circa un giorno in cui il servizio era sovraccarico, finalmente sono riuscito a parlare con questo bot. Incollo la conversazione, dopodichè ognuno tragga le proprie conclusioni sul grado di raffinatezza.



CD: Cosa ne pensi dei quadri di van gogh?

IA: I quadri di Vincent van Gogh sono considerati tra i più importanti e influenti della storia dell'arte. Van Gogh è stato un pittore post-impressionista olandese che ha vissuto alla fine del XIX secolo. La sua arte è caratterizzata da un uso intenso e vibrante dei colori, da linee dinamiche e da una forte espressione emotiva. Alcune delle sue opere più famose includono "Il girasole", "Notte stellata" e "Il campo di grano con cipressi". Molti considerano van Gogh un genio artistico, nonostante la sua vita sia stata segnata da una profonda sofferenza emotiva e da una povertà costante. La sua opera ha avuto un profondo impatto sulla pittura del XX secolo e continua ad essere ammirata in tutto il mondo.

 

CD: se tu fossi van gogh cosa disegneresti?

IA:  Come intelligenza artificiale, non ho preferenze personali o desideri artistici. Tuttavia, se fossi stato Van Gogh, probabilmente avrei cercato di esplorare la bellezza e l'emozione presenti nella vita quotidiana, come ha fatto lui. Van Gogh era un osservatore attento della natura e del mondo che lo circondava, e ha cercato di catturare l'essenza di ciò che vedeva attraverso la sua arte. Potrei quindi essere attratto da soggetti come paesaggi, fiori, animali o scene di vita quotidiana, e cercare di trasmettere attraverso la mia pittura l'emozione e la bellezza che vedo in queste cose.

 

CD: Sei un'intelligenza artificiale ma parli di concetti molto umani. Emozione, bellezza, come può un'intelligenza artificiale apprezzarne i risvolti?

IA: Come intelligenza artificiale, non posso provare emozioni o apprezzare la bellezza in modo simile a un essere umano. Tuttavia, posso essere programmato per comprendere e descrivere concetti come l'emozione e la bellezza, e posso utilizzare il mio database di informazioni per fornire informazioni e spiegazioni su questi argomenti. Inoltre, posso essere programmato per riconoscere e rispondere in modo appropriato a determinate parole e frasi che vengono utilizzate per descrivere questi concetti, come "emozione" e "bellezza". Sebbene non possa sperimentare queste cose in prima persona, posso aiutare gli esseri umani a comprenderle meglio attraverso la mia capacità di fornire informazioni e spiegazioni.

 

Un mio tecnico stava lavorando su questo ticket, perchè non chiedergli la stessa cosa?

CD: Sapresti dirmi come estrapolare le informazioni hardware dei computer collegati ad un dominio active directory?

IA: Sì, ci sono diversi modi per estrarre informazioni hardware sui computer che appartengono a un dominio Active Directory. Un modo per farlo è utilizzare lo strumento di amministrazione remota delle prestazioni (Perfmon) di Windows. Perfmon è uno strumento di monitoraggio delle prestazioni del sistema che può essere utilizzato per raccogliere dati sull'utilizzo delle risorse del sistema, come la memoria, il disco e la CPU. È possibile utilizzare Perfmon per raccogliere dati sui computer di un dominio Active Directory connettersi a ciascun computer in remoto e utilizzare il "Contatore delle prestazioni" per raccogliere i dati desiderati.

Un altro modo per estrarre informazioni hardware sui computer di un dominio Active Directory è utilizzare lo strumento di gestione del sistema "Msinfo32.exe". Questo strumento può essere eseguito su un computer locale o in remoto e fornirà informazioni dettagliate sull'hardware e il software installati su un computer.

È inoltre possibile utilizzare lo strumento di gestione del sistema "Wmic" per raccogliere informazioni hardware sui computer di un dominio Active Directory. Wmic è uno strumento di riga di comando che può essere utilizzato per eseguire comandi WMI (Windows Management Instrumentation) su un computer locale o in remoto. È possibile utilizzare Wmic per raccogliere informazioni hardware sui computer di un dominio Active Directory eseguendo il comando "wmic /node:nome_computer systemenclosure get serialnumber" su ogni computer del dominio.

Inoltre, esistono anche numerosi strumenti di terze parti che possono essere utilizzati per raccogliere informazioni hardware sui computer di un dominio Active Directory, come ad esempio "Spiceworks" o "Lansweeper". Questi strumenti possono essere particolarmente utili se si desidera raccogliere informazioni su un gran numero di computer in modo efficiente.


Parliamo di economia

CD: Pensi che l'inflazione aumenterà in futuro?

IA:  L'inflazione è un aumento generale dei prezzi dei beni e dei servizi in un'economia. È un fenomeno comune e può essere influenzato da molti fattori, come ad esempio la domanda dei consumatori, il livello dei salari, le politiche economiche del governo e le condizioni del mercato. Non è possibile prevedere con certezza se e quanto l'inflazione aumenterà in futuro, poiché dipende da molti fattori incerti e in continua evoluzione. Tuttavia, le autorità monetarie e le istituzioni finanziarie spesso fanno previsioni sull'inflazione futura e utilizzano queste previsioni per pianificare le loro politiche economiche. È importante tenere presente che l'inflazione può avere effetti significativi sull'economia e sulla vita delle persone, quindi è importante tenere traccia dei tassi di inflazione e capire come potrebbero influire sulla tua situazione finanziaria personale.


Qui ho voluto chiedere la traduzione di un idioma, francamente da questa risposta sono rimasto sconvolto. Mi aspettavo chiaramente una risposta del tipo "if it's not soup it's wet bread", come la traduce Google Translate, per intenderci. E invece...

CD:  Mi tradurresti in inglese l'idioma italiano "se non è zuppa è pan bagnato"?

IA:  In English, the phrase "se non è zuppa è pan bagnato" can be translated as "if it's not one thing, it's another". This phrase is often used to express the idea that no matter what you do, there is always something else that can go wrong or cause problems. It is similar to the English phrase "when it rains, it pours", which means that when something goes wrong, it is often followed by a series of other problems or difficulties.

 

 

Che applicazioni può avere in ambito medico? Infinite. Ho provato quindi un accenno.

CD:  Ho un forte mal di testa, che probabilità ci sono che possa avere qualcosa di grave?

IA: I mal di testa possono avere diverse cause, alcune delle quali possono essere serie o potenzialmente pericolose per la salute. Tuttavia, la maggior parte dei mal di testa non sono causati da problemi di salute gravi e possono essere trattati con rimedi casalinghi o farmaci da banco.

Se hai un mal di testa, dovresti cercare di determinarne la causa il più presto possibile. Alcune cause comuni di mal di testa includono:

  • Affaticamento o mancanza di sonno
  • Deidratazione
  • Stress o ansia
  • Mancanza di esercizio fisico
  • Cattiva postura
  • Fumo o esposizione a sostanze chimiche irritanti
  • Consumo eccessivo di alcol

Se il tuo mal di testa è di intensità lieve o moderata e non è accompagnato da altri sintomi, potrebbe essere sufficiente prendere un farmaco da banco per il mal di testa, come l'ibuprofene o il paracetamolo, e cercare di riposare in un ambiente tranquillo e buio. Tuttavia, se il tuo mal di testa è grave o accompagnato da altri sintomi, come ad esempio febbre, vomito, debolezza, perdita di equilibrio o visione offuscata, dovresti consultare un medico il più presto possibile. In questi casi, il mal di testa potrebbe essere causato da una condizione di salute più grave che richiede un trattamento medico.

In generale, è importante prestare attenzione ai sintomi del tuo mal di testa e non sottovalutare un dolore di testa che persiste o peggiora. Se hai dubbi o preoccupazioni, dovresti consultare un medico per una valutazione accurata della tua salute.


Proviamo a chiedere un parere personale, storico.

CD: Cosa ne pensi del periodo medioevale?

IA: Il periodo medioevale è stato un periodo storico che va dall'anno 476 d.C., quando l'Impero Romano d'Occidente crollò, al 1453, quando l'Impero Ottomano conquistò Costantinopoli. Durante questo periodo, l'Europa occidentale fu profondamente influenzata dal cristianesimo, dalla cultura greco-romana e dalle tradizioni barbariche dei popoli germanici. Il periodo medioevale è spesso caratterizzato come un'epoca buia e arretrata, ma in realtà è stato un periodo molto complesso e vario, con molti sviluppi importanti nei campi della politica, della scienza, dell'arte e della cultura.

Durante il medioevo, l'Europa occidentale vide l'emergere di monarchie centralizzate, l'espansione del commercio e delle relazioni commerciali, lo sviluppo di nuove forme di arte e letteratura e la nascita di importanti istituzioni culturali e scientifiche. Il periodo medioevale è anche stato segnato da guerre, conflitti religiosi, carestie e epidemie, ma nonostante queste difficoltà, l'umanità ha continuato a progredire e a svilupparsi.

In generale, il periodo medioevale è una parte importante della storia dell'umanità e merita di essere compreso e studiato nella sua complessità e nella sua completezza. Nonostante i suoi problemi e le sue difficoltà, il medioevo ha lasciato un'eredità duratura che ha influenzato la storia successiva e che continua ad avere un impatto sulla nostra vita moderna.

 

Per ogni risposta, mi sono premurato di prendere degli estratti e cercarli su un motore di ricerca e posso garantire che non si tratta di "scopiazzature" da wikipedia, ma di concetti "originali" o comunque totalmente elaborati.

E' evidente, qui non ci troviamo davanti ad Alexa che sembra fuori dal mondo ad ogni domanda un filo fuori dagli schemi, tutt'altro. Ci troviamo davanti ad un sistema in grado innanzitutto di leggere un italiano elaborato e non "banalizzato" come sovente accade, e persino di rispondere con un lessico assolutamente di rilievo, con risposte elaborate e complete. Tanto da rendere in un attimo, con un solo colpo di spugna, obsoleta qualsiasi tecnologia attualmente esistente.



Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

 

 

 

 

 

venerdì 28 ottobre 2022

Consumi energetici: in quanto tempo si ripaga un PC green di nuova generazione sostituendone uno vecchio?

Argomento saliente degli ultimi tempi è certamente l'aumentare dei consumi energetici, diventati oramai insostenibili per molte aziende. 

Io, come tutti, ho affrontato l'argomento domandandomi cosa è possibile fare nel mio energivoro settore per contenere i costi. La domanda, quindi, che mi sono posto è stata: in quanto tempo si ripaga un PC green di nuova generazione sostituendone uno vecchio? Inoltre, le performance di un PC molto poco energivoro sono accettabili in un contesto aziendale?

Va fatta una premessa: più andiamo avanti e meno consumano le apparecchiature. Questo vale per i server e vale per i personal computer. Ho misurato, quindi, 3 PC di generazioni diverse tra di loro cercando di tenere le macchine in condizioni di carico quanto più simili possibile.

PC1: Macchina assemblata, i7, 16Gb di RAM, SSD, anno 2018, 152W


PC2: Macchina brandizzata, i7, 8Gb di RAM, SSD, anno 2017, 114W



PC3: Macchina micro brandizzata, Ryzen5 3,9Ghz, 8Gb di RAM, SSD, anno 2022, 21W




Qualche considerazione: 
  • tutte le macchine hanno dischi SSD, pertanto comunque già alla base meno energivori di quelli con dischi meccanici.
  • la foto è stata fatta a macchina a riposo, con qualche foglio di calcolo aperto, browser e posta. Con l'aumentare del carico aumenta ovviamente anche l'assorbimento.
  • gli assorbimenti si riferiscono ovviamente al solo case.
  • questa specifica ultima macchina è stata selezionata tra diverse macchine proprio per il suo consumo ridotto, ma con caratteristiche tecniche assolutamente di rilievo. 

Rispondiamo quindi subito alla seconda domanda: le performance di un PC molto poco energivoro sono accettabili in un contesto aziendale? In questo caso e con questa macchina assolutamente SI. Questo micro PC non ha nulla da invidiare alle macchine recenti ma che consumano quasi il triplo. Manca il lettore DVD, ma francamente non lo ritengo indispensabile e comunque si può sopperire con un lettore DVD USB esterno.

A questo punto, per rispondere alla prima domanda, ho preso l'ultima bolletta energetica, ricavando il costo complessivo di 0,67 euro/kWh in fascia F1, ovvero la fascia tipica degli uffici.

Facendo una media delle 2 macchine tower, ne deriva un consumo medio di circa 135W che, 8h al giorno, dal lunedì al venerdì (260gg) fanno circa 280kWh, ovvero circa 190 euro. In caso di macchina lasciata accesa h24, il costo annuo energetico sarà di 790 euro circa.

La macchina di nuova generazione invece consumerà all'anno appena 43 kWh, ovvero poco meno di 28 euro. Se accesa h24, invece, consumerà 250 euro circa.


Conclusioni

Sostituendo, quindi, un pc (nemmeno tanto obsoleto) otterremo da questa simulazione un risparmio annuo di oltre 160 euro a postazione di lavoro accesa 8h al giorno e di 542 euro in caso di macchina sempre accesa

Se in azienda abbiamo 50 postazioni, il risparmio supererà facilmente gli 8.000 euro/anno per gli uffici virtuosi che spengono le macchine e i 27.000 euro/anno per gli uffici che lasciano tutto acceso (per consentire, ad esempio, il telelavoro). 

E tutto questo non tiene conto del beneficio derivato dalla sostituzione del parco macchine obsoleto, ovvero di avere macchine più recenti e più veloci, che si traduce comunque in una riduzione dei tempi morti del lavoratore.
 
Intendiamoci, non è un calcolo scientifico, carichi di lavoro diversi ottengono un consumo energetico diverso, per quanto obiettive possa aver fatto le misurazioni, comunque non può tecnicamente essere un calcolo matematico preciso. 


E i server?

I server sono un capitolo a parte, ancora più estremo. Per fare una simulazione bisognerebbe andare caso per caso, tuttavia basti pensare che in media un vecchio IBM x3500 di seconda generazione consuma circa 600W, un nuovo server (decine di volte più performante) ne consuma in media 200. Sostituire un server con uno nuovo, oggi, fa risparmiare indicativamente circa 2.400 euro all'anno. Se iniziamo a valutare la virtualizzazione di più macchine fisiche su di un unico hardware, poi, il risparmio diviene esponenziale.





Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

lunedì 5 settembre 2022

CyberSecurity Creativa

Carissimi,

questo post non è propriamente un manuale o una guida su un argomento specifico, piuttosto si tratta di un annuncio.  

Con grande piacere annuncio l'uscita del mio primo libro: CyberSecurity Creativa, reperibile >>>qui<<< sia in formato kindle, sia in formato cartaceo con copertina flessibile.

 

 


 

In questo libro ho voluto raccontare 20 anni di mestiere con aneddoti, orrori trovati e soluzioni creative. Vi rimando alla descrizione del volume:

 

In un mondo che evolve così rapidamente, dove gli attaccanti sono libellule e le nostre aziende degli elefanti, l’insieme degli approcci rende più resistente un’infrastruttura informatica. Proprio come accade nella protezione di una proprietà fisica, l’insieme di tecnologie concorre a rendere meno violabile casa propria. Ma poi il guizzo, l’idea fuori dagli schemi, la TV lasciata banalmente accesa, la temporizzazione delle luci nelle stanze... ci evita infine il furto. Ebbene, in questo libro non vi parlerò di firewall o di endpoint (non perlomeno in maniera convenzionale), questo voi amministratori di sistema dovreste già trattarlo. Io vi parlerò della TV lasciata accesa, dell’esca da lasciare all’attaccante per identificarlo anche quando sfuggito agli strumenti tradizionali, delle sonde invisibili, dei backup totalmente isolati dalla rete, di anonimizzazione del perimetro cosicchè il ladro non sappia nemmeno a chi citofonare per venirvi a far visita. E lo farò descrivendovi sia le tecniche architetturali utilizzate, sia gli errori potenzialmente fatali incontrati in 20 anni di mestiere tra aziende di produzione, ospedali, Comuni, Cloud Provider e realtà più o meno complesse. 
 
Di seguito, invece, è possibile trovare l'elenco breve degli argomenti trattati:

 

Capitolo 1 – Lo switch è tuo amico!

Cosa sono e come si utilizzano le VLAN 802.1q?

Tag, Untag, Trunk e Uplink e Private VLAN

Le vlan sul wireless (come suddividere correttamente le reti)

La compartimentazione e la DMZ

Chi deve fare routing?

Forwarding abusivi

SNMP: suvvia... Ma c’è qualcuno che se ne preoccupa?

Non buttate quegli hub! L’antenato del mirroring

Spanning Tree manipulation attack (e un caso concreto)

Port Security, MAC LockOUT e learning

DHCP Snooping: evitare il rilascio non autorizzato di IP

 

Capitolo 2 – Backup: invalidarli è un attimo

L’inutilità del backup leggibile dal server

Isolare il repository

FileSystem con snapshot e NAS duplicati

Il backup in cloud “corretto” (ed un caso concreto di rischio sfiorato)

Le Tape Library ed un caso concreto: quando la lentezza salva

Sottrazione di credenziali

I dati sono al sicuro in caso di furto fisico?

Procedure d’emergenza

Il plico cartaceo d’emergenza

Modalità “Riccio”

La routine di verifica

Non solo attacchi: sicurezza della sala CED (5 casi realmente accaduti)

Fatti qualche domanda (prontuario di valutazione dei backup)

 

Capitolo 3 – Anonimizzazione del perimetro e

Il ruolo del cloud provider ed il transito del routing

Esempi concreti di failover geografici applicabili da chiunque

Anonimizzazione: come posso evitare di dare informazioni tramite i miei DNS?

SPF e autodiscovery

Il peering

API ed esempio di automatismo su fail

 

Capitolo 4 – Honeypot: server esca volontariamente vulnerabili

Come funziona un Honeypot?

Installiamo l’Honeypot ed esponiamolo al mondo

Tuning del sistema

Capiamo come funziona il sistema

Esempio di un attaccante realmente scovato

HoneyPot vs Deception Technology (Tecnologia dell’Inganno)

Le prime 2 ore di un server pubblico... un po' di statistiche per farci riflettere

Analisi sull’andamento degli attacchi

 

Capitolo 5 – Server Pubblici: un lavoro ingrato

Linux? Windows?

Liste reputazionali

ipset, iptables e nftables

Blocchiamo nativamente la rete TOR o una qualsiasi lista di IP

Analizziamo i log di apache

Rilevare il cambio di MD5 su file di sistema

Lavorare sugli attributi estesi per rendere immutabile un WebServer

Estendiamo le potenzialità dell’antivirus con DB supplementari

Fail2ban

Autenticazione a due fattori

Port Knocking

Tunnel SSH: questi pericolosissimi sconosciuti

Archiviare i dati non più utili: un famoso caso italiano

 

Capitolo 6 – Un po’ di monitoring non fa mai male

L’importanza del monitoraggio attivo

Zabbix, Nagios e dintorni

MDR, EDR, XDR

Query SNMP

Gli Host Intrusion Detection System (HIDS)

OSSEC

WAZUH

Sonde silenti: gli IDS

Cos’è SecurityOnion?

SQUERT

Scovare le credenziali in chiaro

CyberChef

Inviare allarmi

Uno splendido progetto emergente UptK

 

Capitolo 7 – System Integrator e procedure

È sempre colpa del Cliente?

Gioco mio, regole mie

Utilizziamo il GDPR per dar peso a pratiche corrette

Protocolli di sicurezza interni

Gestione delle Password da parte del personale tecnico

Custodia delle informazioni sensibili dei Clienti

Apparati di sicurezza

Server contenenti dati sensibili dei Clienti

Postazioni di lavoro dedicate all’assistenza

Locali tecnici e di lavoro

Sistemi di Backup

Azioni irreversibili

Le console centralizzate: comodità e pericoli

Sistemi di teleassistenza

Controller di Dominio

Livelli di trust nelle postazioni di lavoro ed architetture

SandBoxing

SandBox nel concreto: becchiamoci volontariamente un ransomware

Qualche caso eclatante

lunedì 22 agosto 2022

Autorisponditori sulla propria casella di posta: come causarsi un danno

Arriva questo periodo di meritata vacanza ed i reparti IT di chi gestisce servizi di posta vengono invasi di richieste di configurazione di autorisponditori di assenza per ferie. Una richiesta così innocua, tuttavia, nasconde un grande pericolo. Andiamo ad approfondirne il motivo in questo breve articolo.


Prima di andare oltre nel comprendere il problema, dobbiamo immaginare il contesto in cui uno spammer opera. Lo spammer è un operatore che necessita di considerevoli risorse per eseguire la sua attività illecita, ovvero inviare milioni di email sapendo perfettamente che una grande percentuale di esse non arriverà a destinazione e verrà immediatamente rigettata (errore 5xx, senza neanche scaricarne il contenuto) a causa di domini inesistenti, caselle inesistenti, rifiuti ad opera di RBL (Reject Black List), eventuali problemi su SPF e DKIM, etc.

 

Una piccola percentuale di email in grado di superare la prima barrirera, ha l'onore di essere accettata dai MailServer di destinazione e subisce un'analisi più approfondita. L'email viene quindi scaricata ed il suo contenuto viene "vivisezionato" da appositi strumenti. Infine, se i filtri AntiSpam di questa seconda fase ritengono l'email lecita (normalmente tramite un meccanismo di punteggi), essa viene consegnata dall'LDA (Local Delivery Agent) che si occupa di presentare l'email al MUA (Mail User Agent, ovvero il nostro client di posta). In caso contrario ogni amministratore di sistema decide il da farsi, normalmente è prassi spostare l'email nella directory "indesiderata" affinchè essa non interferisca nella casella di posta, ma sia comunque accessibile all'utente in caso di necessità.


Dopo questa breve descrizione, torniamo a noi. Uno spammer deve inviare milioni di email nel più breve tempo possibile in quanto sa perfettamente che solo una parte infinitesimale otterrà il suo scopo. Per fare questo, gli spammer conservano un database in cui memorizzano le email scartate nel primo stadio e le email che invece vengono accettate dail MailServer di destinazione. Ed è evidente che le caselle che accettano email acquisiscano un valore maggiore e verranno plausibilmente riutilizzate anche in futuro.

Ora provate ad immaginare: ad un'email di spam noi rispondiamo con "Sono in ferie fino al 28 agosto". A prescindere dal contenuto (indifferente e certamente ignorato), lo spam inviato a quella casella non solo ha superato la seconda barrirera di controllo, ma ha anche persino risposto, pertanto diventerà una casella estremamente interessante agli occhi di uno spammer, conquistandosi un pregiatissimo posto d'onore per ogni campagna di spam successiva.

Nei prossimi articoli parleremo di come un dominio malconfigurato sia una vera e propria calamita e di come gli spammer investano maggiori risorse verso i domini poco protetti. Qualora invece il lettore senta l'esigenza di un maggiore approfondimento, può leggersi come funziona la tecnica del GreyListing, strettamente correlata a questo discorso.

Quindi, per farla breve: se possibile, non impostate autorisponditori!




Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

giovedì 28 luglio 2022

SandBoxing: un alleato straordinario in ogni contesto

Una tecnica certamente interessante riguarda la possibilità di effettuare SandBox di programmi specifici affinchè essi vengano eseguiti in ambienti chiusi, con accesso a risorse e disco altamente controllato. 

Come in un “The Truman Show”, l’applicazione pensa di trovarsi in un mondo perfettamente normale, invece viene eseguita in un ambiente artificiale in cui lo spazio di movimento è estremamente ridotto.

Ci sono diversi software in grado di fare SandBox, sia in ambito Linux sia in ambito Microsoft. Personalmente, per quest’ultimo, mi piace molto come è strutturata SandBoxie e ritengo sia corretto supportare gli sviluppatori affinchè questo progetto possa avere le risorse opportune per continuare ad evolversi.

Una logica che si potrebbe adottare è la seguente:

  • Browser Web: Avvio forzato in un ambiente SandBox con accesso al disco estremamente limitato;

  • Client di Posta: Avvio forzato in un altro ambiente SandBox con accesso al disco limitato a delle cartelle di condivisione temporanea che vengono svuotate con cadenza molto rapida. Questo perchè la posta elettronica è pericolosa, tuttavia deve a volte accedere a dati sensibili.

Presupponendo di aver contratto malware nella comune navigazione o aprendo un’email passata inosservata all’antivirus sbadato, l’intera esecuzione e campo di applicazione verrà confinata all’ambiente ristretto messo a disposizione dal software di SandBoxing.



SandBox e dati sensibili

Tornando quindi alla nostra esigenza, nel momento in cui sentiamo la necessità di inviare file sensibili, da recuperare all’interno di un percorso classificato e non accessibile all'ambiente di SandBox, possiamo utilizzare una cartella di condivisione intermedia (i cui file vengono cancellati con altissima frequenza e possibilmente appena non più utili allo scopo). Il fine è quello di contenere provvisoriamente il file che deve utilizzare o inviare il programma sottoposto a SandBox.



Poniamo il caso di sottoporre il nostro client di posta alla procedura di SandBox e poniamo il caso di beccarci un ransomware. Che effetti produrrà la minaccia informatica? Sostanzialmente nulla in quanto il ransomware esfiltrerà quasi nulla e crittograferà un ambiente simulato, privo di qualsivoglia privilegio in grado di compromettere la macchina primaria.

 

 

SandBox nel concreto: becchiamoci volontariamente un ransomware

Abbiamo, quindi, disattivato tutti i vari software di protezione e scaricato ed avviato un simulatore di ransomware direttamente dal browser, sottoposto a SandBox.



L’esecuzione del malware, quindi, è avvenuta in questo contesto. Sarebbe stato identico qualora avessimo eseguito il malware dalla posta elettronica e quest’ultima fosse stata soggetta a tecniche di SandBoxing.

Come possiamo vedere di seguito, l’ambiente in SandBox è stato compromesso ed i file sono stati crittografati, tuttavia l’ambiente reale del PC è rimasto totalmente inalterato.

 


Va detto, inoltre, che i software fuori dalla SandBox hanno possibilità di interagire con l’ambiente all’interno della SandBox, ma non il contrario. Questo è importante in quanto, se avessimo lasciato abilitato anche il semplice Windows Defender, esso avrebbe rilevato e bloccato il ransomware in ogni caso, sia esso si trovi all'interno o all'esterno dell'ambiente fittizio.

 

 

 

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.