Archives For Microsoft Windows 8

Già con Windows 7, Microsoft ha fatto passi da gigante in materia di deframmentazione dei dati automatizzata, pulizia e ottimizzazione dello spazio disco utilizzato per i suoi file e per quelli che scarica nel corso della sua “vita“, eppure ci sono ancora delle corde di violino parecchio tese quando si tira in ballo lo spazio disco residuo e la necessità di trovarne un po’ per qualcosa di personale, della quale abbiamo assoluta necessità. La C:\Windows\Installer fa parte di quelle cartelle viste di cattivo occhio quasi da chiunque, quando si ricerca quello “spazio mancante“.

SSD HDD C:WindowsInstaller troppo grande, perché?

Il problema è figlio della nuova generazione SSD, perché –siamo seri– credo poco al fatto che tu, con un disco meccanico da un tera o più, ti sia mai posto il problema delle cartelle di Windows ingrassate dopo le feste. Un disco SSD, anche visto il costo, viene generalmente acquistato in taglio più limitato, con i 256 GB che vanno per la maggiore e che lasciano solo ultimamente spazio ai 500 GB, perché il tera è ancora inaccessibile per molti (la media prezzo si aggira intorno ai 300 euro, nda).

Ciò detto, perché la cartella C:\Windows\Installer è così ben nutrita? L’articolo è vecchio ma è ancora tutt’oggi valido, ti propongo questo passaggio:

Along the same lines as removing items from the Windows component store to save space, we have recently seen a couple of questions come in about the Windows\Installer directory. This is a hidden system directory; it is used by the Windows Installer service to cache installer data files for various applications. Over time, this directory will grow and can eventually take up an amount of space that might cause pressure on thinly provisioned storage, such as virtual hard disks.

blogs.technet.microsoft.com/joscon/2012/01/18/can-you-safely-delete-files-in-the-windirinstaller-directory

Lo stesso articolo risponde anche alla domanda che viene da porsi pressoché immediatamente: posso cancellare i file all’interno di quella cartella? La risposta semplice e concisa è no. Quel no può diventare un “ni” dopo un paio di operazioni, di cui una assolutamente contemplata dal sistema operativo.

Clean Manager

Esegui il Clean Manager integrato di Windows (tasto Windows + R, scrivi cleanmgr e premi invio, oppure entra in Computer, tasto destro sul disco C: → ProprietàPulizia disco). Nella schermata che ti si presenterà a video, potrai scegliere di passare alla pulizia avanzata (detta Pulizia file di sistema), la quale permetterà di mettere mano anche a quegli aggiornamenti che è possibile cancellare dal disco in tranquillità. Per capirci, questa è una rapida occhiata alla situazione della mia macchina Windows:

Come tu stesso puoi notare, la differenza tra il calcolato in cartella e quello cancellabile c’è, ma si tratta di poca roba, superiore alla cartella C:\Windows\Installer perché evidentemente ci ricade dentro anche dell’altro che è possibile rimuovere. Scegli cosa cancellare, quindi procedi e recupera quello spazio che potrebbe tornarti utile per altro.

Il Clean Manager integrato di Windows può inoltre essere pilotato via PowerShell. Ho trovato alcuni riferimenti utili in merito che ho poi messo in pratica per verificare la bontà dell’automatizzazione. Parti dando un’occhiata a questo articolo (mentre qui trovi un riferimento ufficiale nei documenti di supporto Microsoft). Il risultato, appena modificato rispetto alla proposta di Greg Ramsey, permette di portare a termine il lavoro su Windows 7, 8 (quindi 8.1) e 10, l’ho pubblicato su Gist.

L’alternativa: PatchCleaner

Tool gratuito disponibile sulla pagina ufficiale homedev.com.au/Free/PatchCleaner, permette di spostare o cancellare definitivamente le patch che popolano la cartella C:\Windows\Installer, ma anche di cercare file orfani che sono stati abbandonati al loro destino, completamente ignorati anche da Windows e dal suo Clean Manager. Disponibile anche in versione Portable (su SourceForge), accetta anche comandi da prompt (così può essere integrato e richiamato all’interno di altri script). Trovi qui le risposte ad eventuali domande o errori che potresti notare durante l’utilizzo dell’applicazione.

Quello che ti consiglio di fare, nel caso in cui tu abbia a disposizione un disco meccanico interno o esterno al PC, è di spostare e tenere lì le patch per qualche tempo, prima di scegliere di eliminarle definitivamente. Questo perché, in caso di anomalie di sistema, potrai facilmente ripristinare i file spostati sempre tramite PatchCleaner, andandoli a ripescare e portandoli là dove sono stati inizialmente memorizzati, per evitare di dover reinstallare un intero Windows solo per una distrazione o una necessità impellente di altro tipo.

In conclusione

Lo spazio disco (su memorie SSD) non è mai abbastanza, per questo motivo è opportuno effettuare una pulizia dei file inutilizzati / inutili (non sono la stessa cosa, nda) di tanto in tanto. Farlo con gli strumenti messi a disposizione da Windows è certamente la soluzione migliore, per evitare possibili problemi da dover poi analizzare e risolvere in seguito, ma in casi di emergenza c’è sempre qualche tool che può occuparsi del lavoro sporco, evitandoti facili errori di distrazione.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Che poi capisci che si tratterà di un anno scoppiettante e frizzantino già da ciò che accade nei primi giorni dell’anno. E mentre l’Italia si indigna pesantemente per il centesimo di costo richiesto per il sacchetto “biodegradabile” del supermercato (qui qualche informazione in più), tutto il resto del mondo (e credo anche la pressoché totalità di figure informatiche nostrane) ha di meglio a cui dedicare poltrona e pop-corn, buon anno a te da #Meltdown e #Spectre!

#Meltdown e #Spectre: buon 2018!

Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013). We successfully tested Meltdown on Intel processor generations released as early as 2011. Currently, we have only verified Meltdown on Intel processors. At the moment, it is unclear whether ARM and AMD processors are also affected by Meltdown.

meltdownattack.com

Avevo pubblicato gli auguri di buon anno così sulla pagina Facebook del blog, e nonostante la gravità dei fatti forse molti non si erano ancora accorti della reale portata, distratti dall’ultima fetta di panettone accompagnata da chissà quale Brut servito ghiacciato.

Di come Meltdown e Spectre possano essere parecchio pericolosi per la privacy dei nostri dati ne hanno già abbondantemente parlato tutti, chi più, chi meno approfonditamente (con e senza grossolani errori), la fazione di clienti possessori AMD sta già -inutilmente- esultando, quello che voglio fare io è semplicemente raccogliere una serie di link verso quegli articoli e approfondimenti già pubblicati, che raccontano in maniera giusta qual è il problema. Continuerò ad aggiornare questa “rassegna” aggiungendo –se necessario– osservazioni e spunti di discussione, perché sono certo che ogni collega lì fuori sta facendo tutto tranne che sorridere o esultare per l’arrivo di questo nuovo anno all’insegna dell’ennesimo bug di sicurezza che assomiglia più a una voragine senza fondo! (e qui ci sta particolarmente bene questo tweet).

Meltdown / Spectre Attack: di cosa si tratta

5/1/18

Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. In the coming days they plan to release mitigations in Safari to help defend against Spectre. They continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.

Meno tecnicamente parlando

Sì, ma in italiano?

5/1/18

La Stampa Tecnologia, Le falle nei processori: cosa c’è da sapere (Carola Frediani ha redatto un articolo che spiega in maniera molto semplice gli attacchi Meltdown e Spectre: lastampa.it/2018/01/05/tecnologia/news/le-falle-nei-processori-cosa-c-da-sapere-aLahTrrACHKgaVUTXbcevM/pagina.html

Sistemi / Software e patch

Partendo dal presupposto che sai benissimo (forse) che su Linux mi muovo poco e nulla, in ufficio ovviamente si parla dell’argomento a 360 gradi (abbiamo ogni OS client / server). Qualche riferimento più orientato al mio mondo (Microsoft / macOS), a quello della virtualizzazione (VMware) e al browser (sempre più strumento principe di ogni giornata lavorativa).

5/1/18

Mozilla ha rilasciato Firefox 57.0.4, fai riferimento a “Speculative execution side-channel attack (“Spectre”), Mozilla Foundation Security Advisory 2018-01“: mozilla.org/en-US/security/advisories/mfsa2018-01. Download del pacchetto aggiornato: mozillaitalia.org/home/download/#firefox

9/1/18
  • Safari 11.0.2, Released January 8, 2018, Available for: OS X El Capitan 10.11.6 and macOS Sierra 10.12.6: Safari 11.0.2 includes security improvements to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208403
  • iOS 11.2.2, Released January 8, 2018, Available for: iPhone 5s and later, iPad Air and later, and iPod touch 6th generation. iOS 11.2.2 includes security improvements to Safari and WebKit to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715): support.apple.com/en-us/HT208401
10/1/18

Buon 2018 da #Meltdown e #Spectre! (aggiornato 9/1)

5/1/18
  • FreeBSD (alla base anche dei sistemi Quest Kace di cui ti parlo sporadicamente qui nel blog), riporta:

4 January: About the Meltdown and Spectre attacks: FreeBSD was made aware of the problems in late December 2017. We’re working with CPU vendors and the published papers on these attacks to mitigate them on FreeBSD. Due to the fundamental nature of the attacks, no estimate is yet available for the publication date of patches.

Vedi: freebsd.org/news/newsflash.html#event20180104:01

Gianluca, fonte inesauribile di riferimenti e di competenza, ha pubblicato su Facebook un aggiornamento di stato riguardante i PoC Javascript ormai disponibili pubblicamente, utili per eventuali attacchi browser-based, per i quali occorre proteggersi quanto prima:

Per quanto riguarda i client antivirus, ti rimando a un documento Google che raccoglie i dettagli di vendor / prodotto / data di rilascio per un fix (lato AV, nda), necessario per poter accedere agli aggiornamenti che ti metteranno al riparo –per quanto possibile– da Meltdown (via Windows Update), come riportato ufficialmente da Microsoft:

Due to an issue with some versions of Anti-Virus software, this fix is only being made applicable to the machines where the Anti virus ISV has updated the ALLOW REGKEY.

Contact your Anti-Virus AV to confirm that their software is compatible and have set the following  REGKEY on the machine
Key=”HKEY_LOCAL_MACHINE”Subkey=”SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat”
Value Name=”cadca5fe-87d3-4b96-b7fb-a231484277cc”
Type=”REG_DWORD”
Data=”0x00000000”

Per esempio, in questo momento ti confermo che forzando l’installazione della patch su Windows con Symantec Endpoint Protection installato, si va a finire in un vicolo cieco che ti porterà unicamente a un BSOD (sarai costretto a usare DISM via prompt dei comandi in modalità recovery, per disinstallare il KB e poter tornare a lavorare su Windows correttamente).

Buon 2018 da #Meltdown e #Spectre! 2

5/1/18

Symantec ha rilasciato l’aggiornamento promesso, puoi verificare tu stesso dalla finestra di Troubleshooting, il modulo “Eraser” deve avere una versione pari o maggiore alla 117.3.0.358 (nel mio caso è già alla 359).

Buon 2018 da #Meltdown e #Spectre! 3

Su Microsoft Windows

Il mio test è stato eseguito su un Windows 10 1709, facendo riferimento al documento di Microsoft nel quale si parla del nuovo modulo PowerShell dedicato alla verifica delle vulnerabilità scoperte, trovi tutti i riferimenti qui: support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Quello che puoi fare è lanciare un prompt PowerShell come amministratore, quindi eseguire un Install-Module SpeculationControl (conferma il download dell’archivio non attendibile), seguito poi da un Get-SpeculationControlSettings:

Buon 2018 da #Meltdown e #Spectre!

Nel mio caso, come facilmente capirai, il sistema non è ancora stato patchato. In alternativa, se PowerShell non fa per te, dai un’occhiata a questo tool. Se hai anche tu Windows 10 (aggiornato a 1709), qui trovi i dettagli sull’update che riguarda (tra le altre cose) le due nuove vulnerabilità.

9/1/18
  • AMD e patch Microsoft: la coppia che scoppia. Microsoft ha temporaneamente disattivato la distribuzione delle patch per Meltdown e Spectre su sistemi che montano processori AMD perché -in alcuni casi- si arriva in un vicolo cieco che porta esclusivamente a BSOD:

Microsoft has reports of some customers with AMD devices getting into an unbootable state after installing this KB. To prevent this issue, Microsoft will temporarily pause Windows OS updates to devices with impacted AMD processors at this time.
Microsoft is working with AMD to resolve this issue and resume Windows OS security updates to the affected AMD devices via Windows Update and WSUS as soon as possible. If you have experienced an unbootable state or for more information see KB4073707. For AMD specific information please contact AMD.

fonte: support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

e ancora:

Microsoft has reports of customers with some AMD devices getting into an unbootable state after installing recent Windows operating system security updates. After investigating, Microsoft has determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown. To prevent AMD customers from getting into an unbootable state, Microsoft will temporarily pause sending the following Windows operating system updates to devices with impacted AMD processors

fonte: support.microsoft.com/en-us/help/4073707/windows-os-security-update-block-for-some-amd-based-devices

10/1/18

Microsoft Secure (blog), Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems: cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/

Here is the summary of what we have found so far:

  • With Windows 10 on newer silicon (2016-era PCs with Skylake, Kabylake or newer CPU), benchmarks show single-digit slowdowns, but we don’t expect most users to notice a change because these percentages are reflected in milliseconds.
  • With Windows 10 on older silicon (2015-era PCs with Haswell or older CPU), some benchmarks show more significant slowdowns, and we expect that some users will notice a decrease in system performance.
  • With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
  • Windows Server on any silicon, especially in any IO-intensive application, shows a more significant performance impact when you enable the mitigations to isolate untrusted code within a Windows Server instance. This is why you want to be careful to evaluate the risk of untrusted code for each Windows Server instance, and balance the security versus performance tradeoff for your environment.

For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation. Older versions of Windows have a larger performance impact because Windows 7 and Windows 8 have more user-kernel transitions because of legacy design decisions, such as all font rendering taking place in the kernel. We will publish data on benchmark performance in the weeks ahead.

Una panoramica completa

Trovi su GitHub una pagina che cerca di raccogliere tutti i riferimenti più utili verso documenti e patch riguardanti i vari sistemi, è disponibile puntando il browser all’indirizzo github.com/hannob/meltdownspectre-patches.

5/1/18

La pagina è stata aggiornata, includendo molti più sistemi / applicazioni e relativi riferimenti alle advisories e alle patch già disponibili. Ti consiglio caldamente di darci un’occhiata (e tenerla comunque a portata di mano nel corso delle prossime ore / prossimi giorni).

Condividi l'articolo con i tuoi contatti:

Se stai vivendo un attimo di Déjà vu, non preoccuparti, è del tutto normale. Abbiamo toccato insieme questo argomento tante volte, è vero, ognuna di queste facendo riferimento a uno strumento differente, che poi è proprio la forza del libero mercato software (gratuito e non). Ancora una volta si parla di installazione di Windows da chiave USB, ancora una volta si fa riferimento a un tool (gratuito per una specifica versione), e pure stavolta ti consiglio caldamente di tenerlo a portata di mano nella tua solita “cassetta degli attrezzi“. Ti parlo di WinToFlash della NoviCorp.

Installare Windows da chiave USB (WinToFlash)

Se vuoi leggere gli articoli relativi alle varie alternative a tua disposizione, puoi dare un’occhiata a questi mie precedenti pubblicazioni:

Ciò che andiamo a fare oggi rimane in sostanza la stessa cosa di sempre. Scaricheremo quindi una ISO di Windows (o utilizzeremo un CD / DVD in nostro possesso), WinToFlash penserà a formattare la chiave USB e fare in modo che questa diventi avviabile, copiandoci sopra tutto il necessario e permettendo in seguito di utilizzarla come supporto di installazione del Sistema Operativo.

Procurarsi una copia di Windows

Hai il CD o il DVD originale di Windows? Bene, puoi saltare a piè pari questo paragrafo, limitati solo a inserirlo nel tuo lettore ottico, poi passa oltre. Nel caso invece tu non avessi un supporto ottico originale, puoi andare a rispolverare questo mio articolo di poco tempo fa, nel quale ti spiego –nel paragrafo “Ottenere un file ISO di Windows”– che software scaricare e che passaggi eseguire per scaricare un file ISO di Microsoft Windows, versione che più preferisci:

Reinstallare Windows OEM quando il supporto di Recovery non c’è

Mettere in pista WinToFlash

Di WinToFlash ne esistono diverse versioni, molte delle quali a pagamento. La Lite, invece, è disponibile per tutti, gratuitamente seppur limitata in alcune delle funzionalità: no NTFS, exFAT, USB-FDD, GRUB4DOS e file che superino i 4 GB di occupazione, solo un assaggio di di creazione chiavi USB multi-boot (en.wiki.wintoflash.com/index.php?title=Full_WinToFlash_features_list#Create_Multiboot_USB). Potrai infatti ospitare al massimo due sistemi all’interno dello stesso supporto, giusto per capire “cosa ti permetterebbe di fare” una versione professionale del programma.

Le due versioni più carrozzate sono ovviamente la Professional e la Enterprise, ma qui i prezzi lievitano in base alle esigenze. Esiste una versione Home leggermente più ricca della Lite, se ti interessa.

Per ciò che dobbiamo fare noi, basta e avanza la Lite, e pure in versione Portable, che puoi scaricare anche tu dalla pagina del Wiki ufficiale all’indirizzo en.wiki.wintoflash.com/index.php?title=Latest_WinToFlash_portable_editions_download. Scompatta il file ZIP dove preferisci e avvia l’eseguibile principale:

Installare Windows da chiave USB (WinToFlash) 3

Procurati una chiave USB capiente quanto basta (per installare Windows 10, giusto per fare un esempio attuale, ti bastano 4 GB), inseriscila, quindi lancia il trasferimento guidato che ti chiederà di specificare pochi dettagli, al resto ci pensa WinToFlash. Se hai inserito il DVD di installazione di Windows, seleziona la prima sorgente tra quelle possibili, altrimenti seleziona la seconda se vuoi passare da un file ISO:

Installare Windows da chiave USB (WinToFlash) 1

Non devi fare altro. La formattazione della chiave verrà eseguita automaticamente, così come la selezione dei file necessari che verranno poi caricati sul dispositivo di memorizzazione esterno, all’incirca servono 15 / 20 minuti per preparare il supporto (non ha vitale importanza la velocità di scrittura di quest’ultimo, c’è bisogno di tempo per fare tutto, in ogni caso).

Installare Windows da chiave USB (WinToFlash) 2

Prendi la chiave USB, inseriscila nel PC dove hai bisogno di installare il Sistema Operativo, falla partire al boot (generalmente lo si fa con un ESC sui PC Lenovo o F12 sui Dell, e qui ne trovi molti altri), il resto è tutto in discesa (e la velocità ne gioverà di molto in questo passaggio).

Anche WinToFlash in versione Portable può (e secondo me deve) finire nella tua cassetta degli attrezzi da tenere a portata di mano.

Buon lavoro :-)

Condividi l'articolo con i tuoi contatti:

Partiamo subito con una certezza, per rianimare chi leggendo il titolo è già cascato dalla sedia: NON si tratta di nomi di profumi di Dolce & Gabbana. Ci siamo? Bene. Ora possiamo cominciare sul serio.

MS17-010: WannaCry, EternalBlue, DoublePulsar (c'è dell'altro?)

Mettiti comodo. L’infezione non è finita perché ne hanno parlato i giornali accantonando il tutto qualche giorno dopo. Questa, così come altre infezioni passate e future, continuano a essere all’ordine del giorno e il metodo è sempre lo stesso: punta e colpisci chi rimane indietro, per scelta o per stupidità.

Sul perché io ci abbia messo diversi giorni a uscire con un articolo beh, è presto spiegato: ho dovuto far fronte alla minaccia, verificando attentamente che ogni macchina fosse protetta, anche quelle che non potevano precedentemente esserlo ma che per qualche motivo non potevano essere aggiornate a un sistema operativo più recente (Matteo, se mi leggi incazzati pure, poi però ne riparliamo alla prima birra, offri tu, così ti spiego perché “non ce lo meritiamo“!), un lavoro che ha mosso un intero ufficio IT e che penso abbia fatto bene a tutti, per avere un polso della situazione davvero preciso, nulla deve sfuggire.

L’origine del “disastro

Inizia il weekend (quello scorso) e con lui un attacco massivo e massiccio contro i sistemi Microsoft che non sono allineati con le patch di sicurezza. Non parlo delle ultime, ma di quelle di due mesi prima. WannaCry(pt) è il suo nome, ed effettivamente da piangere c’è molto, se si fa parte del gruppo degli infettati.

Provo a fartela semplice: te lo ricordi Cryptolocker (e CryptoWall in seguito)? Non siamo andati poi molto più in là, perché di criptazione dei file tutto sommato si tratta, ma di certo ciò che mi stupisce e affascina è il modo in cui tutto ciò viene (ri)proposto, in maniera più completa e complessa, ben ideata e che lascia dietro di sé un’ombra che continua a passeggiare con il PC infetto.

Di articoli online ne trovi centinaia, alcuni più tecnici e altri più divulgativi (ed è giusto così). Io voglio limitarmi a raccogliere sotto un tetto tutto ciò che ho letto, che voglio riportare qui e ricordare in futuro. La gravità di quanto accaduto (e che ancora accade, a oggi che scrivo l’articolo) è stato evidenziato nel blog di Microsoft, scritto da Brad Smith:

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack

Una timeline è stata pubblicata in maniera più che chiara e completa da Luigi Morelli, te la ripropongo qui di seguito:

  • 2001: Il bug in questione viene introdotto involontariamente in Windows XP, e da esso si diffonde in tutte le release successive
  • 2001–2015: Ad un dato momento NSA (probabilmente l’ Equation Group, presumibilmente una sezione di NSA) ha scoperto il bug ed ha predisposto un exploit (programma che ne consente l’utilizzo malevolo) chiamato EternalBlue, che potrebbe o potrebbe non aver utilizzato
  • 2012–2015: Un contraente NSA ruba presumibilmente più del 75% della libreria NSA’s di strumenti di hacking
  • Agosto 2016: Un gruppo chiamato “ShadowBrokers” pubblica strumenti di hacking che dichiarano essere di provenienza NSA; gli strumenti sembrano giungere dall’Equation Group
  • Ottobre 2016: Il contraente NSA di cui sopra viene accusato di aver rubato dati di proprietà NSA
  • Gennaio 2017: ShadowBrokers mettono in vendita un buon numero di strumenti per l’attacco a sistemi Windows, tra questi un exploit zero-day SMB simile ad “EternalBlue” utilizzato in WannaCry per 250 BTC (intorno ai $225.000 di allora)
  • Marzo 2017: Microsoft, senza fanfara, corregge una serie di bugs evitando di specificare chi li abbia scoperti; tra questi l’exploit EternalBlue; sembra alquanto probabile che la stessa NSA li abbia avvertiti
  • Aprile 2017: ShadowBrokers rilasciano una nuova serie di exploits, compreso EternalBlue, probabilmente perché la Microsoft li aveva già corretti, riducendo in tal modo drasticamente il valore degli zero-day exploits in particolare
  • Maggio 2017: WannaCry, basato sull’exploit EternalBlue, viene rilasciato e si diffonde su circa 200.000 computer prima che il suo kill-switch (un sistema per “spegnerlo” online) venga inavvertitamente attivato da un ricercatore ventiduenne; nuove versioni di WannaCry, prive del kill-switch sono già state segnalate

articolo completo: medium.com/@luigimorelli/wannacry-no-grazie-900cba45163a

nota a margine: mi sono permesso di barrare il termine “inavvertitamente” nell’ultima data riportata, perché quel ragazzo, in realtà, di “casuale” non ha fatto un bel niente. Magari non pensava di bloccare l’infezione intera della versione originale di WannaCry, ma di certo sapeva dove stava mettendo le mani.

Di che cacchio stai parlando?

Il protocollo SMB di Windows viene utilizzato principalmente per permettere l’accesso ai file e alle stampanti, ma serve anche per una serie di comunicazioni di sistema che vengono scambiate su una stessa rete locale, in alcuni casi anche online (se si lasciano esposte alcune porte, cosa assai pericolosa). Facendo leva su un errore contenuto all’interno del protocollo (vecchio quanto Windows Xp, appunto), è stato possibile penetrare a bordo di sistemi altrui e far partire la criptazione dei dati, il vero e proprio malware del “pacchetto sorpresa“.

Quell’errore (quel bug) è stato risolto e chiuso da Microsoft a marzo di quest’anno. Trovi tutti i dettagli del caso sulla Technet, rispondono al numero di classificazione MS17-010: technet.microsoft.com/en-us/library/security/ms17-010.aspx. Nel caso in cui questo non dovesse bastare, sappi che per un grande muro, ci vuole un grande pennello per un problema così importante, si va persino a rispolverare ciò che è fuori dal supporto da anni, rilasciando patch ad-hoc che permettono di mettere al sicuro quei terminali che ancora oggi non sono aggiornati a OS di nuova generazione: blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks

Lo avrai capito, l’argomento è serio e fino a oggi difficilmente si erano raggiunte cifre così importanti in così poco tempo. La lista della spesa è quindi da rispettare alla lettera, e prevede che tu faccia un regolare backup dei tuoi dati (regolare vuol dire che non puoi farlo una volta al mese, soprattutto se dalla tua macchina passa una gran quantità di file ogni giorno), che il sistema operativo sia sempre aggiornato e riavviato in seguito all’installazione delle patch (rispettando i cicli di rilascio di Microsoft), che non ci siano applicazioni, porte o configurazioni delle quali non hai più necessità, perché ne perderesti facilmente il controllo con il passare del tempo, te ne dimenticheresti e potrebbero essere falle un domani. A questo va aggiunta la solita raccomandazione relativa all’evitare clic su link sospetti nelle mail (o aperture di allegati che non ti aspetti e dei quali non sei sicuro al 100% che provegano da fonte autorizzata), anche se nello specifico caso di WannaCry e del bug relativo a SMB, è bastato essere all’interno di una LAN dove almeno un PC è stato infettato, per permettere poi a quest’ultimo di fare da cavallo di troia verso il resto dei terminali (non patchati, sottolineo).

E l’antivirus?

I programmi antivirus hanno ricevuto un aggiornamento entro poche ore dall’inizio dell’attacco, per riconoscere e bloccare WannaCry, almeno nella sua versione originale. Questo perché nel corso del tempo (già dopo circa 24 ore dal primo attacco) sono uscite nuove versioni del ransomware, e altre ne usciranno in futuro, per cercare di evitare quanto più possibile di essere intercettate e fermate.

Diversi prodotti di sicurezza includono già funzioni di euristica e prevenzione che permettono di analizzare comportamenti anomali del software, bloccandone subito i possibili effetti dannosi (e mettendo così al riparo la tua macchina), ma nulla di tutto questo ti può far dormire sonni tranquilli o pensare che non sia necessaria una buona prevenzione.

Microsoft ha rilasciato degli aggiornamenti anche per i suoi prodotti di protezione da malware, Defender in primis, ma anche Security Essential (stessa famiglia). Ha inoltre organizzato un piccolo webcast su Skype per parlare di WannaCry, dei suoi effetti, dei suoi danni collaterali e di come proteggersi, pubblicando un paio di PDF che ho caricato anche qui nel blog e che ti ripropongo: [CustomerReady] WannaCrypt Guidance e MAY 2017 Premier Final.

Per concludere

Matteo, che ho citato all’inizio dell’articolo, ha registrato un video per raccontare cosa è successo, condendolo ovviamente con alcuni suoi pareri e buoni consigli. Investi qualche minuto per dargli un’occhiata e, se ti dovesse venire voglia di fucilare a distanza quella zebra che balla beh, sappi che non sei il solo, organizziamoci ;-)

Ti segnalo poi un ulteriore articolo di Feliciano Intini, pubblicato sul suo “NonSoloSecurity“, MSFT e conoscenza di vecchia data già dagli eventi legati a Conficker: blogs.technet.microsoft.com/feliciano_intini/2017/05/14/attacco-ransomware-wannacry-risorse-utili-e-chiarimenti, troverai al suo interno consigli, best practice e risposte a domande che tutti coloro che sono stati attaccati si pongono.

Puoi continuare a seguire il flusso delle informazioni su WannaCry su Twitter: twitter.com/hashtag/wannacry?f=tweets&vertical=default (inutile dire che in mezzo a tanto materiale di qualità, troverai anche battute stupide e spam che sfrutta la popolarità di quanto da poco accaduto, del tutto inevitabile).

Aggiornamenti dell’articolo

agg. 26/5

È già di qualche giorno fa (e ha fatto il giro del web), ma resta ovviamente uno di quei punti focali da scolpire su pietra: se sei stato infettato da WannaCry, NON riavviare la tua macchina. Scarica e utilizza immediatamente WanaKiwi di @gentilkiwi per cercare di recuperare quanti più file possibili.

L’articolo completo si trova su Medium e lo ha scritto Matt Suiche, è in inglese ma è spiegato in maniera talmente semplice da essere comprensibile anche per chi parla esclusivamente dialetto milanese.

In fondo dovrai solo scaricare e avviare un eseguibile nel più breve tempo possibile, così da permettergli di procedere con la ricerca dei processi del ransomware e della relativa chiave generata, così da poter cominciare una decriptazione dei tuoi file, per evitare (in realtà non avresti mai dovuto pensarlo o farlo neanche prima, nda) di dover pagare il riscatto per avere –forse– indietro il tuo materiale. Allo stato attuale, l’applicazione è stata testata con successo su sistemi Xp, Vista, 7 e relativi fratelli lato server (per capirci: Windows 2003 e 2008), con risultati più che positivi in architettura x86 (non dovresti avere problemi nel caso in cui tu abbia una macchina con OS x64).

Wanakiwi

  1. Download wanakiwi here
  2. wanakiwi.exe will automatically look for the 00000000.pky file.
  3. Cross fingers that your prime numbers haven’t been overwritten from the process address space.

continua a leggere: blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d

MS17-010: WannaCry, EternalBlue, DoublePulsar (Aggiornato)


agg. 22/5

Più sono le informazioni che vorresti riportare e citare, più facilmente le dimentichi. Mea culpa, e grazie a Elisabetta per avermi ricordato che ho mancato di portare alla tua attenzione un altro ottimo articolo, con il quale condivido pressoché il 99% del pensiero scritto riguardo i vari punti focali con i quali un amministratore di reti e sistemi si trova a combattere quotidianamente.

Ovvero, tutto quello che ho aggiunto in seguito rispetto alla pubblicazione originale del mio articolo, perché l’ho sbadatamente dimenticato o perché qualcuno mi ha segnalato buone letture che meritano di essere riportare anche in questi personali lidi. Primo tra tutti è un articolo pubblicato sul blog Agenzia Digitale, e che di seguito “embeddo“:

Wannacry, le sciocchezze che dicono gli “esperti”

In un paio di passaggi ci si rende conto di quanto possa essere difficile il nostro mestiere, e di quanto sia sciocco (oggettivamente, ma anche soggettivamente parlando) affermare che sarebbe bastato mettere una patch, sostituire un OS o tenere sempre a portata di mano un backup, per lo meno applicato a un contesto così delicato come l’azienda di medie (o più grandi) dimensioni, un panorama “multi-etnico” (se così si può definire), dalle mille sfaccettature e che non sempre (anzi, proprio mai) mostra davanti agli occhi una strada in discesa:

(4) “Ma questi non capiscono nulla, dovevano fare i backup!”. Ovviamente. Ma chi ci dice che i backup non esistono? Pensate ad un attacco di ransomware che mette fuori uso qualche centinaio di computer. Quanti ci vuole per (a) ripulire i sistemi dal malware (b) ripristinare i backup dei dati? Che nel mondo reale ci sia un periodo che può passare da qualche ora a qualche giorno di down mi sembra ragionevole.

e ancora:

(5) “Basta con Windows! Passiamo tutti a Linux!”. Bene, chi scrive utilizza praticamente solo Linux ed è un fervente sostenitore dell’open source, quindi questo discorso, perlomeno con me, sfonda una porta aperta. Il problema è che non la deve sfondare con me ma con i responsabili IT di una quantità di aziende medio-grandi che hanno svariate buone ragioni per non seguire questo consiglio – purtroppo, aggiungo io [cut …]

Perché sì, spesso siamo circondati da esperti (?!?) che –concordando con l’articolo di Alberto Berretti– hanno gestito al massimo una rete casalinga “complessa” (qualche cellulare, una ChromeCast e forse un router diverso da quello fornito dal provider della linea voce/dati), nella loro vita, è evidente.


Rimane ancora valido quanto detto nell’articolo originale: se pensi che questo articolo debba raccogliere altro materiale, vuoi proporre link di approfondimento o altro ancora, o semplicemente dire la tua in merito, l’area commenti è a tua totale disposizione! :-)

Condividi l'articolo con i tuoi contatti:

Cos’è un VHD? È un disco virtuale (da lì Virtual Hard Disk), riconosciuto nativamente da Windows 7 o versione più recente. Emula in tutto e per tutto un disco fisico, puoi crearlo, montarlo sul tuo PC caricandolo magari da rete, o altro dispositivo esterno / portatile. Sorvolando sulla sua storia e sul suo possibile utilizzo, questo è il classico “articolo appunti“.

Montare un disco VHD con un clic destro del mouse

Ho trovato un paio di alternative valide, che ho sfruttato su un PC dove avevo la necessità di montare sporadicamente un file VHD dedicato a un backup di posta elettronica. Una soluzione un po’ più home-made (in realtà quella che ho preferito, basata su batch e diskpart), l’altra esteticamente più bella e sicuramente più comoda per un utilizzatore meno spartano, il suo codice sorgente è disponibile su Github.

Batch & Diskpart

Tutto descritto in un articolo neanche tanto giovane di How-to-Geek (si parla del 2010), che trovi all’indirizzo howtogeek.com/51174/mount-and-unmount-a-vhd-file-in-windows-explorer-via-a-right-click. Volendolo riassumere brevemente, ti basterà creare due file batch all’interno del menu SendTo di Windows (quello che vedi tu stesso quando fai clic con il tasto destro su un file e poi ti sposti in “Invia a“). Il primo batch servirà a montare il file VHD, il secondo a smontarlo.

Per il mount lo script è questo:

SETLOCAL
SET DiskPartScript="%TEMP%\DiskpartScript.txt"
ECHO SELECT VDISK FILE="%~1" > %DiskPartScript%
ECHO ATTACH VDISK >> %DiskPartScript%
DiskPart /s %DiskPartScript%
ENDLOCAL

per smontare il file (unmount) è invece:

SETLOCAL
SET DiskPartScript="%TEMP%\DiskpartScript.txt"
ECHO SELECT VDISK FILE="%~1" > %DiskPartScript%
ECHO DETACH VDISK >> %DiskPartScript%
DiskPart /s %DiskPartScript%
ENDLOCAL

Dovrai quindi individuare il file VHD (ovunque lui sia), farci clic sopra con il tasto destro del mouse, selezionare “Invia a” e scegliere lo script di montaggio o smontaggio in base all’azione desiderata.

VHD Attach

L’altro metodo non differisce poi molto in quanto a clic destro del mouse (le voci saranno sempre lì), ma non sarà necessario andare nel menu “Invia a” e potrai inoltre installare e disinstallare il tool direttamente da Pannello di controllo, oltre che sfruttare la sua GUI dalla quale puoi gestire anche più file VHD contemporaneamente. Si chiama VHD Attach e viene sviluppato e rilasciato gratuitamente. Lo trovi su medo64.com/vhdattach. Lo trovo estremamente intuitivo, sufficientemente accattivante nella sua basilare grafica, con opzioni che si mostrano solo in base a ciò che puoi fare (per capirci, facendo clic con il tasto destro su un disco virtuale montato, ti mostrerà solo un Detach, per smontarlo).

Dallo stesso programma potrai analizzare le statistiche e informazioni più approfondite del file VHD, potrai farlo montare automaticamente e molto altro ancora. È certamente l’alternativa meno spartana e più indicata per essere utilizzata dalle masse.

Condividi l'articolo con i tuoi contatti: