Vai al contenuto

Tra le svariate decine di indicazioni da seguire per migliorare la sicurezza informatica ce ne sono due che da sole valgono più di tutte le altre messe insieme: si tratta di applicare regolarmente le patch e di usare MFA e non solo la password.

Ce lo ricorda Bruce Schneier citando Roger Grimes.

Segnala Bruce Schneier che negli usa, i mandati di geolocalizzazione di massa di un area geografica, sono stati dichiarati incostituzionali da una corte federale.

Questa tecnica investigativa è una richiesta a chi detiene i dati (gestori di reti cellulari, Google e altri) di fornire l'identificazione di tutte le persone presenti in una area geografica delimitata in un dato momento. Concordo con Bruce Schneier che dice che a lui pare ovvio ma che non si può dare nulla per scontato.

Mi è capitato che la macchina virtuale VMware Workstation Ubuntu (che gira su host Windows) si bloccasse frequentemente. Questo succedeva parecchi mesi fa e, a ben vedere, non sono riuscito a capire realmente il motivo ma ho comunque un paio di indicazioni da segnalare che mi hanno aiutato ad evitare quasi completamente che ricapitasse.

Il problema era che la VM si bloccava non rispondendo più a mouse e tastiera ma, quasi sempre, era raggiungibile via ssh quindi sembrava essere qualche cosa legata all'interfaccia grafica. Riavviare da shell era l'unica soluzione pratica e veloce.

Il primo spiraglio di luce è arrivato con una nuova release di VMware Workstation (poi ne è uscita anche un altra) che ha ridotto la frequenza del problema.

Nel mentre ho tentato di tutto compreso la modifica di alcuni settaggi della VM relativi alla tastiera ma evito di segnalarli perché non sono stati di aiuto e li ho riportati come erano prima.

L'unico workaround realmente efficace è stato quello di disabilitare lo share delle cartelle da host a VM: capisco che possa servire averlo e, ogni tanto mi serve, ma lo abilito all'occorrenza impostandolo con la modalità di disabilitazione automatica allo spegnimento/sospensione.

Da quando ho adottato questa accortezza non si è quasi mai più bloccata. Le poche volte che è capitato ho notato che, più che bloccata come era prima, sembrava solo estremamente rallentata il che permetteva di chiudere qualche programma e, contemporaneamente, di chiuderne anche sull'host per "alleggerire" il carico. Dopo parecchi minuti (anche un ora) si riesce nuovamente ad avere la VM che risponde normalmente. Potrebbe anche essere che questo comportamento, visto che è diverso dal precedente, sia un altro tipo di problema.

Ho aspettato parecchio prima di pubblicare queste indicazioni perché ho sempre sperato di trovare una soluzione vera e non un workaround che risolve ma non realmente del tutto. Dato che non ne sono venuto a capo, alla fine, mi sono deciso: meglio qualcosa piuttosto che niente no?

Da alcuni giorni sto utilizzando Simplenote: un programma che, come si intuisce dal nome, gestisce in maniera semplice le note. C'è un app per Android e per altre piattaforme e c'è pure la versione per Linux.

Io uso Ubuntu e ho trovato un problema intermittente che gli impedisce di partire. Se lo lanciate da riga di comando spesso vi restituisce questo errore prima di andare in crash

FATAL:gpu_data_manager_impl_private.cc(415)] GPU process isn't usable. Goodbye.

Ho trovato che questo bug è tipico di altri programmi che usano Electron e il workaround per evitare che vada in crash è di farlo partire con un --no-sandbox

Se lo lanciate da interfaccia grafica dovete editare come root il file /usr/share/applications/simplenote.desktop cambiando la riga di Exec da

Exec=/opt/Simplenote/simplenote %U

a

Exec=/opt/Simplenote/simplenote --no-sandbox %U

In questo modo partirà sempre senza andare in crash.

Sento spesso parlare sostituire il sistema di votazione tradizionale fatto di schede scritte e controllate a mano con un più moderno sistema di votazione elettronica senza che chi ne parla sia realmente a conoscenza delle implicazioni sulla sicurezza delle votazioni.

Un esperto che spesso ne parla, ma con cognizione di causa, è invece Bruce Schneier e questa volta lo ha fatto insieme ad un gruppo di 20 esperti di cybersicurezza del voto.

Il riassunto di quanto espongono è che ogni sistema ha i suoi vantaggi e svantaggi e le sue vulnerabilità, anche quello tradizionale.

Se si vuole adottare un sistema elettronico ottimale ed affidabile di voto la soluzione che propongono è quella di usare la scheda elettorale cartacea e di leggerla tramite scansione elettronica. Di conservare separatamente ed in modo sicuro le schede che poi passeranno per un processo rigoroso di audit che avviene dopo le elezioni ma prima della certificazione.

A chi non è esperto di sicurezza informatica potrà sembrare strano che un sistema "elettronico" di votazione si basi ancora sulla vecchia scheda cartacea ma i rischi e, soprattutto, la mancanza di alcune garanzie fondamentali impediscono di avere un sistema interamente digitale.

Il sistema di monitoraggio dischi S.M.A.R.T. (Self-Monitoring, Analysis, and Reporting Technology) si applica sia ai vecchi dischi a piatti rotanti che hai nuovi dischi allo stato solido e serve per avere una serie di informazioni sullo stato di salute dei dischi utili a prevederne futuri guasti.

Non si tratta di un sistema recente quindi ci si aspetta che funzioni anche su dischi datati quindi quando mi sono trovato un messaggio che dice che il mio vecchio ASUS Eee PC 900 ha i dischi (SSD tra l'altro) che non supportano SMART sono rimasto perplesso e, difatti, non è vero. Lo supportano.

Per monitorare i parametri SMART si usa smartmontools

apt install smartmontools

Se, come è capitato a me, il tool dice che SMART non è supportato

# smartctl -a /dev/sda1

Device Model: ASUS-PHISON OB SSD
Serial Number: xxxxxxxxxxxxxxx
Firmware Version: TST2.04P
User Capacity: 4,034,838,528 bytes [4.03 GB]
Sector Size: 512 bytes logical/physical
Device is: Not in smartctl database 7.3/5319
ATA Version is: ATA/ATAPI-5 (minor revision not indicated)
SMART support is: Unavailable - device lacks SMART capability.

Bisogna abilitarlo forzandolo

# smartctl -T permissive -s on /dev/sdb1

Il tool smartmontools installa anche un servizio: smartmontools.service che ha bisogno di un piccolo settaggio altrimenti di suo non riesce a capire che in realtà SMART è abilitato e fallisce. Bisogna editare il file di configurazione /etc/smartd.conf e commentare la riga del DEVICESCAN per impedire che cerchi autonomamente i dischi e bisogna aggiungere in coda i device che si vogliono monitorare aggiungendoci la direttiva permissive

/dev/sdb -T permissive
/dev/sda -T permissive

Nel mio caso sono i due sopra. A questo punto basta riavviare il servizio

systemctl restart smartmontools.service

ed è fatta. Ora, per esempio, il file /var/lib/smartmontools/smartd.ASUS_PHISON_SSD-SOQ1482230.ata.state contiene tutte le info SMART. Se le volete in forma più leggibile da un umano potete usare questo comando

smartctl -T permissive -a /dev/sdb1

Leggendo un post di Stefano Quintarelli ho scoperto questo interessante browser: LibreWolf.

Si tratta di un browser basato su firefox e focalizzato sulla privacy, sulla sicurezza e sulla libertà.

Si può installare su svariate piattaforme e sicuramente lo proverò.

Quando si acquista da un negozio online ci sono una serie di accortezze per limitare i rischi di frode nei quali si incorre pagando con carta di credito e spero che li conosciate anche perché non è di questo che volevo parlare.

Ci sono dei casi, rari fortunatamente, nei quali si deve pagare con carta di credito: non si è fisicamente presenti presso il venditore che avrebbe il POS per effettuare il pagamento e il venditore non è attrezzato per farvi pagare online con un form web dove poter inserire in sicurezza i dati della carta.

Analizziamo la situazione: tanto per cominciare vi dovete fidare totalmente del venditore. Meglio se lo conoscete di persona e se avete anche già acquistato da loro.

Smarcato il problema "fiducia" restano le misure di sicurezza. I dati della carta non vanno trasmessi usando un canale insicuro, non cifrato, perché si corre il rischio che un qualunque soggetto terzo possa intromettersi e salvarsi i dati della carta. Un email (sempre che non sia cifrata) non è un canale sicuro. Anche una telefonata non è un canale sicuro: so che magari è un pelo paranoico ma le telefonate sono intercettabili abbastanza facilmente e qualcuno potrebbe anche ascoltarvi .

Un sistema di messaggistica cifrato end-to-end è una buona opzione cancellando subito dopo il messaggio, ci sono alcune criticità potenziali ma a grandi linee è una buona opzione.

Bisogna tener presente che la sicurezza assoluta non esiste: anche un form web https di una banca potrebbe essere insicuro. Basta che ci andiate su con un cellulare o un pc infettato da un keylogger che vi ruba i tasti che premete o, molto più banalmente, qualcuno che con una buona videocamera (e basta un buon cellulare) vi fa un video riprendendo i dati che inserite.

Le automobili elettriche hanno un doppio sistema di frenata: la prima parte è gestita ricaricando il pacco batterie facendo rallentare e fino anche fermare l'auto (frenata rigenerativa), la seconda parte è il classico freno meccanico che conosciamo.

Già ora molti automobilisti elettrici usano un impostazione e uno stile di guida detto "One Pedal" che consiste nel usare solo il pedale dell'acceleratore senza necessità di usare il freno (salvo ovviamente casi di emergenza) e difatti l'usura dell'impianto frenante delle BEV è praticamente zero e, di conseguenza, anche l'inquinamento dovuto alle polveri sottili delle pastiglie dei freni è quasi azzerato.

Ora la tedesca ZF ha presentato un sistema innovativo di frenata interamente elettrica. La forza frenante è generata da quattro motori elettrici: uno per ruota. La sicurezza è garantita dalla stessa tecnologia di ridondanza usata sugli aerei e l'efficienza è stata testata ed è superiore ai freni tradizionali.

I vantaggi di questa soluzione sono interessanti. Prima di tutto si va verso la semplificazione che è sempre utile. L'efficienza di questo sistema permette un maggior recupero di energia durante la frenata. Come già detto ecologicamente è ottimo eliminando del tutto l'inquinamento causato dalle pastiglie dei freni. La manutenzione, che già è minima per le BEV, viene così ulteriormente ridotta.

In tema di semplificazioni sto aspettando alcune soluzioni che credo siano a portata di mano: 4 motori, uno per ruota, eliminando del tutto trasmissione/differenziale, eliminazione della batteria di servizio da 12V e batterie più piccole insieme a sistemi di ricarica wireless ad induzione in movimento come già si vedono ora in fase sperimentale sulla Brebemi.

Via Viaelettrico

Gli assistenti vocali: Google Assistant, Siri di Apple, Cortana di Microsoft e altri sono decisamente poco rispettosi della privacy. Dario Bonacina ce lo spiega bene.

Purtroppo per il classico utente medio non ci sono soluzioni: se vuole un assistente vocale facile da installare, anche per chi non è un informatico, deve accontentarsi di "pagare" con la perdita di privacy.

Per chi invece ci capisce almeno un po' esistono altre soluzioni. Ad esempio Mycroft è un assistente vocale open source e particolarmente rispettoso della privacy che gira su un server nostro e locale. Quelli di Mycroft vendono pure lo smart speaker che integra tutto quello che serve: volendo può funzionare anche senza connessione ad internet.

Un team di ricercatori di un università britannica ha istruito un modello di machine learning per identificare i tasti premuti di un portatile grazie al suono che producono e con un accuratezza del 95%

Questo risultato è stato raggiunto usando il microfono di un normale cellulare per catturare il suono. Hanno anche provato con l'audio di una call conference con Zoom e hanno comunque ottenuto la notevole percentuale di accuratezza del 93%

Chi è nelle condizioni di dover temere simili attacchi può adottare alcune contromisure: usare un software che riproduce suoni di tasti premuti oppure confondere l'ascolto con un altro metodo: usare un rumore bianco.

Via Schneier e bleepingcomputer

Ho dovuto migrare una mia macchina virtuale da Virtualbox a Vmware workstation player quindi colgo l'occasione per segnalare alcune informazioni utili.

Esportando la vm e importandola potrebbe capitare che la scheda audio non venga creata. In questo caso aggiungete manualmente l'hardware sound. Se anche così la scheda audio non risultasse visibile allora, a vm spenta, modificate il file di configurazione della vm .vmx impostando

sound.present = "TRUE"

Bisogna poi sistemare le vm guest addictions/vm tools: disinstallare quelle di Virtualbox e installare quelle di Vmware. Per le vbox guest addictions in /opt/VBoxGuestAdditions-x.x.x/ (sostituite le x con la versione che avete installata) c'è l'uninstall. Nel mio caso ho un sistema operativo guest Ubuntu e, per installare quelle utili a Vmware workstation, ho usato quelle che ci sono nei repository

apt install open-vm-tools open-vm-tools-desktop

Nel caso il copia e incolla tra guest e host non funzionasse, nonostante i tools desktop appena installati, si può sistemare con delle impostazioni sempre nel .vmx

isolation.tools.copy.disable = "FALSE"
isolation.tools.paste.disable = "FALSE"
isolation.tools.setGUIOptions.enable = "TRUE"

Se poi avete problemi di spazio potreste voler evitare che venga creato un file di dump della memoria durante il run della vm e per farlo abbiamo la solita aggiunta/modifica nel file .vmx

mainMem.useNamedFile = "FALSE"

Personalmente preferisco Virtualbox ma per delle circostanze particolari sono dovuto passare a Vmware workstation player.

L'algoritmo a chiave pubblica CRYSTALS-Kyber è raccomandato dal NIST nel processo di selezione della crittografia post-quantica.

Dei ricercatoti hanno pubblicato un attacco Side-Channel basato sul consumo di corrente e si supponeva che questo algoritmo fosse resistente a questo tipo di attacco.

La parte interessante, fa notare Bruce Schneier, non è tanto l'attacco in se ma che abbiano usato una tecnica di machine learning per istruire il sistema su come portarlo a termine: effettivamente è importante notare che una tecnica relativamente nuova come quella del machine learning possa essere usata per trovare vulnerabilità e, ovviamente di contro, anche per forzare un sistema.

Nagios

Era da più di due anni che non uscivano aggiornamenti per Nagios Core. Nel 2022 ne sono già usciti 3, l'ultimo dei quali pochi giorni fa.

Visto il lungo periodo di assenza potreste aver dimenticato di aggiornare oppure, visto che la versione 4.4.7 ha un bug che porta a dover disabilitare il check della release, potreste essere giustificati quindi ho pensato di avvisare che ora l'ultima release è la 4.4.9 quindi correte ad aggiornare.

Tesla Model 3 (auto elettrica su wikipedia)

Si sente alle volte dire che le auto elettriche richiederanno troppa elettricità al sistema mettendolo in crisi: non è vero perché la quantità di elettricità aggiuntiva richiesta è modesta, è in crescita graduale (le auto elettriche sono in crescita graduale) e potranno addirittura essere la soluzione ad un problema che invece è reale. Quello della stabilizzazione dei carichi di rete.

Tutto passa da volontà politiche, modifiche alle normative e incentivi. Per diverse ragioni è utile puntare sulla produzione di elettricità da fotovoltaico (è più economico, ci rende indipendenti dall'estero, abbiamo tanto sole) e questo richiede che vengano sbloccati progetti già pronti a partire riducendo la burocrazia normativa. Una volta che il fotovoltaico sarà libero di cresce avremo abbondante energia elettrica ma, per sua natura, intermittente (legata alle condizioni meteorologiche). È qui che nuovamente entra in gioco la normativa: un auto elettrica predisposta a VTG (Veicle To Grid: dall'auto alla rete elettrica) che venisse lasciata connessa alla rete potrebbe fornire energia alla rete nei momenti di scarsità (con vantaggi economici per il proprietario dell'auto) stabilizzando la produzione elettrica.

Quindi l'unico vero problema futuro reale, l'intermittenza della produzione elettrica fotovoltaica, potrebbe essere risolto dalle tante e capaci batterie delle auto elettriche connesse alla rete con tecnologia VTG. Basterebbe solo adeguare la normativa per consentirlo.

Da alcuni giorni è disponibile la release upgrade di Ubuntu dalla vecchia versione LTS 20.04 alla nuova LTS 22.04 Jammy Jellyfish.

Segno qui alcuni appunti pre e post upgrade che potrebbero tornare utili ad altri.

La nuova release LTS occupa più spazio quindi già normalmente bisogna ricordarsi di avere sufficiente spazio libero nei vari filesystem ma, in questo caso, ancora di più: ad esempio il nuovo kernel 5.15 è ben più grande del vecchio 5.4 quindi occhio al fs /boot, anche in /opt serve spazio e ovviamente in / ne serve parecchio perché i pacchetti per l'upgrade vengono scaricati proprio nel fs radice.

Se siete a corto di spazio disco considerate, prima di iniziare l'upgrade, di disinstallare tutti i vecchi kernel (ovviamente il corrente lo dovete lasciare) e di disinstallare alcuni software che potrete reinstallare in seguito come ad esempio libreoffice o gimp.

Probabilmente per colpa di un bug potreste trovarvi ad avere le manpage vuote e con un errore quando uscite. Io ho risolto installando (o reinstallando se già lo avevate) groff con un apt install --reinstall groff-base

Se usate syncthing c'è un warning sull'uso del portachiavi che costa poca fatica sistemare (si tratta di un uso deprecato quindi in futuro darà errore; meglio prevenire) con un wget -O /etc/apt/trusted.gpg.d/syncthing.asc https://syncthing.net/release-key.txt

Se usate ecryptfs e avete parzialmente scriptato il mount ora vi chiederà il tipo di chiave perché prima era solo passphrase: basterà aggiungere nei parametri del mount nello script un key=passphrase

Come sempre ricordatevi di riattivare le sorgenti software aggiuntive che avevate in uso perché durante l'upgrade ve le disabilita.

Se avete trovato altre soluzioni a piccoli difetti durante l'upgrade scrivetemeli nei commenti che li aggiungo.

Apple ha introdotto il "Lockdown Mode" pensato per un ristretto numero di utenti: quelli che per motivi particolari sono potenziali vittime di attacchi informatici mirati.

Il punto interessante è il cambio di paradigma (anche se per un caso molto particolare): tipicamente si sacrifica la sicurezza per facilitare l'usabilità. In questo caso è il contrario; l'usabilità ne viene compromessa ma in cambio il perimetro dei potenziali attacchi viene ridotto.

Via Bruce Schneier

Il vecchio Google for domains poi diventato G Suite legacy free edition per chi l'aveva attivato quando era ancora gratis rimarrà gratuito per gli utenti non commerciali, contrariamente a quanto dichiarato precedentemente da Google, ma bisogna segnalare, entro il 27 giugno 2022, che si intende usarlo per uso non commerciale. Se non lo si segnala allora Google vi considera come utenti commerciali e vi chiede di pagare.

Per effettuare questa segnalazione bisogna loggarsi con l'account gmail di amministratore (se avete un solo account allora quello è anche l'account di amministratore) e andare poi sulla Admin Console dove apparirà questa comunicazione (io ho la lingua inglese selezionata ma se voi avete l'italiano potrebbe apparirvi il tutto in italiano):

Time to choose the transition path for your account We’re extending the transition period for those using the Legacy Free Edition of G Suite. Upgrade now to enjoy a special discount on a Google Workspace subscription, or self-identify your legacy subscription is for personal use. If no action is taken before Jun 27, 2022, we'll automatically transition you to the recommended Google Workspace subscription.

Sotto c'è il link LEARN MORE che porta alla seguente schermata:

L'opzione da scegliere è l'ultima: Personal use, cliccando sulla freccia sulla destra. Appare un ulteriore schermata di conferma:

Questa schermata ci avvisa che potremo continuare ad usare l'email Gmail sul nostro dominio e alcuni altri dettagli, ci ribadisce che questa scelta è solo per uso personale non commerciale e ci avvisa che potranno rimuovere delle funzioni business e che non è compreso il supporto. Cliccate su Confirm for personal use e l'operazione è conclusa. Appare una schermata di conferma e ringraziamento:

ma più che un grazie da parte di Google per continuare ad usare il loro servizio io direi un grazie a loro per aver mantenuto l'uso personale gratuito per un prodotto che trovo molto utile nonostante lo usi esclusivamente per l'email personalizzata sul mio dominio.

Ci sarebbero state altre soluzioni più o meno complicate per continuare ad avere gratuitamente un email sul proprio dominio e una di queste l'ho anche messa in piedi (mi sono creato 4 miei server MX che inoltrano le email su dominio ad un altro indirizzo email) ma la G Suite è più comoda.

In conclusione, al posto dell'avviso che avevate all'inizio sulla scelta da effettuare, vi troverete un avviso che dice che state usando la versione legacy (che è gratuita)

e se volete potete passare a quella a pagamento: dalle mie parti si usa dire "anche no"

La guerra in Ukraina e le conseguenti sanzioni alla Russia sono un ottimo "pretesto" per puntare ad una indipendenza via via maggiore fino all'indipendenza totale da fonti fossili: non solo gas ma anche petrolio e non solo prodotti Russi ma proprio tutti.

Si tratta di buon senso. A breve termine sicuramente non si potrà ridurre drasticamente ne tanto meno eliminare ma a lungo termine è sicuramente possibile ed è utile per più motivi.

Puntando su fonti rinnovabili prodotte in loco come fotovoltaico, eolico e idroelettrico (con accumulo statico per normalizzare e produzione di idrogeno verde) ci si sgancia dai problemi che derivano dal dover importare prodotti da aree geografiche turbolente.

Si spende di meno: conti alla mano le fonti rinnovabili sono più economiche e col tempo miglioreranno ancora.

Non meno importante è più ecologico.

Resta solo da vedere se questo buon senso viene recepito da chi deve prendere le decisioni: i politici