Archives For Intel

Mi rendo conto che il titolo è molto poco preciso ma provare a buttarci dentro “Come abilitare o disabilitare l’Home Mode di Synology Surveillance Station appoggiandosi a Fritz!Box e agli smartphone collegati alla WiFi di casa” sarebbe stato un pelo esagerato. La sostanza però è proprio questa: il Geofence integrato nell’applicazione DS cam fa oggettivamente schifo, non è assolutamente affidabile e si finisce per non riuscire mai a sfruttare la modalità Home dell’ottimo software di controllo telecamere disponibile per i NAS Synology. L’ostacolo si può aggirare tramite un router Fritz!Box (nella soluzione proposta da questo articolo, chiaro) e un paio di script da tenere sul NAS.

Synology Surveillance Station: automatizzare l'Home Mode tramite WiFi

AVM FRITZ!Box Synology Surveillance Home Mode Automation

Mark Schipper è lo sviluppatore che ha in origine pubblicato tutto il necessario in un repository GitHub qui disponibile. Le sue indicazioni sono già valide per poterle sfruttare in un ambiente casalingo dalle pari disponibilità, e dopo una mia segnalazione di possibile bug ha anche integrato una serie di novità e riscritto parte del codice che si occupa di:

  • verificare tramite query SOAP al router Fritz!Box di casa (uno o più) se un dispositivo è connesso alla rete WiFi (bisognerà dichiarare il MAC address del dispositivo, nda);
  • contattare la Surveillance Station tramite API e chiedere di abilitare o disabilitare la modalità Home nel caso in cui il dispositivo sia dentro o fuori casa.

In parole estremamente povere la modalità Home di Synology Surveillance Station si attiva se un tuo smartphone (o altro dispositivo a tua scelta) entra nella rete WiFi di casa, si disattiva invece quando esci da quel perimetro, il tutto lanciando controlli ripetuti a distanza di una quantità di minuti da te stabilita.

Tutto questo si è reso “necessario” perché la funzione di Geofence integrata nell’applicazione DS cam per Android e iOS non è esattamente questo gran mostro di precisione. Un esempio virtuoso che potrei farti in questo caso è tado° che difficilmente perde un colpo. Per questo motivo ho preferito mettere in campo e sperimentare quanto scritto da Mark, apportando poi delle piccole modifiche per rendere ancora migliore il risultato e colmando un gap che manca all’appello del README dello sviluppatore originale, che invita a installare il modulo PHP 7 di Synology senza però specificare che occorrerà ricordarsi di attivare l’estensione soap se precedentemente mai attivata.

DS cam
DS cam
Developer: Synology Inc.
Price: Free
DS cam
DS cam
Developer: Synology Inc.
Price: Free

Il fork

Synology Surveillance Station: automatizzare l'Home Mode tramite WiFi 1

Il mio fork nasce per integrare alcuni riferimenti in più rispetto al progetto originale e per proporre una modifica allo script di bash che ti permette di ottenere un aggiornamento di stato di Home Mode via Telegram. Quest’ultima funzione è chiaramente opzionale e può essere disabilitata facilmente.

Cosa ti serve

  • Un router Fritz!Box (non obbligatoriamente un 7490 come nel caso di Mark o un 7590 nel mio) e un NAS Synology (ma va?).
  • PHP 7 (disponibile nel Synology Package Manager) con estensioni soap e curl.
  • Utenza limitata per permettere di disabilitare o abilitare Home Mode della Surveillance Station (sconsigliato utilizzarne una già esistente con maggiori autorizzazioni).
  • Pacchetto file contenuti nel repository GitHub.
  • Opzionale: bot Telegram tramite il quale ricevere i cambi di stato.

Affrontiamo per passaggi ogni necessità sopra riportata

#1: PHP 7, soap & curl

Apri il Centro Pacchetti del tuo NAS Synology e cerca PHP 7, quindi installalo:

Synology Surveillance Station: Home Mode automatico tramite WiFi

Una volta terminata l’installazione, collegati via SSH al tuo NAS (non sai come fare? Guarda qui), quindi spostati in /usr/local/etc/php70 e modifica il file php.ini (esempio: vi php.ini). Per salvare le modifiche che apporterai ti sarò richiesto quasi sicuramente di essere utenza root, lancia un sudo -i seguito da invio, quindi inserisci la password della tua utenza amministrativa e premi invio (non sai di cosa sto parlando? Guarda qui). Ora:

  • cerca la stringa extension_dir = "/usr/local/lib/php70/modules"
  • Aggiungi subito sotto l’abilitazione delle due estensioni per soap e curl:
    extension=soap.so
    extension=curl.so
  • Salva il file e chiudilo (tasto ESC, poi :wq seguito da invio).
  • Torna ora nel Gestore Pacchetti di Synology e riavvia PHP 7.

Il php.ini modificato dovrebbe assomigliare a questo:

Synology Surveillance Station: Home Mode automatico tramite WiFi 1

#2: api_user

Un’utenza limitata che possa solo disabilitare o abilitare Home Mode in Synology Surveillance Station, è ciò di cui hai bisogno in questo momento. Avvia Surveillance Station e apri il menu in alto a sinistra con un clic, quindi seleziona Utente. Aggiungi un nuovo utente seguendo la procedura guidata, ti riepilogo i passaggi e ti propongo poi qualche screenshot:

  • nome utente: api_user (uso questo perché richiamato dagli script, tu puoi decidere di cambiarlo ma ti invito poi a leggere il paragrafo Troubleshooting nella parte finale dell’articolo);
  • descrizione: inserisci una descrizione che possa ricordarti un domani a cosa serve l’utente che stai creando;
  • password: scegline una sufficientemente robusta, puoi crearne una random qui;
  • fai clic su Avanti e crea un nuovo profilo privilegio;
  • dai un nome e una descrizione al profilo privilegio (scegli un nome che possa un domani ricordarti a cosa serve quel privilegio), mantenendo Gestore come tipo;
  • NON aggiungere autorizzazioni nella schermata Videocamere, E-Map e Layout. Arrivato alla schermata dei Privilegi avanzati, spunta l’opzione in corrispondenza di Passa manualmente alla modalità Home.

#3 scarica e modifica gli script

Scarica il contenuto del repository da GitHub, scompatta il file ZIP e ottieni così i file fritz_activemac.php e switch_homemode.sh (puoi buttare via il README). Prima di caricare i file sul NAS ti suggerisco di modificarli in base a ciò che è stato fatto fino a ora (utenza generica, eventuale bot Telegram, ecc.).

Il primo file citato (fritz_activemac.php) non dovrebbe necessitare di modifica alcuna (tranne se hai scelto di creare un utente limitato diverso da quello da me suggerito, quindi non “api_user“, ti rimando a questa nota nel Wiki), contrariamente allo script bash switch_homemode.sh. Aprilo con un buon editor di testo (Notepad++ o Atom) quindi segui queste indicazioni:

  • SYNO_SS_USER: inserisci qui l’utenza limitata che hai precedentemente creato. Se hai seguito scrupolosamente le indicazioni, lascerai probabilmente api_user;
  • SYNO_SS_PASS: inserisci la password che hai scelto e inserito quando hai creato l’utenza limitata;
  • SYNO_URL: inserisci l’IP e la porta utilizzata per collegarsi al tuo NAS;
  • FRITZ_URL: inserisci l’IP (o gli IP se più d’uno, intervallati dai due punti, esempio: 192.168.1.2:192.168.1.3);
  • TELEGRAM: può avere solo due valori, 0 e 1. 0 disabilita le funzionalità legate al bot di Telegram, 1 le attiva;
  • BOT_TOKEN: inserisci qui il token che ti ha rilasciato BotFather quando hai creato il tuo nuovo bot;
  • CHAT_ID: l’ID della chat in cui il bot dovrà riportare i messaggi riguardanti il cambio di stato di Home Mode;
  • MSG_SS_ACTIVE: riporta qui il messaggio che il bot ti invierà quando la modalità Home sarà attiva;
  • MSG_SS_INACTIVE: riporta qui il messaggio che il bot ti invierà quando la modalità Home sarà disattiva.

Fai attenzione: modifica esclusivamente ciò che ho riportato qui sopra, facendo attenzione a mantenere le virgolette dove specificate. Lascia tutto il resto invariato per scongiurare possibili malfunzionamenti. Se non sai come creare un bot Telegram fammi un cenno, sto valutando se scrivere qualche riga di testo nel Wiki su GitHub o meno.

Salva il file, questo lavoro è terminato. Carica ora i due script all’interno della cartella /var/services/homes/api_user del tuo NAS, dove “api_user” ovviamente dovrà essere modificato se hai scelto di creare un utente dallo username differente. A questo punto sei pronto a verificare il funzionamento.

#4 test e programmazione

Salvo errori, gli script sono ora pronti a lavorare. Puoi provare tu stesso lanciando da terminale

./switch_homemode.sh MAC1 MAC2

dove MAC1 e MAC2 dovranno essere sostituiti con due MAC Address appartenenti a dispositivi che sono collegati alla rete casalinga. Sia chiaro, puoi specificare anche solo un MAC Address, non c’è bisogno di metterne due o più (ma puoi farlo). A questo punto verrà lanciata la query SOAP al router e il risultato (un semplice true o false) verrà salvato all’interno del file synohomemode.state (che verrà creato sul momento se non esistente).

Se il dispositivo non è collegato alla WiFi casalinga, Home Mode verrà disattivato, diversamente verrà attivato.

Manca l’ultimo passaggio, programmare l’esecuzione dello script tramite Utilità di pianificazione di Synology. Accedi all’utilità tramite Pannello di controllo, quindi crea una nuova operazione e compila i dati richiesti:

  • Attività: dai un nome all’attività, uno “parlante” (che ti ricordi immediatamente di cosa si tratta).
  • Utente: lascia che sia root a eseguire l’attività.
  • Programmazione: l’esecuzione dovrà essere giornaliera, a partire dalla mezzanotte, ogni 5 minuti fino alle 23:55. I 5 minuti possono anche essere diminuiti o aumentati, dipende dalla tua esigenza.
  • Impostazioni attività: dovrai semplicemente inserire nel box di testo la stringa che ti permetterà di avviare il controllo, quindi
bash /var/services/homes/api_user/switch_homemode.sh MAC1 MAC2

Sostituisci chiaramente MAC1 e MAC2 con i veri MAC Address dei dispositivi che vuoi tenere sotto controllo, puoi specificarne solo uno o anche più di due.

Il gioco è ormai fatto :-)

Se ci sono dubbi o problemi l’area commenti è a tua disposizione, io qui di seguito inserisco già un paio di risposte ad altrettante domande che potresti avere, ma sentiti libero di chiedere altro se dovesse servire.

Synology Surveillance Station: Home Mode automatico tramite WiFi 9

Buon Natale!

Troubleshooting

Cambiare lo username dell’utente generico

Puoi chiaramente scegliere di utilizzare un nome utente che non corrisponda ad api_user come riportato nell’articolo, dovrai però ricordarti di modificare quel SYNO_SS_USER="api_user"; in switch_homemode.sh, oltre che eventuali operazioni programmate nell’Utilità di pianificazione del NAS. Modifica poi, sempre in switch_homemode.sh, tutto il blocco relativo ai file di stato e il richiamo dello script PHP:

## State file configuration (don't touch anything if not necessary)
STATEFILE='/var/services/homes/api_user/synohomemode.state';
RETRYFILE='/var/services/homes/api_user/synohomemode.retry';
CHECKFRITZ='/usr/local/bin/php70 /var/services/homes/api_user/fritz_activemac.php';

dove al posto di api_user dovrai chiaramente inserire il nome utente da te scelto.

Wiki: github.com/gioxx/AVM-FRITZ-Box-Synology-Surveillance-Home-Mode-Automation/wiki/Cambiare-lo-username-dell%E2%80%99utente-generico

Errore nella query SOAP

Qualcosa non torna e lanciando lo script di bash manualmente ottieni errori sulla query SOAP? Forse è necessario copiare i moduli delle due estensioni, prova a dare un’occhiata al documento che ho salvato nel Wiki del repository GitHub: github.com/gioxx/AVM-FRITZ-Box-Synology-Surveillance-Home-Mode-Automation/wiki/PHP-7:-abilitare-CURL-e-SOAP-su-Synology-DSM.


credits:

Condividi l'articolo con i tuoi contatti:

Sì, ricordi bene (nel caso tu avessi un Déjà vu), avevamo già parlato di questo argomento e della possibilità di mettere a tacere il Lenovo System Update, ottimo programma creato dall’omonimo vendor cinese che però in alcuni casi potrebbe andare a mettere i bastoni tra le ruote al lavoro quotidiano di utenti e amministratori di sistema, e che quindi va usato con attenzione e sotto manutenzione programmata dei client. Torno sull’argomento per parlarti di possibile modifiche meno invasive rispetto alla disattivazione delle sue schedulazioni, che potrebbero andare più incontro al tuo business.

Disabilitare (o modificare) la schedulazione di Lenovo System Update 1

Ti ripropongo parte di un articolo pubblicato in passato, all’interno del quale facevo esplicito riferimento all’abbattimento della schedulazione del software, per poi sfociare in riferimenti a una eventuale modifica della stessa e al relativo manuale Lenovo che puoi usare per gestire al meglio questa utility.

Regedit, XML, GPO

La chiave di registro da modificare è la HKLM\SOFTWARE\Wow6432Node\Lenovo\System Update\Preferences\UserSettings\Scheduler (su un sistema a 32 bit dovrai escludere la chiave che va a toccare la \Wow6432Node\), il valore è lo SchedulerAbility, che cambierà da YES a NO.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Lenovo\System Update\Preferences\UserSettings\Scheduler]
"SchedulerAbility"="NO"
[HKEY_LOCAL_MACHINE\SOFTWARE\Lenovo\System Update\Preferences\UserSettings\Scheduler]
"SchedulerAbility"="NO"

A questo punto dovrai essere tu a decidere se trasformare la chiave di registro in GPO (ti rimando qui) o se farla girare manualmente quando ne hai bisogno (qui trovi la chiave già pronta: app.box.com/s/v4xhf99dx8lxjbi5c0qir2l4gzhtgvpo).

Schedulazione

Se al posto della strada della disabilitazione tu volessi percorrere quella della modifica, ti basterà sapere che all’interno della stessa chiave di registro troverai altri valori modificabili secondo indicazioni già previste e dichiarate da Lenovo. Per muovere i primi passi, ti propongo un elenco di opzioni:

  • Frequency: WEEKLY oppure MONTHLY.
  • NotifyOptions: DOWNLOADANDINSTALLDOWNLOADNOTIFY oppure DOWNLOADANDINSTALL -INCLUDEREBOOT.
  • RunAt: puoi indicare qualsiasi numero compreso tra 0 e 23. Puoi anche scegliere di specificare il formato completo in modalità HH:MM:SS.
  • RunOn: se scegli la modalità MONTHLY, il valore da specificare dovrà essere compreso tra 1 e 28. Per il WEEKLY usa SUNDAY, MONDAY e così via.
  • SchedulerAbility: YES per abilitare gli aggiornamenti automatici.
  • SchedulerLock: SHOW, HIDE, DISABLE oppure LOCK.
  • SearchMode: CRITICAL, RECOMMENDED oppure ALL.

Si tratta di opzioni facilmente intuibili anche senza scendere nello specifico, ma comunque spiegate in maniera più dettagliata (se vuoi approfondire) all’interno del manuale di programma che puoi reperire tramite il sito web ufficiale di Lenovo all’indirizzo download.lenovo.com/ibmdl/pub/pc/pccbbs/mobiles_pdf/tvsu5_mst_en.pdf (di cui ho salvato una copia sul mio spazio box: app.box.com/s/lf4r58grm6igdkxosx5x16zqnbr91dsb), parti con la lettura intorno alla pagina 23.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

HP OMEN 17-w102nl

Gioxx  —  18/06/2018 — Leave a comment

Dopo aver avuto a che fare con un portatile estremamente orientato al business o all’appassionato che vuole avere un prodotto dai molteplici comportamenti e facilmente trasportabile senza troppe rinunce (hardware), oggi ti parlo nuovamente di HP, ma mi sposto nel reparto Gaming, per dare nuova linfa a questa sezione da poco tornata ufficialmente sul mio blog, ti presento HP OMEN 17-w102nl.

HP OMEN 17-w102nl

HP OMEN 17-w102nl

Laptop di fascia alta dedicato al videogiocatore che non vuole vincolarsi al più classico degli spazi in casa (generalmente nella propria camera), HP OMEN 17-w102nl è definibile come postazione “portabile” (dato il suo peso e le generose dimensioni) che può tranquillamente prendere il posto del PC fisso più volte modificato per stare al passo con tempi dettati da chi i giochi li sviluppa, sfruttando ogni tecnologia disponibile di ultima generazione.

Quello dei portatili da gioco è un mercato che ha attratto molto l’attenzione negli ultimi anni, che convince sempre più coloro che non vogliono perdere tempo nella scelta e costruzione del proprio asset videoludico e che hanno la possibilità di investire diversi soldini a ripetizione nell’arco di qualche anno (questo portatile, per fare un esempio, ha più di un anno di vita sulle spalle, con un ottimo processore però fermo alla sesta generazione, con l’ottava già sugli scaffali).

Costruzione

Con una scocca estremamente solida e in grado certamente di sopportare qualche colpo (anche se non è un esperimento che intendo eseguire su questo sample fornitomi), HP OMEN 17-w102nl si contraddistingue per il logo della omonima serie realizzata da HP, pensata appositamente per i videogiocatori fedeli ancora al sistema operativo di casa Microsoft (che poi è lo stesso alla base di Xbox One X, sapientemente modificato e snellito) e alle potenzialità che Windows 10 può esprimere con hardware di alto livello. Monitor da 17,3 pollici con una risoluzione di 1920×1080 pixel a 127 PPI in 16:9 (non è lucido, per la felicità mia e di molti altri utilizzatori). Monta un Intel Core i7-6700HQ (sesta generazione dell’era moderna, Skylake, 12esima se consideriamo la storia complessiva di Intel), con 16 GB di RAM DDR4-2133 (due banchi da 8 GB cadauno) e un’ancora fantastica NVIDIA GeForce GTX 1070 (Laptop) con a bordo 8 GB di RAM dedicati in GDDR5, hardware di elevata qualità che permette di avviare e settare i titoli installati a bordo disco tenendo pressoché tutto al massimo (e non preoccupandosene poi troppo).

Insieme alla dotazione base cito anche il doppio disco (1 TB meccanico, con una memoria PCIe NVMe M.2 SSD da 256 GB).

HP OMEN 17-w102nl 9

Connettività completa di attacco RJ45 LAN (10/1000/1000), WiFi 802.11 a/b/g/n/ac (a/b/g/n/ac) e Bluetooth 4.2, con 3 porte USB 3.1 di seconda generazione, 1 porta HDMI e 1 DisplayPort. C’è anche un lettore di card microSD sulla destra, dove trovi anche l’attacco dell’alimentazione. Jack microfono e cuffie separati (come non ero più abituato a vederli da un po’ di tempo ormai).

La tastiera è estesa, con tastierino numerico e alcuni posizionamenti di HP che non mi hanno mai convinto (e non parlo della serie OMEN, parlo più in generale), retroilluminazione rossa che è possibile disattivare ma non regolare (c’è o non c’è, a risposta secca), certamente accattivante e che forse stona con quel led bianco del pulsante di accensione, un po’ fuori dal coro. Touchpad con giusto affondo ma al quale mancano i due pulsanti di selezione tipici (sinistro / destro, chiaramente) che va un po’ in contrasto con la mia idea di comodità durante l’utilizzo (soprattutto durante un trascinamento).

Audio Bang & Olufsen, con tecnologia HP Audio Boost e ben quattro altoparlanti, posso assicurarti che la resa è davvero ottima considerando che non si ha a che fare con altoparlanti esterni o sistemi ben più complessi.

Gioco

Ho messo alla prova HP OMEN 17-w102nl con alcuni titoli a cui tengo parecchio (Forza Horizon 3 e Forza Motorsport 7) ma anche con una novità che ho iniziato a giocare proprio in questi giorni e che ancora deve entrarmi nelle corde: Fortnite.

In ogni caso ho sempre usato qualità massima del dettaglio e nessun compromesso, mettendo sotto stress la macchina e il relativo sistema di raffreddamento che va a fare da colonna sonora un po’ di tutta la sessione di gioco e registrazione Clip. A tal proposito, ti propongo qui di seguito un paio di video catturati in gioco, avrei voluto caricare anche il terzo ma durante l’esecuzione di Forza Horizon 3 ho avuto diversi problemi di stabilità e non mi è mai riuscita, un dettaglio assolutamente seccante che non mi sarei aspettato. In tutti i casi ho sempre usato Windows 10 aggiornato all’ultima versione stabile (1803) e i controlli integrati di Xbox Layer richiamabili tramite la combinazione tasto Windows + G. Ah già, a proposito di Xbox: ho collegato e usato sempre uno dei miei controller Xbox One (che Windows 10 ha immediatamente riconosciuto e installato).

In conclusione

Una macchina dalle prestazioni ancora oggi molto più che accettabili (il livello è ancora più elevato di tante altre macchine presenti lì fuori sul mercato), e con un prezzo che rispecchia il tipo di hardware che ci si sta portando a casa, pagando pegno anche per il fatto di scegliere una macchina più facilmente trasportabile rispetto all’impacchettare tutta la propria “strumentazione fissa“. HP OMEN 17-w102nl balla intorno ai 2000€ “chiavi in mano ed è ancora disponibile in tante catene di commercio della grande distribuzione ma anche online (Amazon in primis).

Scheda tecnica completa disponibile sul sito web ufficiale di HP all’indirizzo support.hp.com/it-it/product/omen-by-hp-17-w100-laptop-pc/12499486/document/c05346014, io mi ritengo abbastanza soddisfatto (salvo quelle piccole pecche di cui ti ho già parlato, alle quali forse aggiungerei la configurazione ibrida con un SSD oggi ormai piccolo) e sono pronto a farlo tornare all’ovile, dopo essermi divertito a rimettere in pista quella modalità di gioco che ormai da tanti anni ho abbandonato (diciamo che la valvola di sfogo predefinita è Xbox, che trova spazio sotto al televisore della sala) :-)

Alla prossima!

× Disclaimer

Disclaimer (per un mondo più pulito)

Gli articoli che appartengono al tag "Banco Prova" o "Banco Prova Console" raccontano la mia personale esperienza con prodotti generalmente forniti da chi li realizza. In alcuni casi il prodotto descritto rimane a me, in altri viene restituito. In altri casi ancora sono io ad acquistarlo e decidere di pubblicare un articolo in seguito, solo per il piacere di farlo e di condividere con te le mie opinioni.
Ogni articolo rispetta -come sempre- i miei standard: nessuna marchetta, solo il mio parere, riporto i fatti, a prescindere dal giudizio finale.

Prodotto: fornito da HP, torna all'ovile al termine del test.
Condividi l'articolo con i tuoi contatti:

Scorri l’articolo più in basso per leggere l’aggiornamento.

Una serie di coincidenze “poco simpatiche” mandano in Blue Screen of Death (BSOD) Windows 10 1709 sui Lenovo T440s, ma dando un’occhiata in giro per le community (ufficiali e non) si scopre che siamo (noi possessori di questa specifica macchina) in ottima compagnia, con molti altri modelli (anche di vendor diversi) che mostrano gli stessi sintomi e catastrofici risultati post-installazione della patch cumulativa di Microsoft che “mitiga” gli effetti di Meltdown e Spectre, KB4056892.

BSOD su Windows 10, Lenovo T440 e KB4056892

Il rilascio del KB4056892 risale allo scorso 3 gennaio, eppure è passato quel tempo che basta per far finta che tutto funzioni correttamente, pur mostrando quei segni pesanti di rallentamento di cui Microsoft ha parlato nel suo articolo riepilogativo. Con un aggiornamento del BIOS (il 2.46 fa parte dei colpevoli, rilasciato da Lenovo lo scorso dicembre) ecco che la frittata è pronta per essere servita e consumata a suon di BSOD che ogni volta mostrano una motivazione differente rispetto alla precedente, che bloccano il tuo lavoro senza preavviso, che vengono lì a estorcerti imprecazioni non ripetibili anche se sei solito trattenerti (o almeno provarci).

La frustrazione ha l’indirizzo di un thread sul forum di Lenovo, all’interno di quella discussione c’è chi questo problema lo ha rilevato e lo ha mal digerito, insieme a chi si è fatto avanti facendo presente che si può verificare anche su modelli differenti di PC dello stesso vendor. Puoi dare un’occhiata anche tu, ti basta puntare il browser verso forums.lenovo.com/t5/ThinkPad-T400-T500-and-newer-T/KB4056892-multiple-problems-on-T440s/td-p/3933019. Sembra che il bug sia lo stesso mostrato da Windows 1703 (il precedente major update di sistema), solo che cambia il KB, in questo specifico caso è il KB4056891.

Ti basta aprire il Visualizzatore Eventi del sistema operativo per assistere a un vero e proprio tappeto di warning del WHEA-Logger, e come non bastasse anche un’analisi postuma con applicazioni apposite porta a nulla di fatto perché non veritiera rispetto a ciò che sta accadendo:

Esiste una soluzione?

Ufficialmente? Non ancora, considerando che si tratta di una combinazione di fattori e di un microcode Intel (integrato nell’aggiornamento BIOS di Lenovo) che porta un errore che verrà corretto solo a marzo (secondo il bollettino ufficiale di Lenovo). Esiste però un workaround. Probabilmente la “pezza” non ti piacerà, ma sembra essere attualmente l’unica cosa che può salvarti dai ripetuti BSOD a tradimento durante il corso della giornata lavorativa.

Pur non disinstallando il KB4056892, puoi limitarne gli effetti sul sistema. Ricordi che ti avevo parlato di quel controllo da effettuare via PowerShell?

Il mio test è stato eseguito su un Windows 10 1709, facendo riferimento al documento di Microsoft nel quale si parla del nuovo modulo PowerShell dedicato alla verifica delle vulnerabilità scoperte, trovi tutti i riferimenti qui: support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Quello che puoi fare è lanciare un prompt PowerShell come amministratore, quindi eseguire un Install-Module SpeculationControl (conferma il download dell’archivio non attendibile), seguito poi da un Get-SpeculationControlSettings

continua su: gioxx.org/2018/01/04/meltdown-spectre

Ecco, dopo un paio di modifiche ad altrettante chiavi di registro e un riavvio della macchina (necessario per applicare la modifica, la quale non potrebbe diversamente entrare in funzione), ti ritroverai nella condizione di patch installata e parzialmente funzionante.

Apri un prompt di PowerShell come amministratore e lancia questi due comandi per ritoccare le chiavi di registro FeatureSettingsOverride e FeatureSettingsOverrideMask, messe a disposizione degli amministratori di sistema da Microsoft, proprio per casi di emergenza come questi:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Salvo errori, ti verrà confermata a video la modifica per entrambi i valori. Riavvia la macchina. Quando tornerà operativa potrai lanciare nuovamente PowerShell e chiederle di effettuare la verifica di copertura contro Meltdown e Spectre, il risultato sarà “sì, tutto a posto, almeno credo“:

Vedrai con i tuoi stessi occhi che la patch, seppur installata, ti dirà a video che è parzialmente limitata nella sua invasività (“disabled by system policy“, nda). Probabilmente noterai maggiore reattività nelle operazioni che prima ti sembravano rallentate e –con tutti i dovuti scongiuri del caso– dovresti ora riuscire a lavorare in tranquillità senza avere a che fare con ulteriori riavvii a tradimento causati da BSOD.

Credi che sia finita qui? Io no, ci sarà quasi certamente ancora altro da scoprire, altro per cui scervellarsi e trovare metodi per risolvere (o metterci la pezza in attesa della corretta soluzione, come stavolta).

update

Aggiornamento del 23/1/18 _

L’articolo è stato chiaramente scritto qualche giorno fa e messo in schedulazione per la pubblicazione nella mattinata di oggi (23 gennaio, nda). Allineandoci insieme a un collega, abbiamo notato che nella giornata di ieri Intel ha rilasciato pubblicamente un aggiornamento al suo Advisory (quello originale del 3 gennaio scorso), includendo alcune “simpatiche novitàriguardo alcuni BSOD causati dagli aggiornamenti –proprio– del 3 gennaio per macchine che montano generazioni precedenti di loro processori (Haswell e Broadwell):

Updated Jan. 22

We have now identified the root cause of the reboot issue impacting Broadwell and Haswell platforms, and made good progress in developing a solution to address it. Based on this, we are updating our guidance for customers and partners:

  • We recommend that OEMs, Cloud service providers, system manufacturers, software vendors and end users stop deployment of current versions on the below platforms, as they may introduce higher than expected reboots and other unpredictable system behavior.
  • We also ask that our industry partners focus efforts on testing early versions of the updated solution for Broadwell and Haswell we started rolling out this weekend, so we can accelerate its release. We expect to share more details on timing later this week.
  • For those concerned about system stability while we finalize the updated solutions, we are also working with our OEM partners on the option to utilize a previous version of microcode that does not display these issues, but removes the Variant 2 (Spectre) mitigations. This would be delivered via a BIOS update, and would not impact mitigations for Variant 1 (Spectre) and Variant 3 (Meltdown).

We believe it is important for OEMs and our customers to follow this guidance for all of the specified platforms listed below, as they may demonstrate higher than expected  reboots and unpredictable system behavior.  The progress we have made in identifying a root cause for Haswell and Broadwell will help us address issues on other platforms. Please be assured we are working quickly to address these issues.

For a list of products associated with this updated guidance go here

Il passaggio relativo al punto tre della lista “parla da solo“, introducendo quello che può essere considerato a tutti gli effetti un passo indietro sulla possibilità di mitigare gli effetti di Spectre (la seconda variante, nda) in nome di una maggiore stabilità, intervenendo sul microcode ed escludendo ciò che causa oggi (per chi ha eseguito ogni aggiornamento precedentemente consigliato) quei BSOD. Il fix busserà alle porte delle nostre macchine sotto forma di aggiornamento del BIOS (come già successo e descritto nel mio articolo originale).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Che poi capisci che si tratterà di un anno scoppiettante e frizzantino già da ciò che accade nei primi giorni dell’anno. E mentre l’Italia si indigna pesantemente per il centesimo di costo richiesto per il sacchetto “biodegradabile” del supermercato (qui qualche informazione in più), tutto il resto del mondo (e credo anche la pressoché totalità di figure informatiche nostrane) ha di meglio a cui dedicare poltrona e pop-corn, buon anno a te da #Meltdown e #Spectre!

#Meltdown e #Spectre: buon 2018!

Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013). We successfully tested Meltdown on Intel processor generations released as early as 2011. Currently, we have only verified Meltdown on Intel processors. At the moment, it is unclear whether ARM and AMD processors are also affected by Meltdown.

meltdownattack.com

Avevo pubblicato gli auguri di buon anno così sulla pagina Facebook del blog, e nonostante la gravità dei fatti forse molti non si erano ancora accorti della reale portata, distratti dall’ultima fetta di panettone accompagnata da chissà quale Brut servito ghiacciato.

Di come Meltdown e Spectre possano essere parecchio pericolosi per la privacy dei nostri dati ne hanno già abbondantemente parlato tutti, chi più, chi meno approfonditamente (con e senza grossolani errori), la fazione di clienti possessori AMD sta già -inutilmente- esultando, quello che voglio fare io è semplicemente raccogliere una serie di link verso quegli articoli e approfondimenti già pubblicati, che raccontano in maniera giusta qual è il problema. Continuerò ad aggiornare questa “rassegna” aggiungendo –se necessario– osservazioni e spunti di discussione, perché sono certo che ogni collega lì fuori sta facendo tutto tranne che sorridere o esultare per l’arrivo di questo nuovo anno all’insegna dell’ennesimo bug di sicurezza che assomiglia più a una voragine senza fondo! (e qui ci sta particolarmente bene questo tweet).

Meltdown / Spectre Attack: di cosa si tratta

5/1/18

Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. In the coming days they plan to release mitigations in Safari to help defend against Spectre. They continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Meno tecnicamente parlando

Sì, ma in italiano?

19/1/18

Salvatore “antirez” Sanfilippo ha spiegato Meltdown e Spectre con una storia che potrebbe probabilmente capire anche tua nonna: medium.com/@antirez/spectre-e-meltdown-spiegati-al-mio-idraulico-cd4567ce6991

View story at Medium.com

5/1/18

La Stampa Tecnologia, Le falle nei processori: cosa c’è da sapere (Carola Frediani ha redatto un articolo che spiega in maniera molto semplice gli attacchi Meltdown e Spectre: lastampa.it/2018/01/05/tecnologia/news/le-falle-nei-processori-cosa-c-da-sapere-aLahTrrACHKgaVUTXbcevM/pagina.html

Sistemi / Software e patch

Partendo dal presupposto che sai benissimo (forse) che su Linux mi muovo poco e nulla, in ufficio ovviamente si parla dell’argomento a 360 gradi (abbiamo ogni OS client / server). Qualche riferimento più orientato al mio mondo (Microsoft / macOS), a quello della virtualizzazione (VMware) e al browser (sempre più strumento principe di ogni giornata lavorativa).

5/1/18

Mozilla ha rilasciato Firefox 57.0.4, fai riferimento a “Speculative execution side-channel attack (“Spectre”), Mozilla Foundation Security Advisory 2018-01“: mozilla.org/en-US/security/advisories/mfsa2018-01. Download del pacchetto aggiornato: mozillaitalia.org/home/download/#firefox

9/1/18
  • Safari 11.0.2, Released January 8, 2018, Available for: OS X El Capitan 10.11.6 and macOS Sierra 10.12.6: Safari 11.0.2 includes security improvements to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208403
  • iOS 11.2.2, Released January 8, 2018, Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation. iOS 11.2.2 includes security improvements to Safari and WebKit to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208401
10/1/18

Buon 2018 da #Meltdown e #Spectre! (aggiornato 9/1)

5/1/18
  • FreeBSD (alla base anche dei sistemi Quest Kace di cui ti parlo sporadicamente qui nel blog), riporta:

4 January: About the Meltdown and Spectre attacks: FreeBSD was made aware of the problems in late December 2017. We’re working with CPU vendors and the published papers on these attacks to mitigate them on FreeBSD. Due to the fundamental nature of the attacks, no estimate is yet available for the publication date of patches.

Vedi: freebsd.org/news/newsflash.html#event20180104:01

Gianluca, fonte inesauribile di riferimenti e di competenza, ha pubblicato su Facebook un aggiornamento di stato riguardante i PoC Javascript ormai disponibili pubblicamente, utili per eventuali attacchi browser-based, per i quali occorre proteggersi quanto prima:

Per quanto riguarda i client antivirus, ti rimando a un documento Google che raccoglie i dettagli di vendor / prodotto / data di rilascio per un fix (lato AV, nda), necessario per poter accedere agli aggiornamenti che ti metteranno al riparo –per quanto possibile– da Meltdown (via Windows Update), come riportato ufficialmente da Microsoft:

Due to an issue with some versions of Anti-Virus software, this fix is only being made applicable to the machines where the Anti virus ISV has updated the ALLOW REGKEY.

Contact your Anti-Virus AV to confirm that their software is compatible and have set the following  REGKEY on the machine
Key=”HKEY_LOCAL_MACHINE”Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”
Value Name=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Type=”REG_DWORD”
Data=”0x00000000”

Per esempio, in questo momento ti confermo che forzando l’installazione della patch su Windows con Symantec Endpoint Protection installato, si va a finire in un vicolo cieco che ti porterà unicamente a un BSOD (sarai costretto a usare DISM via prompt dei comandi in modalità recovery, per disinstallare il KB e poter tornare a lavorare su Windows correttamente).

Buon 2018 da #Meltdown e #Spectre! 2

5/1/18

Symantec ha rilasciato l’aggiornamento promesso, puoi verificare tu stesso dalla finestra di Troubleshooting, il modulo “Eraser” deve avere una versione pari o maggiore alla 117.3.0.358 (nel mio caso è già alla 359).

Buon 2018 da #Meltdown e #Spectre! 3

Su Microsoft Windows

Il mio test è stato eseguito su un Windows 10 1709, facendo riferimento al documento di Microsoft nel quale si parla del nuovo modulo PowerShell dedicato alla verifica delle vulnerabilità scoperte, trovi tutti i riferimenti qui: support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Quello che puoi fare è lanciare un prompt PowerShell come amministratore, quindi eseguire un Install-Module SpeculationControl (conferma il download dell’archivio non attendibile), seguito poi da un Get-SpeculationControlSettings:

Buon 2018 da #Meltdown e #Spectre!

Nel mio caso, come facilmente capirai, il sistema non è ancora stato patchato. In alternativa, se PowerShell non fa per te, dai un’occhiata a questo tool. Se hai anche tu Windows 10 (aggiornato a 1709), qui trovi i dettagli sull’update che riguarda (tra le altre cose) le due nuove vulnerabilità.

9/1/18
  • AMD e patch Microsoft: la coppia che scoppia. Microsoft ha temporaneamente disattivato la distribuzione delle patch per Meltdown e Spectre su sistemi che montano processori AMD perché -in alcuni casi- si arriva in un vicolo cieco che porta esclusivamente a BSOD:

Microsoft has reports of some customers with AMD devices getting into an unbootable state after installing this KB. To prevent this issue, Microsoft will temporarily pause Windows OS updates to devices with impacted AMD processors at this time.
Microsoft is working with AMD to resolve this issue and resume Windows OS security updates to the affected AMD devices via Windows Update and WSUS as soon as possible. If you have experienced an unbootable state or for more information see KB4073707. For AMD specific information please contact AMD.

fonte: support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

e ancora:

Microsoft has reports of customers with some AMD devices getting into an unbootable state after installing recent Windows operating system security updates. After investigating, Microsoft has determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown. To prevent AMD customers from getting into an unbootable state, Microsoft will temporarily pause sending the following Windows operating system updates to devices with impacted AMD processors

fonte: support.microsoft.com/en-us/help/4073707/windows-os-security-update-block-for-some-amd-based-devices

10/1/18

Microsoft Secure (blog), Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems: cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

Here is the summary of what we have found so far:

  • With Windows 10 on newer silicon (2016-era PCs with Skylake, Kabylake or newer CPU), benchmarks show single-digit slowdowns, but we don’t expect most users to notice a change because these percentages are reflected in milliseconds.
  • With Windows 10 on older silicon (2015-era PCs with Haswell or older CPU), some benchmarks show more significant slowdowns, and we expect that some users will notice a decrease in system performance.
  • With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
  • Windows Server on any silicon, especially in any IO-intensive application, shows a more significant performance impact when you enable the mitigations to isolate untrusted code within a Windows Server instance. This is why you want to be careful to evaluate the risk of untrusted code for each Windows Server instance, and balance the security versus performance tradeoff for your environment.

For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation. Older versions of Windows have a larger performance impact because Windows 7 and Windows 8 have more user-kernel transitions because of legacy design decisions, such as all font rendering taking place in the kernel. We will publish data on benchmark performance in the weeks ahead.

Una panoramica completa

Trovi su GitHub una pagina che cerca di raccogliere tutti i riferimenti più utili verso documenti e patch riguardanti i vari sistemi, è disponibile puntando il browser all’indirizzo github.com/hannob/meltdownspectre-patches.

5/1/18

La pagina è stata aggiornata, includendo molti più sistemi / applicazioni e relativi riferimenti alle advisories e alle patch già disponibili. Ti consiglio caldamente di darci un’occhiata (e tenerla comunque a portata di mano nel corso delle prossime ore / prossimi giorni).

Condividi l'articolo con i tuoi contatti: