Vai al contenuto

Tra le svariate decine di indicazioni da seguire per migliorare la sicurezza informatica ce ne sono due che da sole valgono più di tutte le altre messe insieme: si tratta di applicare regolarmente le patch e di usare MFA e non solo la password.

Ce lo ricorda Bruce Schneier citando Roger Grimes.

In UK, ci segnala Bruce Schneier, c'è una proposta di legge per bannare le password di default sui dispositivi IoT.

Si tratta di un interessante passo avanti per migliorare la sicurezza di oggetti connessi ad internet: non necessariamente si tratta di una buona soluzione ma è meglio di niente.

L'ideale sarebbe un sistema per invogliare ad avere password sicure e uniche. Fino ad ora, la soluzione che più mi è piaciuta, che va in questa direzione è quella che ho visto su un router: una password preimpostata composta da un paio di parole e qualche numero. Viene scritta sull'etichetta del router, il fabbricante non la conosce perché è generata a caso in automatico ed è abbastanza facile da ricordare.

In questo campo le soluzioni devo necessariamente essere un compromesso tra facilità d'uso e sicurezza: se sono estremamente sicure quasi sicuramente sono troppo difficili da usare e si rischia che l'utente medio si stufi e cambi la password con 12345. Se sono troppo facili da usare sicuramente la sicurezza è troppo bassa e prima o poi qualcuno entra abusivamente nel tuo dispositivo.

Se già usate fail2ban per proteggere l'accesso ssh e avete anche un web server Apache installato è una buona idea aggiungere alcuni protezioni che fail2ban è in grado di offrire per apache.

Ci sono già diversi moduli pronti che possono essere attivati con poco sforzo. Basta aggiungere un file .conf in /etc/fail2ban/jail.d con la parte di configurazione che modifica quella standard. Per esempio per aggiungere la protezione all'autenticazione di Apache il codice è

[apache-auth]

enabled = true
port = http,https
logpath = /var/log/apache2/error.log
maxretry = 3
findtime = 600

Ci sono anche altri moduli interessanti: apache-overflows apache-badbots php-url-fopen: qui trovate qualche dettaglio in più oppure direttamente sul wiki di fail2ban.

2

Ieri mi è capitato un fatto a dir poco assurdo con una password di EuteliaVoip.

Stavo installando e impostando a dovere una connessione internet EOLO che ho venduto ad un cliente insieme a Router e, ovviamente, fonia VoIP ed ero arrivato proprio alle impostazioni del VoIP quando è successo il fattaccio.

Creato il numero di telefono EuteliaVoip ti viene assegnata una password casuale generata direttamente da EuteliaVoIP: io, normalmente, tengo quella perché è un ottima password. Lettere minuscole e maiuscole e numeri.

Questa volta c'era anche una barra (slash per gli anglofoni): tanto meglio!

Peccato che il numero non si registrasse: visto il fatto insolito della barra nella password ho pensato di cambiarla sostituendo la barra con un altro carattere (una lettera) e magicamente il numero si è registrato.

Non so cosa sia successo. Mi pare realmente strano che una password generata dal sistema automatico venga rifiutata dalla stesso sistema che l'ha generata. Magari c'è qualcosa che mi è sfuggito.

Oppure il problema è altrove: tipo l'ATA che per motivi suoi non va d'accordo con le barre nelle password. Il Router ATA in questione è un Fritz BOX WLAN 7140.

Visto che il problema l'ho risolto cambiando password e che non vedo motivo per il quale in futuro debba obbligatoriamente usare una barra in una password EuteliaVoip non indagherò oltre ma almeno vi avviso: se un ATA non ne vuole sapere di registrare un numero di telefono e nella password ci sono caratteri strani provate a cambiare la password. Non si sa mai 😉

Giusto per far venire un po' di invidia a chi ha una pessima linea internet vi do qualche dato di quest'ultima installazione.

Distanza dalla BTS associata: 1 Km

SNR UpLink : 30 dB

SNR DownLink : 39 dB

Ping su maya 3ms moooooolto stabile.

Banda piena (2Mbit download e 256Kbit upload)

Antenna SU06 su un palo da 4mt per scavalcare le cime di alcuni alberi. 

Se non lo sapete EOLO è connessione ad internet senza fili e, soprattutto, senza Telecom (sì, anche senza canone Telecom). Intendo senza Telecom del tutto: l'intera infrastruttura di trasporto è realizzata senza usare un mm di cavo o apparato Telecom e quindi è totalmente sotto il controllo diretto di NGI. Qualsiasi problema possa verificarsi NGI lo risolve direttamente con tecnici interni.

Non vi viene voglia di contattarmi e chiedermi di fornirvi una connessione così? 🙂