Archives For Eventi

Tra un WannaCry e l’ulteriore novità dello scorso 13 giugno (di cui non ho parlato in maniera più approfondita, ma sappi che si tratta dell’ulteriore giro di fix che coinvolge anche tutte le macchine con OS non più supportato), con il contorno di ulteriori impegni privati e il rientro in palestra, di tempo da investire per curare le pubblicazioni del blog inizio ad averne sempre meno, nonostante ci tenga tantissimo.

ABP X Files, noads.it e “cosa vi siete persi negli ultimi tempi” 2

Quindi, giusto per recuperare un attimo ciò che ho lasciato indietro, ti riepilogo brevemente cos’è successo circa un mese fa, in merito al nuovo trasferimento di NoAds.it e la definitiva (spero) sistemazione delle liste, ospitate da GitHub.

Ho scelto di migrare NoAds.it portandolo su ServerPlan, casa di questo blog, che venerdì scorso è stato a sua volta spostato su un nuovo server che permette di avere le versioni più aggiornate di PHP, guadagnandone in velocità e stabilità (si spera a lungo). NoAds.it è diventato un ulteriore alias di questo spazio web, e riporta in maniera del tutto automatica al sottodominio xfiles.noads.it.

Da qui riuscirai a sottoscrivere le liste (puntando direttamente a GitHub) e fare esattamente ciò che facevi prima. I vecchi URL sono stati disattivati (e rimandati ai nuovi), non ti permetteranno però di riallacciarti in maniera trasparente a GitHub, dovrai quindi eliminare le vecchie sottoscrizioni e abbonarti nuovamente tramite NoAds.it (oppure farlo manualmente, se lo preferisci, ma ritengo sia più scomodo). Come già detto, puoi scoprire i passaggi da eseguire facendo riferimento a quanto già scritto nel vecchio articolo (il primo della serie):

ABP X Files migra su GitHub

Se vuoi dare un’occhiata alle liste, qui di seguito ti elenco gli URL diretti (è tutto pubblico, trovi ogni dettaglio nel progetto su GitHub, dove ho spostato anche la documentazione e le FAQ):

Se ti dovesse capitare di notare delle anomalie o qualche malfunzionamento, dimmelo quanto prima così che io possa correggerlo, l’area commenti qui di seguito è a tua totale disposizione, vale anche il sistema di assistenza sempre utilizzabile tramite NoAds.it, o il forum di Mozilla Italia.

Bentornati a bordo :-)

Condividi l'articolo con i tuoi contatti:
Milano Real Life (MRL) è il nome di una raccolta di articoli pubblicati sul mio blog, raccontano la vita di un "perfetto nessuno" che ha deciso di spostare abitudini e quotidianità in una differente città rispetto a quella di origine. Alla scoperta della caotica capitale lombarda mai tanto amata e odiata allo stesso tempo, per chi è nato qui e ancora oggi continua a viverci per volere o necessità, per le centinaia di persone che invece vengono da fuori e vedono Milano come una piacevole alternativa o una costrizione imposta dalla propria vita lavorativa. La rubrica "leggera" di approfondimento alla quale però non fare l'abitudine, non siamo mica così affidabili da queste parti!

Lo avevo letto e rilanciato rapidamente, subito dopo la pubblicazione, ma in effetti non lo avevo ripubblicato qui sul blog, dove spesso ho parlato dei servizi di Car Sharing, che personalmente adoro e sostengo fortissimamente sin dalla loro nascita.

Ciao MP3, è stato bello poterti guidare :-)

Ho ritrovato questo “scatto di coppia” del 22 dicembre 2015, stavo gironzolando in città :-)

Enjoy, dopo un’evidente attenta analisi, ha scelto di abbandonare la via dello scooter-sharing, togliendo così dal mercato i Piaggio MP3, di cui ti avevo parlato nel 2015:

Car Sharing: che combinano car2go ed Enjoy?

Nonostante non sia rimbalzato in maniera così evidente, Repubblica ne ha parlato lo scorso 4 giugno:

Lo scooter sharing non funziona: Enjoy chiude il suo sistema di noleggio veloce con i Piaggio Mp3 per rivoluzionare ancora una volta la propria offerta. I cinquecento scooter infatti verranno sostituiti a partire dal prossimo primo luglio da altrettante auto e, già adesso viene aperto all’aeroporto di Fiumicino un maxi parcheggio con 20 posti per le auto Enjoy: con mezzora di noleggio si arriva in città spendendo 17 euro circa. Poco più di quanto costa il trenino ma con la possibilità di trasporre più persone e bagagli.

Trovi l’articolo completo su repubblica.it/motori/sezioni/attualita/2017/06/07/news/addio_scooter_sharing_enjoy_manda_in_pensione_il_servizio-167519352.

In effetti è da un po’ che non riprendo seriamente l’argomento Car Sharing, di cose ne sono cambiate molte, che dici, ci lavoro su per provare a fare il solito riepilogo? :-)

Condividi l'articolo con i tuoi contatti:

Vai in palestra, apri Spotify sul tuo smartphone ed ecco l’amara sorpresa, non si connette. Prima pensi a un problema del tuo smartphone, provi il classico off-on della connessione dati, poi forse un riavvio. Ti accorgi che nulla di tutto questo è servito a rimetterlo in pista, quindi chiedi e magari scopri che qualcuno insieme a te ha lo stesso problema:

Tutto sembra risalire proprio a ieri, l’anomalia si verifica solo con SIM di TIM che si appoggiano al punto di accesso wap.tim.it, quello che parecchie SIM utilizzano come predefinito (perché arriva direttamente dal carrier telefonico). Anche il mio Samsung Galaxy S8 lo utilizza, e a nulla serve il mio switch manuale su ibox.tim.it (il secondo punto di accesso, non predefinito). A questo punto non resta che modificare il primo profilo e mettergli lo stesso APN del secondo. Così facendo, infatti, il problema si risolve, e si può tornare ad ascoltare le tracce in streaming da Spotify.

Ora che si fa?

Ora la palla passa a TIM, cosa è successo e quando risolverà il problema lo sa solo il carrier telefonico, io posso solo tenere aggiornato questo articolo in base alle novità che salteranno pubblicamente fuori :-)

Buon ascolto!

Condividi l'articolo con i tuoi contatti:

Partiamo subito con una certezza, per rianimare chi leggendo il titolo è già cascato dalla sedia: NON si tratta di nomi di profumi di Dolce & Gabbana. Ci siamo? Bene. Ora possiamo cominciare sul serio.

MS17-010: WannaCry, EternalBlue, DoublePulsar (c'è dell'altro?)

Mettiti comodo. L’infezione non è finita perché ne hanno parlato i giornali accantonando il tutto qualche giorno dopo. Questa, così come altre infezioni passate e future, continuano a essere all’ordine del giorno e il metodo è sempre lo stesso: punta e colpisci chi rimane indietro, per scelta o per stupidità.

Sul perché io ci abbia messo diversi giorni a uscire con un articolo beh, è presto spiegato: ho dovuto far fronte alla minaccia, verificando attentamente che ogni macchina fosse protetta, anche quelle che non potevano precedentemente esserlo ma che per qualche motivo non potevano essere aggiornate a un sistema operativo più recente (Matteo, se mi leggi incazzati pure, poi però ne riparliamo alla prima birra, offri tu, così ti spiego perché “non ce lo meritiamo“!), un lavoro che ha mosso un intero ufficio IT e che penso abbia fatto bene a tutti, per avere un polso della situazione davvero preciso, nulla deve sfuggire.

L’origine del “disastro

Inizia il weekend (quello scorso) e con lui un attacco massivo e massiccio contro i sistemi Microsoft che non sono allineati con le patch di sicurezza. Non parlo delle ultime, ma di quelle di due mesi prima. WannaCry(pt) è il suo nome, ed effettivamente da piangere c’è molto, se si fa parte del gruppo degli infettati.

Provo a fartela semplice: te lo ricordi Cryptolocker (e CryptoWall in seguito)? Non siamo andati poi molto più in là, perché di criptazione dei file tutto sommato si tratta, ma di certo ciò che mi stupisce e affascina è il modo in cui tutto ciò viene (ri)proposto, in maniera più completa e complessa, ben ideata e che lascia dietro di sé un’ombra che continua a passeggiare con il PC infetto.

Di articoli online ne trovi centinaia, alcuni più tecnici e altri più divulgativi (ed è giusto così). Io voglio limitarmi a raccogliere sotto un tetto tutto ciò che ho letto, che voglio riportare qui e ricordare in futuro. La gravità di quanto accaduto (e che ancora accade, a oggi che scrivo l’articolo) è stato evidenziato nel blog di Microsoft, scritto da Brad Smith:

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack

Una timeline è stata pubblicata in maniera più che chiara e completa da Luigi Morelli, te la ripropongo qui di seguito:

  • 2001: Il bug in questione viene introdotto involontariamente in Windows XP, e da esso si diffonde in tutte le release successive
  • 2001–2015: Ad un dato momento NSA (probabilmente l’ Equation Group, presumibilmente una sezione di NSA) ha scoperto il bug ed ha predisposto un exploit (programma che ne consente l’utilizzo malevolo) chiamato EternalBlue, che potrebbe o potrebbe non aver utilizzato
  • 2012–2015: Un contraente NSA ruba presumibilmente più del 75% della libreria NSA’s di strumenti di hacking
  • Agosto 2016: Un gruppo chiamato “ShadowBrokers” pubblica strumenti di hacking che dichiarano essere di provenienza NSA; gli strumenti sembrano giungere dall’Equation Group
  • Ottobre 2016: Il contraente NSA di cui sopra viene accusato di aver rubato dati di proprietà NSA
  • Gennaio 2017: ShadowBrokers mettono in vendita un buon numero di strumenti per l’attacco a sistemi Windows, tra questi un exploit zero-day SMB simile ad “EternalBlue” utilizzato in WannaCry per 250 BTC (intorno ai $225.000 di allora)
  • Marzo 2017: Microsoft, senza fanfara, corregge una serie di bugs evitando di specificare chi li abbia scoperti; tra questi l’exploit EternalBlue; sembra alquanto probabile che la stessa NSA li abbia avvertiti
  • Aprile 2017: ShadowBrokers rilasciano una nuova serie di exploits, compreso EternalBlue, probabilmente perché la Microsoft li aveva già corretti, riducendo in tal modo drasticamente il valore degli zero-day exploits in particolare
  • Maggio 2017: WannaCry, basato sull’exploit EternalBlue, viene rilasciato e si diffonde su circa 200.000 computer prima che il suo kill-switch (un sistema per “spegnerlo” online) venga inavvertitamente attivato da un ricercatore ventiduenne; nuove versioni di WannaCry, prive del kill-switch sono già state segnalate

articolo completo: medium.com/@luigimorelli/wannacry-no-grazie-900cba45163a

nota a margine: mi sono permesso di barrare il termine “inavvertitamente” nell’ultima data riportata, perché quel ragazzo, in realtà, di “casuale” non ha fatto un bel niente. Magari non pensava di bloccare l’infezione intera della versione originale di WannaCry, ma di certo sapeva dove stava mettendo le mani.

Di che cacchio stai parlando?

Il protocollo SMB di Windows viene utilizzato principalmente per permettere l’accesso ai file e alle stampanti, ma serve anche per una serie di comunicazioni di sistema che vengono scambiate su una stessa rete locale, in alcuni casi anche online (se si lasciano esposte alcune porte, cosa assai pericolosa). Facendo leva su un errore contenuto all’interno del protocollo (vecchio quanto Windows Xp, appunto), è stato possibile penetrare a bordo di sistemi altrui e far partire la criptazione dei dati, il vero e proprio malware del “pacchetto sorpresa“.

Quell’errore (quel bug) è stato risolto e chiuso da Microsoft a marzo di quest’anno. Trovi tutti i dettagli del caso sulla Technet, rispondono al numero di classificazione MS17-010: technet.microsoft.com/en-us/library/security/ms17-010.aspx. Nel caso in cui questo non dovesse bastare, sappi che per un grande muro, ci vuole un grande pennello per un problema così importante, si va persino a rispolverare ciò che è fuori dal supporto da anni, rilasciando patch ad-hoc che permettono di mettere al sicuro quei terminali che ancora oggi non sono aggiornati a OS di nuova generazione: blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks

Lo avrai capito, l’argomento è serio e fino a oggi difficilmente si erano raggiunte cifre così importanti in così poco tempo. La lista della spesa è quindi da rispettare alla lettera, e prevede che tu faccia un regolare backup dei tuoi dati (regolare vuol dire che non puoi farlo una volta al mese, soprattutto se dalla tua macchina passa una gran quantità di file ogni giorno), che il sistema operativo sia sempre aggiornato e riavviato in seguito all’installazione delle patch (rispettando i cicli di rilascio di Microsoft), che non ci siano applicazioni, porte o configurazioni delle quali non hai più necessità, perché ne perderesti facilmente il controllo con il passare del tempo, te ne dimenticheresti e potrebbero essere falle un domani. A questo va aggiunta la solita raccomandazione relativa all’evitare clic su link sospetti nelle mail (o aperture di allegati che non ti aspetti e dei quali non sei sicuro al 100% che provegano da fonte autorizzata), anche se nello specifico caso di WannaCry e del bug relativo a SMB, è bastato essere all’interno di una LAN dove almeno un PC è stato infettato, per permettere poi a quest’ultimo di fare da cavallo di troia verso il resto dei terminali (non patchati, sottolineo).

E l’antivirus?

I programmi antivirus hanno ricevuto un aggiornamento entro poche ore dall’inizio dell’attacco, per riconoscere e bloccare WannaCry, almeno nella sua versione originale. Questo perché nel corso del tempo (già dopo circa 24 ore dal primo attacco) sono uscite nuove versioni del ransomware, e altre ne usciranno in futuro, per cercare di evitare quanto più possibile di essere intercettate e fermate.

Diversi prodotti di sicurezza includono già funzioni di euristica e prevenzione che permettono di analizzare comportamenti anomali del software, bloccandone subito i possibili effetti dannosi (e mettendo così al riparo la tua macchina), ma nulla di tutto questo ti può far dormire sonni tranquilli o pensare che non sia necessaria una buona prevenzione.

Microsoft ha rilasciato degli aggiornamenti anche per i suoi prodotti di protezione da malware, Defender in primis, ma anche Security Essential (stessa famiglia). Ha inoltre organizzato un piccolo webcast su Skype per parlare di WannaCry, dei suoi effetti, dei suoi danni collaterali e di come proteggersi, pubblicando un paio di PDF che ho caricato anche qui nel blog e che ti ripropongo: [CustomerReady] WannaCrypt Guidance e MAY 2017 Premier Final.

Per concludere

Matteo, che ho citato all’inizio dell’articolo, ha registrato un video per raccontare cosa è successo, condendolo ovviamente con alcuni suoi pareri e buoni consigli. Investi qualche minuto per dargli un’occhiata e, se ti dovesse venire voglia di fucilare a distanza quella zebra che balla beh, sappi che non sei il solo, organizziamoci ;-)

Ti segnalo poi un ulteriore articolo di Feliciano Intini, pubblicato sul suo “NonSoloSecurity“, MSFT e conoscenza di vecchia data già dagli eventi legati a Conficker: blogs.technet.microsoft.com/feliciano_intini/2017/05/14/attacco-ransomware-wannacry-risorse-utili-e-chiarimenti, troverai al suo interno consigli, best practice e risposte a domande che tutti coloro che sono stati attaccati si pongono.

Puoi continuare a seguire il flusso delle informazioni su WannaCry su Twitter: twitter.com/hashtag/wannacry?f=tweets&vertical=default (inutile dire che in mezzo a tanto materiale di qualità, troverai anche battute stupide e spam che sfrutta la popolarità di quanto da poco accaduto, del tutto inevitabile).

Aggiornamenti dell’articolo

agg. 26/5

È già di qualche giorno fa (e ha fatto il giro del web), ma resta ovviamente uno di quei punti focali da scolpire su pietra: se sei stato infettato da WannaCry, NON riavviare la tua macchina. Scarica e utilizza immediatamente WanaKiwi di @gentilkiwi per cercare di recuperare quanti più file possibili.

L’articolo completo si trova su Medium e lo ha scritto Matt Suiche, è in inglese ma è spiegato in maniera talmente semplice da essere comprensibile anche per chi parla esclusivamente dialetto milanese.

In fondo dovrai solo scaricare e avviare un eseguibile nel più breve tempo possibile, così da permettergli di procedere con la ricerca dei processi del ransomware e della relativa chiave generata, così da poter cominciare una decriptazione dei tuoi file, per evitare (in realtà non avresti mai dovuto pensarlo o farlo neanche prima, nda) di dover pagare il riscatto per avere –forse– indietro il tuo materiale. Allo stato attuale, l’applicazione è stata testata con successo su sistemi Xp, Vista, 7 e relativi fratelli lato server (per capirci: Windows 2003 e 2008), con risultati più che positivi in architettura x86 (non dovresti avere problemi nel caso in cui tu abbia una macchina con OS x64).

Wanakiwi

  1. Download wanakiwi here
  2. wanakiwi.exe will automatically look for the 00000000.pky file.
  3. Cross fingers that your prime numbers haven’t been overwritten from the process address space.

continua a leggere: blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d

MS17-010: WannaCry, EternalBlue, DoublePulsar (Aggiornato)


agg. 22/5

Più sono le informazioni che vorresti riportare e citare, più facilmente le dimentichi. Mea culpa, e grazie a Elisabetta per avermi ricordato che ho mancato di portare alla tua attenzione un altro ottimo articolo, con il quale condivido pressoché il 99% del pensiero scritto riguardo i vari punti focali con i quali un amministratore di reti e sistemi si trova a combattere quotidianamente.

Ovvero, tutto quello che ho aggiunto in seguito rispetto alla pubblicazione originale del mio articolo, perché l’ho sbadatamente dimenticato o perché qualcuno mi ha segnalato buone letture che meritano di essere riportare anche in questi personali lidi. Primo tra tutti è un articolo pubblicato sul blog Agenzia Digitale, e che di seguito “embeddo“:

Wannacry, le sciocchezze che dicono gli “esperti”

In un paio di passaggi ci si rende conto di quanto possa essere difficile il nostro mestiere, e di quanto sia sciocco (oggettivamente, ma anche soggettivamente parlando) affermare che sarebbe bastato mettere una patch, sostituire un OS o tenere sempre a portata di mano un backup, per lo meno applicato a un contesto così delicato come l’azienda di medie (o più grandi) dimensioni, un panorama “multi-etnico” (se così si può definire), dalle mille sfaccettature e che non sempre (anzi, proprio mai) mostra davanti agli occhi una strada in discesa:

(4) “Ma questi non capiscono nulla, dovevano fare i backup!”. Ovviamente. Ma chi ci dice che i backup non esistono? Pensate ad un attacco di ransomware che mette fuori uso qualche centinaio di computer. Quanti ci vuole per (a) ripulire i sistemi dal malware (b) ripristinare i backup dei dati? Che nel mondo reale ci sia un periodo che può passare da qualche ora a qualche giorno di down mi sembra ragionevole.

e ancora:

(5) “Basta con Windows! Passiamo tutti a Linux!”. Bene, chi scrive utilizza praticamente solo Linux ed è un fervente sostenitore dell’open source, quindi questo discorso, perlomeno con me, sfonda una porta aperta. Il problema è che non la deve sfondare con me ma con i responsabili IT di una quantità di aziende medio-grandi che hanno svariate buone ragioni per non seguire questo consiglio – purtroppo, aggiungo io [cut …]

Perché sì, spesso siamo circondati da esperti (?!?) che –concordando con l’articolo di Alberto Berretti– hanno gestito al massimo una rete casalinga “complessa” (qualche cellulare, una ChromeCast e forse un router diverso da quello fornito dal provider della linea voce/dati), nella loro vita, è evidente.


Rimane ancora valido quanto detto nell’articolo originale: se pensi che questo articolo debba raccogliere altro materiale, vuoi proporre link di approfondimento o altro ancora, o semplicemente dire la tua in merito, l’area commenti è a tua totale disposizione! :-)

Condividi l'articolo con i tuoi contatti:

Firefox

Con Firefox in versione Nightly, dai un’occhiata “prima del tempo” a ciò che succederà nella versione stabile del browser di Mozilla, prendendoti rischi e pericoli per il tuo profilo e per la stabilità del browser stesso (ogni tanto può capitare che qualcosa si inceppi e venga risolta qualche ora dopo). Quella che è stata da poco introdotta è una di quelle novità “invasive” che potrebbero portare rogne all’utente medio, impattando sui suoi componenti aggiuntivi.

Come saprai, Firefox gira ormai in multiprocesso (wiki.mozilla.org/Electrolysis), permettendoti così di fruire di una navigazione più stabile e che più difficilmente va in crash come un tempo (e ti ricordo che spesso il problema era causato dai plugin, Adobe Flash in primis, e non certo dal browser in sé). Ulteriore novità verso la quale stiamo andando incontro, è la compatibilità con componenti aggiuntivi considerati obsoleti poiché non passati al nuovo standard Web Extensions (wiki.mozilla.org/WebExtensions). Se a questo aggiungi anche un (giusto, nda) impedimento nei confronti del funzionamento di componenti aggiuntivi non compatibili con la modalità multiprocesso, questo è il risultato:

Firefox: estensioni disattivate perché non multiprocesso

Fatta eccezione per Pushbullet, fuori uso nell’immagine ma in seguito aggiornato e nuovamente funzionante, gli altri componenti aggiuntivi sono rimasti KO fino a mio intervento. Questa mossa di Mozilla sta generando una “naturale selezione” che tenderà a pulire quello che è il più vasto catalogo ufficiale messo a disposizione degli utilizzatori del panda rosso, AMO (addons.mozilla.org).

Cosa sta succedendo in Nightly (e che quindi succederà nelle prossime versioni stabili del software) lo spiega direttamente Mozilla, in un articolo disponibile sulla Wiki ufficiale:

The Firefox team is currently focused on vastly improving performance in Firefox 57. Unfortunately, if you have add-ons installed in Nightly that are not WebExtensions, they make performance measurements on Nightly much harder. This is especially true of add-ons that are not multiprocess compatible and use shims.

Trovi maggiori informazioni (l’articolo è a oggi ancora in aggiornamento) all’indirizzo wiki.mozilla.org/Add-ons/ShimsNightly. Forse ti basterà sapere che, per ora, una modifica all’about:config ti permetterà di riportare in vita ciò che è stato automaticamente disattivato. Digita about:config nella barra dell’URL, premi invio e garantisci a Mozilla che farai attenzione a ciò che modificherai ;-)

Ora cerca la voce extensions.allow-non-mpc-extensions, e impostala a true, contrariamente a quanto presente di default (false, per ovvi motivi):

Firefox: estensioni disattivate perché non multiprocesso 1

La modifica è immediata, i componenti aggiuntivi si riattiveranno e –a meno che non abbiano bisogno di un riavvio del browser– saranno nuovamente operativi senza ulteriori operazioni da eseguire.

Cosa puoi fare nel frattempo? Cercare alternative ai componenti aggiuntivi utilizzati fino a oggi. Ti serve software che venga aggiornato e mantenuto nel tempo, in modo da soddisfare quelli che ormai sono i requisiti minimi (o consigliati) imposti da Mozilla, per rimanere al passo con i tempi e andare incontro alla continua evoluzione dettata spesso dalle esigenze degli utilizzatori stessi.

Vale ovviamente una giusta alternativa, quella che consiste nel contattare chi i componenti aggiuntivi li scrive, pregandolo di tenerli aggiornati, cosa che può anche succedere passando per AMO stesso, come per Xmarks (addons.mozilla.org/it/firefox/addon/xmarks-sync/reviews), mantenendo però la calma e tenendo a bada la lingua (o la tastiera, in questi casi). Giusto segnalare un malfunzionamento, ma con i modi corretti (e in inglese, consiglio spassionato). Io ho preferito contattare il supporto di LastPass (che possiede Xmarks) tramite il loro sistema di ticket, segnalando il problema (e ottenendo risposte che mi hanno lasciato intendere che l’helpdesk non conosca poi così tanto bene le varianti ufficiali di Firefox, ma tant’è).

Fai attenzione: con l’arrivo di Firefox 57 questa modifica sarà ufficialmente in produzione, senza riserve (salvo modifiche alla roadmap). Ricordati sempre che il forum di Mozilla Italia è sempre a tua disposizione in caso di problemi.

Condividi l'articolo con i tuoi contatti: