Archives For In Evidenza

Ti sei chiuso fuori dal sistema perché non ricordi più la password dell’amministratore locale e magari la postazione di lavoro ha anche perso la relazione di trust con il dominio? Benvenuto a bordo. La storia insegna che cambiare la password dell’amministratore locale del Sistema Operativo di Microsoft è sempre stata cosa possibile con un accesso fisico alla postazione (qui un vecchio articolo sul blog: Chntpw: cambiare password all’amministratore di Windows), negli ultimi tempi la storia è però cambiata, c’è bisogno di qualche trucco in più perché – giustamente – Microsoft è corsa ai ripari rendendo la procedura più difficile, questione di sicurezza. Oggi ti spiego come aggirare i nuovi ostacoli e arrivare al traguardo vincitore.

Microsoft Windows

Supporto di installazione

Per procedere nella maniera più semplice dovresti avere a disposizione un diverso PC Windows sul quale effettuare le operazioni, in alternativa puoi saltare al paragrafo successivo. Scarica lo strumento di creazione supporti di Windows 10 (Media Creation Tool) dal sito web di Microsoft (microsoft.com/it-it/software-download/windows10), avvialo e scegli di creare una chiave USB con tutto il necessario, attendi che il processo termini.

Windows 10: cambiare la password dell'amministratore 2

Attacca quella chiave USB al PC con la password di amministratore locale da modificare e avvialo facendo chiaramente partire il sistema da chiave.

Ti si presenterà davanti un prompt dei comandi che ti permetterà di operare. Se così non fosse premi sulla tastiera la combinazione di tasti Shift + F10, o ancora fai clic su Avanti nella prima schermata dove ti viene proposta la lingua da installare / Formato ora e valuta / Layout di tastiera → Ripristina il computerRisoluzione dei problemiPrompt dei comandi. Cerca la lettera del drive che contiene l’installazione di Windows 10 del PC (potrebbe trattarsi della D:\, quindi lancia un d: da prompt e – salvo errori – ti basterà in seguito un dir per controllare che le cartelle siano proprio quelle del PC interessato):

Windows 10: cambiare la password dell'amministratore 6

Spostati in D:\Windows\System32 e rinomina utilman.exe, per poter far spazio a un command (cmd.exe) al suo posto, in pratica:

cd Windows\System32
move Utilman.exe Utilman.exe.bak
copy cmd.exe Utilman.exe

Windows 10: cambiare la password dell'amministratore 3

Utilman.exe è l’eseguibile che Windows 10 utilizza nella schermata di login per darti le opzioni di accessibilità.

Windows 10: cambiare la password dell'amministratore 4

Per questo motivo facendo clic sull’icona verrà aperto un prompt dei comandi e non il solito popup al quale sei abituato (ammesso tu abbia mai curiosato in quel menu). Da qui il gioco è pressoché fatto. Vale ancora il vecchio metodo del net user administrator NuovaPassword da digitare e confermare da Prompt dei comandi:

Windows 10: cambiare la password dell'amministratore 5

Ora potrai autenticarti al sistema utilizzando nuovamente l’amministratore locale. In alternativa puoi non modificare la password dell’amministratore locale predefinito della macchina e crearne uno nuovo, ti basterà infatti lanciare un:

net user Pippo /add
net localgroup administrators Pippo /add

Dove “Pippo” sarà il nome utente del nuovo utente (reso poi amministratore locale) della macchina.

Se vuoi, te lo consiglio, riavvia la macchina utilizzando nuovamente la chiave USB che hai preparato, quindi rimetti a posto le cose così com’erano prima. Dal Prompt dei comandi cancella il finto Utilman.exe e rimetti a posto quello vero, per capirci:

d:
cd Windows\System32
del Utilman.exe
move Utilman.exe.bak Utilman.exe
wpeutil reboot

Arrivando alla schermata di login di Windows e facendo clic sull’icona dell’accessibilità ora dovresti notare il popup corretto.

Windows 10: cambiare la password dell'amministratore

Alternativa al Media Creation Tool

L’alternativa si chiama sempre chiave USB, ma il metodo con il quale copierai un’immagine ISO su di essa può essere differente. Ti ho parlato della possibilità di creare chiavi USB da avviare al boot macchina in un vecchio articolo ancora disponibile sul blog: Installare Windows da chiave USB (WinToFlash) (all’interno dell’articolo troverai riferimenti ad altri miei testi in cui parlo di ulteriori metodi e applicazioni per raggiungere lo stesso scopo).

Quello che ti serve è però un’immagine ISO da utilizzare. Per questo motivo ho scaricato, modificato e caricato un Windows 10 1809 x64 in italiano sul mio spazio Mega: go.gioxx.org/win10iso-1809-ntpwedit. Al suo interno ho inserito uno strumento utile per il cambio delle password degli utenti locali macchina (amministratore compreso) che puoi facilmente avviare da un prompt dei comandi. Ed è così che arriviamo al successivo paragrafo.

Una seconda via percorribile: NTPWEdit

Si chiama NTPWEdit e si basa sul codice sorgente di chntpw di cui ti avevo parlato tempo addietro (il già citato Chntpw: cambiare password all’amministratore di Windows in apertura di questo articolo). È gratuito e funzionante anche su Windows 10, si scarica dal sito web ufficiale cdslow.org.ru/en/ntpwedit (il collegamento diretto al file ZIP contenente l’ultima versione è cdslow.org.ru/files/ntpwedit/ntpwed07.zip o go.gioxx.org/ntpwedit per la copia che ho caricato sul mio spazio Box).

Avviando il PC con la chiave contenente il mio Windows 1809 modificato potrai lanciare un Prompt dei comandi (così come riportato nelle istruzioni del paragrafo Supporto di installazione, qualche colpo di scroll più in su), spostarti nella cartella principale della chiave USB (nel mio caso è la E:\ e forse anche nel tuo, in alternativa prova a spostarti in C:\, D:\, E:\, F:\ o altre) ed infine nella cartella ntpwedit che troverai già lì ad aspettarti. Ora esegui ntpwedit64.exe e attendi che compaia il programma a video.

Windows 10: cambiare la password dell'amministratore 1

Quasi certamente il programma avrà già trovato il file per lui necessario all’interno della cartella System32 di Windows, a te toccherà semplicemente fare clic su Open per far comparire la lista degli utenti rilevati nell’installazione di Windows. Selezionando l’utente sul quale vuoi intervenire potrai cambiare password (Change password) e/o effettuare lo sblocco nel caso in cui fosse bloccato (Unlock). Prima di uscire dal programma ricorda di fare clic su Save changes per scrivere le modifiche su disco.

A questo punto un ultimo clic su Exit seguito poi dal comando wpeutil reboot nel Prompt dei comandi ti permetterà di riavviare la macchina e tornare al tuo Sistema Operativo, per entrare nuovamente in possesso del tuo utente di amministratore locale.

Attenzione: Inutile forse dirlo: quest’ultimo prodotto puoi scaricarlo e integrarlo all’interno di un’immagine di Windows 10 (ISO) in completa autonomia, senza passare dal download che ho preparato io per accelerare i tempi. All’interno del mio file non c’è alcun altra modifica, ma dato che posso comprendere la poca fiducia di professionisti del settore e paranoici lettori occasionali del blog, sappi che mi sono limitato a utilizzare UltraISO per inserire la cartella contenente NTPWEdit nella root del DVD, nulla più, neanche polifosfati aggiunti, e pure senza glutine!

L’articolo termina qui. Spero di averti dato un paio di spunti validi per poter recuperare un accesso perso distrattamente nel caso in cui la macchina non abbia protezione alcuna (una macchina protetta da BitLocker non sarebbe comunque accessibile, per capirci). In caso di dubbi o richiesta di ulteriori informazioni non esitare a lasciare un commento (non è necessario essere registrati a Disqus).


Grazie a:
ilsoftware.it/articoli.asp?tag=Password-dimenticata-Windows-10-esclusivo-come-accedere-al-sistema_18844
howtogeek.com/222262/how-to-reset-your-forgotten-password-in-windows-10
Altri spunti di lettura:
lifewire.com/free-windows-password-recovery-tools-2626179
pogostick.net/~pnh/ntpasswd/bootdisk.html
Condividi l'articolo con i tuoi contatti:

Non è la prima volta che ti parlo di Gmvault, ricordi bene. Il primo articolo a riguardo è datato 5 aprile del 2017 e ti spiega (poiché valido ancora oggi) come effettuare un backup programmato di tutto il contenuto della tua casella di posta Gmail su Windows, sfruttando il progetto Open di @zoobert (disponibile su GitHub). Si installa il necessario, si impara a fare piccoli movimenti in prompt dei comandi (una Shell modificata per gestire proprio Gmvault) e il gioco è fatto, ti dimentichi di averlo fino a quando non sarà necessario ripristinare qualcosa di cancellato. Ti rinfresco la memoria proponendoti qui di seguito il rilancio all’articolo originale.

Un backup in locale di Gmail con Gmvault

Oggi però parliamo di Raspberry Pi e della possibilità di migrare questo lavoro sul tuo RPi, interfacciandolo (come extra) con il NAS di casa (nel mio caso si tratta del Synology DS216j) e tenendo quindi il backup sui dischi sotto costante backup. Certo tu puoi farne a meno sia chiaro, ti spiegherò quindi come agire in ambo i casi e lasciare che RPi svolga un lavoro a basso carico di risorse utilizzate ma estremamente importante per dormire sonni tranquilli.

Abilitare NFS su Synology

Un NAS per casa: Synology DS216j

Puoi saltare questo paragrafo se intendi effettuare il backup della tua posta sulla memoria SD (o su una risorsa esterna collegata tramite USB) del RPi.

Prima di partire con il lavoro su RPi ti consiglio di abilitare NFS sul NAS e rendere così la cartella utente personale accessibile in lettura e scrittura montando l’unità su Linux (autorizzando il solo IP del tuo RPi, per rendere la cosa più sicura). Tutto è spiegato correttamente – corredato da immagini esplicative – nella documentazione ufficiale del prodotto disponibile all’indirizzo synology.com/it-it/knowledgebase/DSM/tutorial/File_Sharing/How_to_access_files_on_Synology_NAS_within_the_local_network_NFS#t4.

Fatto ciò, potrai passare all’installazione di Gmvault su RPi, comune ad ambo gli utilizzi (salvataggio dati su NAS o su memoria SD / esterna collegata a RPi).

Installazione Gmvault su RPi

SMTP di GMail: l'utilizzo tramite app 2

Cosa abbastanza semplice se segui passo-passo una procedura già testata e verificata sul mio RPi. Ci sono alcune dipendenze (Python) da portare a bordo del tuo Raspberry, superato questo passaggio il resto è abbastanza in discesa. Ho raccolto la procedura in un file MD pubblicato sul mio spazio GitHub, lo trovi all’indirizzo github.com/gioxx/SomePublicStuff/blob/master/RPi/scripts/rpi_install-Gmvault.md. Nello specifico installa le dipendenze necessarie:

sudo apt-get install python-dev python-pip python-virtualenv python-setuptools

Al termine spostati nella cartella home di pi, ottieni il pacchetto più recente di Gmvault e installalo creando prima un virtualenv:

cd /home/pi/
wget https://bitbucket.org/gaubert/gmvault-official-download/downloads/gmvault-v1.9.1-src.tar.gz
tar -xvzf gmvault-v1.9.1-src.tar.gz
virtualenv gmvault
cd gmvault-v1.9.1/
~/gmvault/bin/python setup.py install

Ci sei quasi, creati un file Bash che richiami l’esecuzione di Gmvault indicando l’account da portare in backup (lo script di Bash potrai poi richiamarlo anche in Crontab molto facilmente):

#!/bin/bash
/home/pi/gmvault/bin/gmvault sync -d /home/pi/backup/gmvault-db user@gmail.com

Questo prevederà da parte tua un’autenticazione verso la casella di Gmail. Puoi in ogni caso utilizzare il metodo già visto su Windows (quello che fa partire una finestra del browser per l’autenticazione e rilascio del token da riutilizzare anche successivamente) o addirittura copiare e incollare nella cartella /root/.gmvault su RPi (stessa location dove verrà creato il file di configurazione di Gmvault, gmvault_defaults.conf). Lanciando il file di Bash partirà il processo di verifica e download della posta elettronica da Gmail verso la cartella di destinazione da te scelta (che nel mio caso utilizza il NAS e un puntamento da /mnt, nda), salvo errori avrai migrato il backup della tua casella di posta da Windows a RPi, comodo e meno esoso in termini di risorse di corrente, CPU e RAM.

Da questo momento potrai tornare – volendo – a utilizzare il gmvault sync -t quick utente@gmail.com -p -d /mnt/Gmailvault. Se per qualsiasi motivo tu dovessi riscontrare delle anomalie nell’utilizzo di Gmvault dai un’occhiata a questa discussione sviluppatasi su Github: github.com/gaubert/gmvault/issues/335.

Buon inizio settimana! 👋


immagine di copertina: unsplash.com / author: Kristina Tripkovic
Condividi l'articolo con i tuoi contatti:

Di motivi possono essercene diversi, eppure la sostanza rimane sempre quella: RPi deve poter inviare email in caso di necessità. È comodo, è logico, è necessario quando hai bisogno di essere avvisato riguardo cambiamenti di sistema (un IP nuovo? È solo un esempio), rilevamento di dati da sensori esterni, log di backup che hai fatto eseguire al tuo fedele micro-computer e chissà cos’altro. Con ssmtp è questione di un attimo, sei subito pronto per partire, ti servirà solo un server SMTP da sfruttare (va bene anche Gmail, basati sulle informazioni di questo vecchio articolo: SMTP di GMail: l’utilizzo tramite app (terze parti)).

RPi: inviare posta elettronica da Raspberry

Installazione e configurazione

Dopo aver lanciato un sudo apt-get update utile all’aggiornamento dei pacchetti disponibili, installa ssmtp come anticipato nell’apertura dell’articolo, ti basta poco:

sudo apt-get install ssmtp
sudo apt-get install mailutils

Al termine dovrai inserire i dati di configurazione per poter sfruttare il server SMTP esterno, ti basterà modificare il file di configurazione di ssmtp tramite sudo nano /etc/ssmtp/ssmtp.conf. Puoi commentare le righe già presenti nel file, aggiungendo in coda l’intero blocco necessario:

root=postmaster@contoso.com
mailhub=smtp.contoso.com:587
rewriteDomain=contoso.com
hostname=rpi.contoso.com
AuthUser=postmaster@contoso.com
AuthPass=Pa$$word
UseSTARTTLS=YES
UseTLS=NO

Rapidissimamente:

  • postmaster@contoso.com è l’indirizzo (esistente) sul server SMTP, il quale verrà utilizzato per farsi riconoscere (root=) e autenticarsi (AuthUser=).
  • smtp.contoso.com:587 è il server SMTP che intendi utilizzare, seguito dal :587 che sta a indicare la porta da utilizzare (in questo caso la 587, varia in base alla configurazione del provider che scegli di utilizzare).
  • rewriteDomain=contoso.com è il valore / dominio che sta dopo la chiocciola, se il tuo indirizzo di posta è mario.rossi@pippo.it dovrai specificare pippo.it.
  • rpi.contoso.com è l’hostname dal quale partirà la nuova email. Questo può anche non esistere, ma se il parametro SPF specificato sul tuo server SMTP non permette all’intero dominio di essere riconosciuto dagli antispam, rischi che l’email venga scartata dal provider di posta di chi riceverà le email spedite da RPi. Ti consiglio quindi di mantenere il tuo vero dominio di posta (quello che usi per spedire le email, il famoso “pippo.it” di cui ti parlavo poco fa) così da evitare problemi.
  • UseSTARTTLS=YES e UseTLS=NO sono parametri che servono a chiedere a ssmtp di utilizzare l’autenticazione con protezione StartTLS anziché TLS.

Nel caso in cui tu voglia utilizzare il server SMTP di Gmail ti consiglio di dare un’occhiata a questo articolo che ho trovato sul web.

Modifica ora il contenuto del file revaliases (sudo nano /etc/ssmtp/revaliases) aggiungendo semplicemente questa riga:

root:postmaster@contoso.com

Salva il file e chiudilo, a questo punto ti manca solo da mettere a posto i permessi del file di configurazione di ssmtp (sudo chmod 774 /etc/ssmtp/ssmtp.conf) e sei pronto a eseguire il primo test di invio posta elettronica dal tuo RPi.

Test di invio

Lancia da terminale un semplice echo "testo della email" | mail -s "test" mario.rossi@contoso.com sostituendo ovviamente mario.rossi@contoso.com con il tuo indirizzo reale di posta elettronica, questo dovrebbe inviarti nel giro di poco una nuova email alla tua casella, segno che tutto è andato per il verso giusto.

Ma

Nel caso tu avessi mancato o riprodotto male un passaggio potresti avere la sfortuna (come successo la prima volta al sottoscritto) di incorrere nell’errore mail: cannot send message: Process exited with a non-zero status. A questo punto ti serve qualche informazione in più, io per averla io ho installato mpack (sudo apt-get install mpack) e:

  • creato un file di testo contenente il corpo di un messaggio di test (echo "Messaggio di test" > messaggio.txt),
  • creato un file di testo che fungesse da possibile allegato (echo 123prova > attach.txt),
  • fatto un invio di test tramite mpack per ottenere un messaggio di errore più esplicativo (mpack -s "Invio di test" -d messaggio.txt attach.txt mario.rossi@contoso.com).

Ed ecco servito il reale problema:

sendmail: RCPT TO:<mario.rossi@contoso.com> (504 5.5.2 <pi@raspberrypi>: Sender address rejected: need fully-qualified address)

Una volta messo a posto quanto sbagliato (segui scrupolosamente la procedura riportata poco sopra in questo mio articolo e assicurati di aver specificato nel modo giusto il tuo dominio di posta e le relative credenziali) la mail è partita correttamente, consegnata ancora calda nella mia mailbox poco dopo:

RPi: inviare posta elettronica da Raspberry 1

Da questo momento sarà possibile inviare mail da RPi, potrai quindi inserire i comandi necessari in qualsiasi script o esecuzione programmata (cronjob) secondo esigenza.


Grazie a:
askubuntu.com/questions/643873/how-to-get-ssmtp-to-map-local-user-to-email-address-for-the-to-field
raspberrypi.org/forums/viewtopic.php?t=191675
raspberry-projects.com/pi/software_utilities/email/ssmtp-to-send-emails
possiblelossofprecision.net/?p=591
Condividi l'articolo con i tuoi contatti:

Tranquillo, capisco possa trattarsi di un titolo molto ricco ma ti assicuro che il filone è unico e che lo si segue abbastanza agilmente. Il succo del discorso? Affrontare un ormai inevitabile (se ci tieni alla sicurezza e all’aggiornamento della tua postazione di lavoro) upgrade da Windows 7 a 10 sulle postazioni che sei solito utilizzare e che per qualche (buon?) motivo non hai ancora toccato. Windows 7 uscirà fuori dal supporto esteso tra una manciata di mesi (support.microsoft.com/it-it/help/4057281/windows-7-support-will-end-on-january-14-2020, ma anche blogs.windows.com/windowsexperience/2019/03/12/making-the-transition-to-windows-10-and-office-365), ha davvero senso tenerlo ancora in vita? (hint: no). Vediamo insieme che fare.

Bloccare l'installazione driver su Windows 10

Lunga vita a 7!

Lungi da me dal dirti cosa devi o non devi fare, posso comunque farti sapere che a mio parere (e non solo il mio, a dirla tutta) Windows 7 è definibile oggi come un Sistema Operativo ormai vecchio e abbondantemente superato. Siamo nuovamente arrivati a quel punto della storia che ha visto – e vede ancora oggi – Windows Xp fare la stessa identica fine, con una miriade di utenti che si sarebbero strappati ogni veste e capello in testa pur di non fare questo salto. Lo hanno fatto. Forse non tutti è vero (vedo ancora dei Windows Xp come il bambino del Sesto Senso vedeva la gente morta), eppure la maggior parte si è arresa davanti all’evidenza di un’evoluzione tecnologica del tutto naturale. Seven può finalmente andare in pensione ed essere ricordato come degno erede di un mai troppo amato Windows Xp (che a sua volta ha ereditato lo scettro di Windows 98 SE, impossibile da dimenticare, nda). Windows 10 è maturato tanto, è cambiato nel tempo e si è adattato alle esigenze dei suoi utilizzatori e ai tempi più moderni, dando un taglio netto con quel passato fatto di Tile e menu di Start prima abbandonati e poi tornati prepotentemente a occupare il loro spazio sul monitor (com’è giusto che sia, tranquillo, non faccio parte della schiera talebana che non voleva più il menu di Start).

Grazie Windows 7, sei stato compagno fedele a casa come in ufficio, ci sarà occasione di incontrarsi ancora – ne sono certo – ma è tempo di lasciare definitivamente il passo a Windows 10, chi te lo dice è un utilizzatore del “giovane” SO già dalla sua prima versione (luglio 2015), ormai soddisfatto di quanto cambiato in questi ultimi 4 anni.

Passaggio a Windows 10

Non mi voglio dilungare su questa particolare procedura, è maledettamente semplice e non ti sono necessario. Posso solo dirti che per fare un upgrade in-place (passare da Windows 7 a Windows 10 sulla macchina che stai attualmente utilizzando, ma anche su qualsiasi altra) ti basterà scaricare il Media Creation Tool (microsoft.com/it-it/software-download/windows10), avviarlo e chiedergli di aggiornare la macchina in uso. Fatto ciò ti basterà seguire le istruzioni a video e nulla più, è davvero a prova di ignorante informatico (e non penso tu lo sia).

Lo stesso strumento ti permette di creare una chiavetta USB che puoi inserire in qualsiasi macchina Windows 7 non connessa a internet e aggiornarla a Windows 10 con il minimo sforzo. La chiave USB partirà all’accensione del PC (in automatico o con il tuo aiuto) e seguirà poi lo stesso iter di aggiornamento che il Media Creation Tool seguirebbe se tu volessi aggiornare “in diretta” il Sistema Operativo, scaricando in quel momento tutto il necessario dai server di Microsoft.

Generic Product Keys (chiavi di licenza di default)

L'ecosistema "KeePass based": gestire password tra più sistemi

È in questo momento che può tornarti utile conoscere i Product Key di default di Windows 10, i quali ti permetteranno di affrontare un’installazione del Sistema Operativo passando indenne il passaggio relativo alla validità del prodotto, per poi metterti a posto con coscienza e legge in un secondo momento (quello dell’attivazione, da eseguire a sistema ormai installato e avviato). Perché dirlo ora? Perché nonostante Microsoft permetta ancora l’upgrade del proprio codice di licenza Windows 7 (trasformandolo in licenza digitale Windows 10 assolutamente legale e valida) conosco benissimo i miei polli e so bene che là fuori girano molti Windows 7 piratati ancora oggi.

  • Se utilizzi Windows 7 correttamente licenziato, Microsoft trasformerà quel codice in licenza digitale Windows 10 assolutamente valida e a te assegnata.
  • Se utilizzi Windows 7 pirata, probabilmente il codice di licenza non verrà accettato e ti verrà impedito di procedere con un normale upgrade, chiedendoti un Product Key da usare per procedere. È qui che entra in gioco un riferimento della documentazione ufficiale di Microsoft.

Le “Generic Product Keys” sono fatte proprio per questo. Puoi utilizzarle per installare il Sistema Operativo ma non per attivarlo, per quest’ultima operazione dovrai infatti acquistare e pagare regolare licenza (retail, ESD, ecc.). Uno specchietto di facile utilizzo è disponibile sul forum di tenforums all’indirizzo tenforums.com/tutorials/95922-generic-product-keys-install-windows-10-editions.html. Stabilita la versione di Windows che dovrai installare (o aggiornare) puoi pescare un codice da quella tabella e utilizzarlo per procedere.

Una volta approdato su Windows 10, ti verrà notificato che dovrai eseguire quanto prima l’attivazione del prodotto, così da sfruttare in maniera completa le potenzialità del tuo nuovo Sistema Operativo.

Licenze a basso costo (ESD)

Windows 10, licenze ESD e Product Key di default

source: unsplash.com / author: Hanson Lu

Ed ecco la soluzione a ogni possibile protesta di coloro che pretendono di non pagare lo sviluppo di un prodotto che sta alla base della piramide alimentare (escludendo il puro costo dell’hardware). Si chiama ESD ed è l’acronimo di Electronic Software Delivery, in parole povere si tratta di codici di licenza assolutamente legali che non sono associati ad alcun supporto ottico o scatola acquistabile negli store fisici. Non hai DVD di installazione di Windows, non hai la scatola da conservare tra le tue cose, non hai nulla a eccezione della Product Key utile all’attivazione del tuo nuovo Sistema Operativo, il costo è quindi molto più basso del normale, spesso inferiore anche a un codice OEM che segue la vendita di una specifica macchina (o produttore che ne acquista in blocco). Questo codice è in qualsiasi momento rivendibile se non più (o mai) utilizzato.

Prima che compaia qualche paladino della giustizia all’interno dell’area commenti, ti segnalo una sentenza della Corte di Giustizia dell’Unione Europea (C-128/2011) che parla dell’argomento (seppur trattando una causa di Oracle International Corp. contro UsedSoft GmbH) e che puoi liberamente consultare all’indirizzo eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62011CJ0128&from=IT. Estraendo parte di quanto riportato, i passaggi più importanti sono quelli relativi al diritto di sfruttamento di una licenza e alla vendita della stessa come “seconda mano” con qualsivoglia mezzo, nello specifico:

L’articolo 4, paragrafo 2, della direttiva 2009/24/CE del Parlamento europeo e del Consiglio, del 23 aprile 2009, relativa alla tutela giuridica dei programmi per elaboratore, deve essere interpretato nel senso che il diritto di distribuzione della copia di un programma per elaboratore è esaurito qualora il titolare del diritto d’autore che abbia autorizzato, foss’anche a titolo gratuito, il download della copia su un supporto informatico via Internet abbia parimenti conferito, a fronte del pagamento di un prezzo diretto a consentirgli l’ottenimento di una remunerazione corrispondente al valore economico della copia dell’opera di cui è proprietario, il diritto di utilizzare la copia stessa, senza limitazioni di durata.

Gli articoli 4, paragrafo 2, e 5, paragrafo 1, della direttiva 2009/24 devono essere interpretati nel senso che, in caso di rivendita di una licenza di utilizzazione che implichi la rivendita di una copia di un programma per elaboratore scaricata dal sito Internet del titolare del diritto d’autore, licenza che era stata inizialmente concessa al primo acquirente dal titolare medesimo senza limitazione di durata ed a fronte del pagamento di un prezzo diretto a consentire a quest’ultimo di ottenere una remunerazione corrispondente al valore economico della copia della propria opera, il secondo acquirente della licenza stessa, al pari di ogni suo acquirente successivo, potrà avvalersi dell’esaurimento del diritto di distribuzione previsto dall’articolo 4, paragrafo 2, della direttiva medesima e, conseguentemente, potrà essere considerato quale legittimo acquirente di una copia di un programma per elaboratore, ai sensi del successivo articolo 5, paragrafo 1, di tale direttiva, beneficiando del diritto di riproduzione previsto da quest’ultima disposizione.

È per questo motivo che di store di licenze ESD ne sono spuntati quasi più che “Compro oro” nelle tante città d’Italia. È un business che può certamente essere remunerativo per chi lo mette in piedi ma anche per tutti coloro che vogliono corrispondere almeno una parte della cifra inizialmente richiesta (in questo caso da Microsoft) per lo sviluppo di un software. Questo si applica a qualsiasi tipo di software e di licenza, ivi compresi Windows e Office.

Ho già acquistato codici ESD che hanno correttamente attivato delle installazioni di Windows 10 (sia nuove che upgrade da sistema non correttamente licenziato) e posso quindi consigliarti di fare lo stesso se hai intenzione di fare questo salto. Ciò che mi preme dirti è che trattandosi di licenze già utilizzate, è bene fare acquisti solo attraverso piattaforme in grado di garantirti un rimborso della cifra spesa in caso di malfunzionamento del codice, siti web come Amazon o eBay con protezione degli acquisti PayPal quindi. Io personalmente tendo sempre a utilizzare il primo, la garanzia dalla A alla Z protegge più che bene anche questo tipo di “shopping“.

Qui di seguito ti lascio qualche riferimento a prodotti ESD su Amazon, anche se la lista è decisamente più nutrita. Occhio alla versione che acquisti e al tuo attuale sistema operativo se desideri pagare una licenza per upgrade.

Se stai usando Windows 7 Pro a 64 bit, posso consigliarti questo acquisto. In tutti i casi il codice di licenza ti verrà recapitato a mezzo posta elettronica (tramite sistema mail interno di Amazon) nel giro di qualche ora al massimo, dovrai solo pazientare un attimo. A te non resta che andare a inserirlo nel pannello Impostazioni di Windows 10 e procedere con l’attivazione (tra verifica e conferma impiegherai un minuto al massimo).

Siamo arrivati al termine di questo articolo. Come al solito per qualsiasi dubbio ti invito a lasciare un commento qui di seguito, la registrazione a Disqus non è affatto obbligatoria.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Uno di quegli articoli “bibbia” per il quale potrei andare avanti a scrivere per ore, ma che mi rendo conto di non poter stendere per evitare di stendere il lettore (sembra una frase scritta da Fedez, ti chiedo scusa, non lo faccio più). Te lo avevo anticipato facendolo trasparire nell’articolo di partenza dedicato a Raspberry Pi (Raspberry Pi: la base di partenza), ora è arrivato il momento di parlarne e di capire come tu puoi creare un server DNS casalingo in grado di proteggerti da siti web pericolosi (prima di tutto) e dalla pubblicità invasiva, con particolare attenzione al filtro che puoi ulteriormente applicare per la protezione della navigazione dei minori.

Pi-hole: installazione e prima configurazione

Pi-hole

Un gran bel progetto che richiede da parte tua il minimo sforzo (dipende molto da quello che cerchi e da quanto in “profondità” vuoi andare per sfruttarne le potenzialità), open source e di libero accesso, sostenuto dalle donazioni volontarie degli utilizzatori (che ti invito a valutare). Pi-hole si definisce come “A black hole for Internet advertisements“, un buco nero per tutta la pubblicità invasiva di Internet, un concetto certamente ben identificativo del progetto, ma che a mio parere risulta un po’ restrittivo rispetto a quello che un prodotto simile può davvero fare per l’utilizzatore finale.

Secondo una definizione certamente più tecnica disponibile sulla Wiki di archlinux, Pi-hole è un:

DNS sinkhole che redige una lista di blocco di domini conosciuti per offrire pubblicità e malware da sorgenti multiple di terze parti. Pi-hole, attraverso l’uso di dnsmasq, elimina semplicemente tutte le richieste di domini nella sua lista di blocco. Questa configurazione implementa efficacemente il blocco della pubblicità a livello di rete senza dover configurare ogni singolo client. Il pacchetto offre una interfaccia web e una a riga di comando.

Se sei abituato a utilizzare Adblock Plus o un qualsivoglia prodotto che svolge lo stesso compito sul tuo browser preferito hai certamente chiaro il concetto alla base: evito alla sorgente che le risorse vengano caricate in un solo colpo e per tutti i dispositivi connessi alla rete, perché Pi-hole mi permette di intercettarle e redirigerle in maniera differente rispetto ai DNS pubblici, ovvero troncando la comunicazione con quei domini che vengono utilizzati per veicolare pubblicità invasiva (e non solo). Il grande vantaggio del prodotto sta certamente nella centralizzazione delle tue operazioni e nella possibilità di scaricare un po’ di lavoro dalle spalle del browser che potrà così rinunciare a un componente aggiuntivo spesso esoso di risorse (dipende da quello che stai utilizzando, nda).

Installazione

Tutto chiaro? D’accordo. A questo punto passiamo al succo vero dell’articolo, installiamo Pi-hole sul tuo RPi (la soluzione certamente più comoda) o su un NAS ammesso che questo ti permetta di far girare Docker, o ancora su una macchina Linux che utilizzi già per fare altro all’interno della tua rete, trovi la lista di compatibilità del prodotto all’indirizzo docs.pi-hole.net/main/prerequesites/#supported-operating-systems.

Io baso il mio articolo su Raspberry Pi (RPi), ho creato una macchina virtuale sul mio Mac con Raspbian a bordo appositamente per catturare qualche screenshot per questo articolo (l’installazione di produzione l’ho fatta ormai circa un mese fa e ho semplicemente dimenticato di crearmi delle prove fotografiche 😅). Cominciamo.

Collegati in SSH al tuo RPi e lancia la stringa di installazione curl -sSL https://install.pi-hole.net | bash esattamente come riportato in home page del sito web di Pi-hole. Dopo un rapido check di sistema (serve capire se hai già tutto a bordo o se sarà necessario installare qualcosa) ti troverai davanti alle schermate di configurazione di Pi-hole:

Ti riporto qui la lista dei passaggi inseriti nella galleria di immagini sopra disponibile, integrando il tutto con ciò che nella galleria non c’è:

  • L’installazione comincia. Premi invio per continuare.
  • Arriverai alla schermata informativa riguardante l’IP da assegnare alla tua installazione Pi-hole: fai in modo che questo sia sempre lo stesso (statico o tramite reservation sul DHCP).
  • Comunica a Pi-Hole che DNS pubblici utilizzare per la risoluzione dei nomi a dominio (nel mio caso ho scelto Google, 8.8.8.8 e 8.8.4.4).
  • Specifica ora che liste di blocco vuoi cominciare a utilizzare. La barra spaziatrice serve per selezionare o deselezionare una voce. Spostati con le freccette nella schermata. Quando terminato, premi invio per confermare. Non preoccuparti di questa scelta, sarà sempre modificabile in un secondo momento.
  • Seleziona entrambi i protocolli di comunicazione (IPv4 e IPv6).
  • Conferma l’indirizzo IP della macchina (RPi) e del tuo router quando richiesto.
  • Quando richiesto, conferma di voler installare l’interfaccia web amministrativa. Servirà un’ulteriore conferma successiva alla richiesta di installazione di lighttpd. Lascia che le richieste (query) vengano loggate (0 – Show everything).
  • A questo punto ti basterà attendere che l’installazione proceda autonomamente fino al termine. Ti verrà mostrata una pagina riepilogativa contenente – tra le altre cose – la password di amministrazione del tuo nuovo Pi-hole.

Puoi ora collegarti alla console di Pi-hole utilizzando l’indirizzo che ti è stato riportato nella schermata riepilogativa, esempio http://192.168.1.10/admin. Salvo errori, ti troverai davanti alla console del software, dovrai quindi fare clic sulla voce Login (nella colonna di sinistra) e inserire la password che ti è stata precedentemente fornita, solo così potrai accedere alla gestione completa del tuo nuovo giocattolo.

Pi-hole: installazione e prima configurazione 11

Utilizzo

Ci siamo, fino a qui sei stato capace di installare Pi-hole sul tuo RPi, non ti resta che utilizzarlo e metterlo in pista per tutti i client della tua rete, prima però credo sia necessario un po’ di tuning e personalizzazione.

Cosa c’è da sapere? Beh, di certo fossi in te darei un’occhiata alle Impostazioni (Settings), all’interno delle quali troverai le informazioni sull’installazione (con possibilità di lanciare alcuni comandi rapidi, come il riavvio o lo spegnimento di sistema, o il blocco dell’attività di logging), le blacklist sottoscritte, i DNS pubblici utilizzati per la risoluzione dei nomi a dominio. Pi-hole può inoltre fare da server DHCP se lo preferisci, sostituendo così una delle funzioni che un router svolge in maniera predefinita. Seppur correttamente funzionante, preferisco che questo compito continui a svolgerlo il mio Fritz!Box e che lui faccia passare le richieste DNS dal mio RPi (così da sottostare al comando di Pi-hole).

Per concludere, troverai una schermata dedicata alla modifica della console e alle API che puoi utilizzare per integrare un differente softwae con Pi-hole, ma anche la sezione Privacy (per il livello / profondità di log da utilizzare) e il Teleporter, ovvero il modulo di Pi-hole che ti permette di esportare la tua configurazione e importarla su una differente installazione (che è grosso modo ciò che fai per portare a termine le operazioni di backup e restore di qualsivoglia tuo dato).

Cosa ho modificato?

Tralasciando le blacklist delle quali ti parlo tra poco, ho certamente ritoccato la parte relativa ai DNS, obbligando Pi-hole a interrogare Google utilizzando DNSSEC (ti ho parlato di questa tecnologia in un articolo relativo a Firefox: Firefox: DNS over HTTPS (di Cloudflare, ma non solo)):

Pi-hole: installazione e prima configurazione 1

In seguito ho ritoccato la parte relativa alla console, chiedendole di non mostrarmi alcuni domini bloccati nella totalità dei casi (indirizzi utilizzati per le pubblicità invasive delle applicazioni Android, quei banner che ti portano spesso ad abbonamenti mai richiesti, nda), ma questo è certamente un comportamento che farà comodo anche a te quando inizierai ad avere dello storico di navigazione tramite Pi-hole.

Le blocklist

È così che le chiama Pi-hole (SettingsBlocklists). Si tratta di blacklist composte da domini dei quali puoi quasi certamente fare a meno, sono quelli che generalmente propongono banner pubblicitari invasivi ma anche pericolosi script che possono danneggiare il tuo browser (Malware Domains). Dopo aver fatto piazza pulita di alcune liste che ho inizialmente utilizzato e studiato, sono arrivato ad avere una situazione della quale sono molto soddisfatto, che “limito” in qualche maniera grazie all’utilizzo della Whitelist di Pi-hole (e di questo ne parliamo presto perché c’è una novità in pentola, promesso).

L’attuale mia situazione vede in uso queste liste:

URL listaScopo
https://raw.githubusercontent.com/lightswitch05/hosts/master/ads-and-tracking.txtUna ricca lista in grado di bloccare domini che tracciano le attività di navigazione quotidiane, valida anche per tutto ciò che riguarda le applicazioni che caricano banner su Android e iOS. Un conto sono le pubblicità (che possiamo anche sopportare), un altro sono quei contenuti che portano ad abbonamenti non graditi e mai richiesti consapevolmente.
https://www.squidblacklist.org/downloads/dg-ads.aclStesso scopo della lista poco sopra, questa viene costantemente aggiornata da squidblacklist.org (non conosci Squid? Dai un'occhiata qui).
https://raw.githubusercontent.com/StevenBlack/hosts/master/hostsSteven Black raggruppa diverse Block List (Awdware, Malware, Fraud, Scam, Spam, Tracking e Cryptomining) cercando di eliminare tutti i falsi positivi e tenendo il suo lavoro costantemente aggiornato. Se dai un'occhiata al suo spazio GitHub troverai liste per filtrare anche altri tipi di siti web.
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txtSulla falsa riga di quanto faccio già con la NoCoin per Adblock Plus, questa lista è già pronta (e costantemente aggiornata) per essere digerita da Pi-Hole, permette di bloccare tutti i siti web che utilizzano script di mining che mettono in difficoltà le risorse del tuo PC.
https://mirror1.malwaredomains.com/files/justdomainsCome per la NoCoin di cui ti parlavo giusto qui sopra, anche la Harmful WebSites trova una sua versione di tipo host da poter dare in pasto a Pi-Hole. Blocca quindi i domini che sono veicolo di malware. Curata da malwaredomains.com.
https://www.squidblacklist.org/downloads/dg-malicious.aclBlocca i domini che sono veicolo di malware. Curata da squidblacklist.org.
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklistLista di domini potenzialmente dannosi, che possono essere bloccati in tranquillità, nasce da un progetto molto ambizioso che fornisce diversi dati in merito ai tanti abusi presenti sulla rete. Curata da abuse.ch.
http://theantisocialengineer.com/AntiSocial_Blacklist_Community_V1.txtBlocca tutti quei domini che tentano di truffare il visitatore facendogli credere di essere in tutto e per tutto su siti reali, istituzionali, di una certa rilevanza, come per esempio quelli delle banche, di Microsoft, Google, ecc.
https://phishing.army/download/phishing_army_blocklist_extended.txtUna creatura di Andrea 'Drego' Draghetti data alla luce relativamente poco tempo fa. Il sito web ufficiale lo trovi all'indirizzo phishing.army, la lista viene aggiornata spesso e sempre verificata per evitare quanto più possibile errori e falsi positivi. Ti protegge da siti web che tentano di frodarti durante la navigazione. Ti consiglio personalmente la versione estesa, contenente anche i sottodomini.

(Se vuoi copiare e incollare facilmente tutti gli URL, fai riferimento a questa pagina: github.com/gioxx/ph-whitelist/blob/master/domains/blocklists.md).

Pi-hole: installazione e prima configurazione 12

Si va così a creare un recinto di protezione più per i siti web potenzialmente pericolosi che per la pubblicità in sé. Per quel mestiere sai bene che allo stato attuale continuo a utilizzare Adblock Plus e i moduli X Files, in un futuro chissà, potrei virare verso qualcosa “Pi-hole oriented“.

Liste predefinite e altri progetti

Se ti interessa verificare o recuperare in qualche maniera le liste proposte di default in fase di installazione di Pi-hole, trovi qui un riferimento ufficiale su GitHub: github.com/pi-hole/pi-hole/wiki/Customising-sources-for-ad-lists.

Noterai che oltre queste, su Internet esistono una quantità non meglio definita di progetti che vogliono in qualche maniera alimentare il già ricchissimo database di domini dai quali stare bene alla larga. Io cerco sempre di dare un’occhiata a liste e curatori per capire quante e quali di loro si può meglio occupare dell’aggiornamento delle regole del mio Pi-hole, per evitare spiacevoli inconvenienti durante la quotidiana navigazione dei client di casa e dei dispositivi accesi e connessi h24. C’è a tal proposito un progetto molto corposo al quale ho dato un’occhiata ma che allo stato attuale ho abbandonato a causa di liste non ben controllate: blocklist.site/app, una vera e propria vetrina che mette a disposizione liste per ogni necessità. Magari tu ne conosci altri che vuoi condividere (mi farebbe piacere), l’area commenti è a tua disposizione.

Aggiornamenti giornalieri

Alcune liste che ti ho suggerito nella tabella qui sopra vengono aggiornate quotidianamente. Per questo motivo ho personalmente deciso di modificare il comportamento di Pi-Hole chiedendogli di fare un aggiornamento completo delle sottoscrizioni ogni 24h. Il comportamento predefinito del software indica che questa azione viene compiuta una volta ogni settimana (vedi: discourse.pi-hole.net/t/updating-blocklist-every-day/16853).

Lo puoi vedere tu stesso da Terminale: more /etc/cron.d/pihole. Una riga simile a questa dovrebbe indicarti quando viene eseguito l’aggiornamento del modulo Gravity:

7 3 * * 7 root PATH="$PATH:/usr/local/bin/" pihole updateGravity >/var/log/pihole_updateGravity.log || cat /var/log/pihole_updateGravity.log

Se non sai interpretare la prima parte della stringa non preoccuparti, si tratta di una sequenza che riporta minuto-ora-arco del mese-mesi-giorno leggibile da Crontab. Vuoi capire meglio per cosa sta? Eccoti servito: crontab.guru/#7_3_*_*_7. Per eseguire un aggiornamento quotidiano ho modificato il file tramite comando sudo nano /etc/cron.d/pihole, commentando la riga sopra riportata (basta inserire il simbolo del cancelletto # a inizio riga) e riportando subito sotto questo:

7 3 * * 0-6 root PATH="$PATH:/usr/local/bin/" pihole updateGravity >/var/log/pihole_updateGravity.log || cat /var/log/pihole_updateGravity.log

Noti nulla di diverso? Esatto. L’ultima parte indica al Crontab di eseguire il lavoro dal giorno 0 al giorno 6, ovvero dalla domenica al sabato (crontab.guru/#7_3_*_*_0-6).

Salva la modifica con la combinazione CTRL + X da tastiera, seguita da S per indicare sì quando Nano chiederà se scrivere le modifiche sul file.

In conclusione

Difficile concludere quando in realtà c’è altro da dire, ma l’articolo è davvero diventato troppo lungo e pesante. Nella “prossima puntata” ti parlerò di Whitelist e della possibilità di automatizzare l’aggiornamento di quest’ultima anche se nativamente non previsto. La novità esiste già e sono certo che ti piacerà (se l’argomento Pi-hole ti ha interessato, chiaramente), dovrai solo pazientare una manciata di giorni ancora.

In generale c’è ancora molto da approfondire riguardo l’argomento RPi 🙂

Nel frattempo se hai qualsiasi dubbio o domanda in merito a quanto scritto, l’area commenti è a tua totale disposizione (anche senza registrazione a Disqus). Spero di aver stuzzicato la tua curiosità e che tu possa suggerirmi ulteriori fonti da consultare in merito al progetto.


Crediti:
Condividi l'articolo con i tuoi contatti: