Dic 162013
 

raid

Ultimamente mi è capitato diverse volte di imbattermi in NAS guasti.

Le unità hanno smesso di funzionare da un giorno all’altro. Impossibile riavviarle (neppure con le varie modalità di recupero) ed accedere ai dati salvati.

Ovviamente in tutti i casi contenevano dati preziosissimi per i proprietari. In maniera altrettanto ovvia i proprietari non avevano effettuato alte copie di questi dati perché  …tanto c’è il RAID!.

Ebbene il RAID è una bellissima invenzione che aggiunge un livello di sicurezza in più ai backup, ma non è in grado di ovviare alla necessità di avere sempre copie multiple dei vostri dati.

In caso di fail totale del dispositivo i vostri preziosi files saranno persi per sempre se non li avete salvati altrove.

Fortunatamente nei casi che mi sono stati sottoposti i dischi erano ancora integri o lo erano in quantità sufficiente da poter recuperare tutti (o quasi i dati). Continue reading »

Set 242013
 

pfSense

Qualche giorno fa la versione 2.1 di pfSense è uscita dalla fase di “release-candidate” ed è stata finalmente rilasciata.

Al momento credo si tratti di una delle pochissime firewall-appliance  a supportare pienamente IPV6 e rilasciata con licenza open-source.

In un precedente articolo avevo esplorato alcune delle caratteristiche di questo prodotto. Continue reading »

Apr 042013
 

pfSense

Vista la mia innata predilezione per l’open source, una tra le mie appliances preferite negli ultimi anni è stata ENDIAN.

Si tratta di un buon progetto italiano che riunisce in un’ambiente LINUX i “soliti noti” nel campo della sicurezza e del networking  (SNORT, iptables, SQUID, Dansguardian, ClamAV…) dando la possibilità di controllare tutto per mezzo di un’accattivante interfaccia web. E’ molto facile da configurare, anche se alcune funzionalità vengono sacrificate proprio per aumentarne la facilità di configurazione.

E disponibile una versione “community” con pochissime limitazioni e scaricabile gratuitamente.

Purtroppo il team ENDIAN ha deciso di effettuare quello che secondo la mia modestissima opinione è un vero suicidio tecnologico/commerciale mancando di supportare IPV6.

Infatti al momento non viene rilasciata alcuna notizia ufficiale circa una futura implementazione del nuovo protocollo. Qualche “voce”  indica come possibile l’adozione di IPV6 con il rilascio della versione 3.0. (tra diversi anni, con l’attuale ciclo di release….). Ogni richiesta in merito sui vari forum viene sistematicamente ignorata.

Immagino siano pochi gli amministratori di sistema che dovendo scegliere oggi un nuovo firewall optino per una soluzione priva di IPV6.

Io ho iniziato a cercarne uno che almeno nella roadmap abbia un’implementazione totale di tutti i servizi con il nuovo protocollo.

Mi sono imbattuto in pfSense una soluzione open source basata su FreeBSD.

Siamo alla versione 2.01, ma è già disponibile uno snapshot beta 2.1 con un pieno supporto IPV6.

Tra le caratteristiche a mio avviso più interessanti: Continue reading »

Nov 082012
 

In linea di massima non ho nulla contro l’anonimato su internet ed apprezzo sistemi come TOR.

Ma ci sono risorse per le quali vedo pochissime buone ragioni per accedere anonimamente e contemporaneamente tantissime cattive ragioni per farlo.

Vi faccio l’esempio di un sito di e-commerce: non vedo tanti buoni motivi per nascondere la provenienza del visitatore, anche se probabilmente ve ne è qualcuno più che lecito.

Ma so per certo che se dovessi tentare acquisti truffaldini farei di tutto per nascondere le mie tracce.

Purtroppo bloccare  l’accesso ad un server dalla rete TOR non è semplice come bannare un range di IP. Tale rete è dotata  di migliaia di nodi distribuiti per il mondo.

Tecnicamente l’unica difficoltà è procurarsi la lista aggiornati di tali nodi.

A questo scopo, dopo una breve ricerca su internet, ho trovato alcuni siti che visualizzano lo stato dei proxy appartenenti a TOR.

Con il semplicissimo script PHP che vedete di seguito (scritto di corsa senza badare allo stile 🙂 ) si può scaricare la lista completa in un file di testo filtrando la pagina HTML

 Avendo l’elenco ci sono vari sistemi per bannare gli IP.

Per esempio si può creare un apposito file .htaccess per il sito.

Oppure se avete fretta è sufficiente da shell:

   for i in `cat tor.txt`; do  /sbin/iptables -I INPUT  1  -s $i -j DROP; done

 Attenzione che quest’ultimo metodo se il server ha numerosi accessi può portare ad un considerevole utilizzo della CPU perchè la lista è formata da migliaia di voci e ad ogni connessione il firewall dovrà effettuare la ricerca sull’intera sequanza per decidere se il pacchetto può passare.

L’intera procedura può essere automatizzata e messa in CRON per mantenere l’elenco aggiornato.

Funziona? Direi di si: provate ad accedere a quasto sito usando TOR 🙂  (disattivato sul nuovo server)

<d>

Ott 312012
 

Nella giornata di ieri ho partecipato ad un seminario sulle AET (Advenced Evasion Techniques) tenuto del vendor che per primo si è occupato di fornire soluzioni per proteggere da questa minaccia.

Senza entrare in dettagli molto tecnici si tratta di metodi in grado di penetrare gli IPS più avanzati del mercato e di farlo senza lasciare traccia.

Tali metodi sono stati studiati negli ultimi anni da un’azienda che si occupa di sicurezza nell’IT  e che a partire dal 2010 ha iniziato a fornire dati su queste vulnerabilità in accordo con CERT Fi (autorità finlandese sui regolamenti nelle comunicazioni).

Sembra che l’accoglienza da parte dei main vendors di dispositivi di sicurezza sia stata freddina, tanto è vero che a distanza di diversi anni la stragrande maggioranza dei firewall è vulnerabile.

Continue reading »

Ott 222012
 

Problemino….la relazione di trust tra questa workstation e il dominio primario non è riuscita!!!!

A molti sarà capitato di vedere questo messaggio tentando di accedere al PC con un account di dominio.

In questa situazione il metodo più veloce per risolvere il problema è rifare il join del computer.

Non è neppure necessario cancellare dalle active directory il PC prima di rifare il join con lo stesso nome.

L’unico problema è che per questa operazione è necessario PRIMA effettuare il login nel computer con un account con privilegi di amministratore.

Non potendo accedere al dominio è necessario utilizzare un account locale.

Se vi ricordate la password di un account locale con privilegi elevati il problema si risolve in pochi minuti, ma nelle realtà in cui si usano solo ed esclusivamente account di dominio spesso questa informazione viene persa 10 minuti dopo la configurazione iniziale del sistema.

A questo punto potete seguire due strade:

1)Reinstallazione del sistema

2)Recupero della password di un account di amministratore locale con strumenti “alternativi”

La mia preferenza ovviamente va alla seconda opzione.

Ci sono vari strumenti utilizzabili. Escluderei i “password cracker” (come l’ottimo ophcrack) che, soprattutto se i vostri sistemisti hanno una certa fantasia, sono del tutto inefficaci.

In fondo a noi non serve recuperare la password, ma è sufficiente in un modo o nell’altro, riuscire ad accedere al PC. Quindi un reset dell’account è più che sufficiente.

Per effettuare questa operazione un ottimo tool è Offline NT Password & Registry Editor .

Si tratta di un sistema linux minimale avviabile da USB o da CD  che consta solo in una serie di script a menù orientati alla risoluzione di queste problematiche.

All’avvio è sufficiente indicare la partizione di sistema e il percorso del file di registro.

Io ho testato le funzioni per il blanking della password e la riattivazione di un utente disattivato (l’account “Administrator” spesso è bloccato).

Entrambe le operazioni sono state eseguite velocemente consentendomi, dopo il riavvio, l’accesso al sistema ed il nuovo join nelle active directory.

Una riflessione finale sulla sicurezza è d’obbligo.

Se ce ne fosse bisogno quanto spiegato sopra è un’ulteriore riprova del fatto che la sicurezza del PC è sempre efficace nella misura in cui i malintenzionati non dispongano fisicamente di un accesso alla macchina. 

Questo a meno che non si utilizzi un filesystem crittato nel qual caso le cose diventano un po’ più complicate sia per un malintenzionato che per un utente onesto che ha dimenticato la password 🙂

Lug 112012
 

Da diverso tempo monta la polemica sulla decisione di Microsoft di certificare per Windows 8 solo i PC dotati di UEFI secure boot.

Per chi non lo sapesse si tratta di un’ interfaccia tra il BIOS ed il sistema operativo atta ad impedire il BOOT di qualsiasi dispositivo sprovvisto di firma digitale.

Questo è ovviamente visto da molti come l’ennesimo tentativo di Microsoft di limitare la libertà dell’utente, impedendogli di fatto l’utilizzo di sistemi operativi diversi da Windows.
Per fare un esempio le attuali distro LINUX live non potrebbero essere avviate su un PC dotato di questo dispositivo se non disattivandolo (operazione non alla portata di tutti).

Continue reading »

Ago 122011
 

Per chi non lo conoscesse si tratta di un tool totalmente gratuito di rilevazione e rimozione dei rootkit per i seguenti sistemi windows:

NT, 2000, XP, VISTA, 7

E’ piuttosto sofisticato e rileva processi nascosti, attività sospette di driver, file nascosti, settori del disco nascosti etc.

Per download ed informazioni:

http://www.gmer.net/