La Priorità del Logging nei Sistemi di Database: Una Guida Completa

Il logging delle operazioni sui database è essenziale per garantire la sicurezza, l’integrità e la conformità dei dati. In questo articolo, esploreremo le priorità e le best practice per il logging delle operazioni nei database, basandoci su standard e normative riconosciute come NIST, OWASP, ISO/IEC 27001 e PCI-DSS.

1. Alta Priorità: Logging delle Operazioni Critiche

Data Definition Language (DDL): Le operazioni DDL come CREATE, ALTER e DROP sono cruciali per la gestione della struttura del database. Monitorare questi comandi è essenziale per prevenire modifiche non autorizzate che potrebbero indicare tentativi di attacco. Inoltre, la gestione di CREATE SCHEMA e ALTER DATABASE deve essere attentamente loggata per evitare compromissioni del sistema.

Data Manipulation Language (DML): Le operazioni DML, inclusi UPDATE, DELETE e INSERT, sono fondamentali per la manipolazione dei dati. È vitale loggare le modifiche ai dati per prevenire frodi, manipolazioni malintenzionate e perdita irreversibile di dati. La lettura di dati sensibili tramite SELECT deve essere monitorata per garantire la protezione della privacy e prevenire accessi non autorizzati.

Data Control Language (DCL): Le operazioni DCL come GRANT e REVOKE, che gestiscono i diritti di accesso, devono essere tracciate per evitare abusi e garantire che i privilegi siano concessi e rimossi in modo appropriato.

2. Media Priorità: Logging delle Transazioni

Transaction Control Language (TCL): Le operazioni di controllo delle transazioni, come COMMIT e ROLLBACK, sono di media priorità. Registrare queste operazioni è importante per monitorare l’applicazione delle modifiche ai dati e rilevare tentativi di manomissione.

3. Standard e Normative di Riferimento

NIST (National Institute of Standards and Technology): Il NIST Special Publication 800-53 (Revision 5) fornisce linee guida dettagliate per il logging degli eventi, inclusi i controlli AU-2 e AU-3. Questi controlli raccomandano il monitoraggio di eventi critici e la registrazione di dettagli completi degli eventi per garantire la sicurezza dei dati.

OWASP (Open Web Application Security Project): L’OWASP Logging Cheat Sheet suggerisce di loggare eventi critici come operazioni di modifica dei dati, cambiamenti ai privilegi e fallimenti di transazione. È importante evitare di loggare informazioni sensibili come password in chiaro.

ISO/IEC 27001: Questa norma richiede che le organizzazioni mantengano log di audit come parte del loro Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Le operazioni DDL, DML e DCL devono essere tracciate per garantire la sicurezza e l’integrità del sistema.

PCI-DSS (Payment Card Industry Data Security Standard): Per ambienti che gestiscono informazioni di pagamento, il PCI-DSS richiede una registrazione rigorosa delle modifiche ai dati sensibili, dei privilegi degli utenti e dei fallimenti di transazioni. I log devono essere protetti e mantenuti per un periodo specifico.

4. Best Practice per il Logging

  • Dettagli Completi: Assicurati che i log includano informazioni dettagliate come l’identità dell’utente, il timestamp e la natura delle modifiche.
  • Protezione dei Log: Proteggi i log da accessi non autorizzati e garantisci che siano mantenuti per il periodo richiesto.
  • Monitoraggio e Revisione: Implementa un sistema di monitoraggio per rilevare attività anomale e revisiona regolarmente i log per garantire la conformità e la sicurezza.

Il logging delle operazioni nei database è una componente critica della gestione della sicurezza e della conformità dei dati. Seguendo le best practice e aderendo agli standard riconosciuti, è possibile garantire un’adeguata protezione dei dati e prevenire accessi non autorizzati o manipolazioni malintenzionate.

Se hai bisogno di ulteriori informazioni su come implementare un sistema di logging efficace o su altri aspetti della sicurezza dei dati, contatta il nostro team di esperti di LBIT. Siamo qui per aiutarti a proteggere e gestire i tuoi dati con integrità e sicurezza.




Proteggi la Tua Azienda: I Protocolli di Sicurezza Email Essenziali per il 2024

Protocolli Fondamentali per la Sicurezza Email nel 2024

Nel mondo della sicurezza delle email, vari protocolli sono progettati per assicurare l’autenticità, l’integrità e la confidenzialità delle comunicazioni. Questi strumenti sono fondamentali per proteggere le informazioni scambiate tramite email, un mezzo di comunicazione ampiamente utilizzato sia in ambito professionale che personale.

SMTP e l’Estensione STARTTLS

SMTP (Simple Mail Transfer Protocol) è il protocollo standard utilizzato per inviare e ricevere email. Originariamente, non includeva meccanismi di autenticazione o sicurezza integrati. Molte implementazioni di SMTP utilizzano ora l’estensione STARTTLS, che permette di crittografare le comunicazioni tra i server di posta elettronica, aumentando la sicurezza dei dati scambiati.

SSL/TLS per una Connessione Sicura

SSL (Secure Sockets Layer) e TLS (Transport Layer Security) sono protocolli crittografici che garantiscono la riservatezza e l’integrità delle comunicazioni tra client e server. Utilizzando STARTTLS, è possibile attivare una connessione sicura SSL/TLS durante la trasmissione delle email. È importante notare che, a causa di vulnerabilità di sicurezza, SSL è considerato obsoleto e si raccomanda l’uso di TLS, preferibilmente nella versione 1.3, per una maggiore sicurezza.

PGP/GPG e S/MIME per la Crittografia End-to-End

PGP (Pretty Good Privacy) e GPG (GNU Privacy Guard) sono protocolli di crittografia end-to-end che permettono di cifrare e decifrare i contenuti delle email, proteggendo il contenuto delle comunicazioni durante la trasmissione. S/MIME (Secure/Multipurpose Internet Mail Extensions) utilizza certificati digitali per firmare e cifrare i messaggi email, garantendo così la loro riservatezza e autenticità.

Importanza del DNSSEC

Anche se non direttamente collegato alle email, DNSSEC (Domain Name System Security Extensions) è fondamentale per la sicurezza dei protocolli di autenticazione email come SPF, DKIM e DMARC. DNSSEC previene gli attacchi di spoofing assicurando l’integrità delle informazioni DNS.

Controlli di Autenticazione: SPF, DKIM e DMARC

SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) sono protocolli che giocano ruoli cruciali nella verifica dell’autenticità e integrità delle email, aiutando le organizzazioni a proteggersi dagli attacchi via email come lo spam, il phishing e lo spoofing.

Conclusione

L’implementazione corretta di questi protocolli è cruciale per garantire una comunicazione email sicura. In un’era digitale dove la sicurezza delle informazioni è più importante che mai, la conoscenza e l’applicazione di questi strumenti è essenziale per la protezione della propria infrastruttura di comunicazione.




Crittografia, Codifica e Hashing: La Protezione dei Dati dall’Antica Roma ai Giorni Nostri

Differenza tra Crittografia, Codifica e Hashing in Informatica

Introduzione Storica

La storia della protezione delle informazioni risale a tempi antichissimi. Nell’antica Roma, Giulio Cesare inventò il famoso “Cifrario di Cesare” per proteggere i messaggi militari. Questo metodo consisteva nello spostare ogni lettera del messaggio di un certo numero di posizioni nell’alfabeto. Ad esempio, con uno spostamento di tre posizioni, la lettera “A” diventava “D”, “B” diventava “E” e così via. Questo semplice metodo di crittografia garantiva che solo coloro che conoscevano il “segreto” potessero comprendere il messaggio.

Durante la Seconda Guerra Mondiale, i nazisti svilupparono sistemi di cifratura molto più complessi, come la macchina Enigma. La crittografia giocò un ruolo cruciale nel conflitto, e il lavoro di crittoanalisti come Alan Turing fu determinante nel decifrare i messaggi cifrati tedeschi, contribuendo significativamente alla vittoria degli Alleati.

Oggi, con l’avvento della tecnologia digitale, la protezione delle informazioni è diventata ancora più cruciale. Gli strumenti utilizzati per garantire la sicurezza dei dati sono diventati più sofisticati, comprendendo crittografia, codifica e hashing. Vediamo ora in dettaglio cosa sono e come si differenziano queste tecnologie.

Crittografia

Cosa è la Crittografia?

La crittografia è il processo di proteggere le informazioni trasformandole in un formato illeggibile per chiunque non disponga della chiave per decifrarle. Lo scopo principale della crittografia è garantire la riservatezza dei dati, assicurandosi che solo le parti autorizzate possano accedervi.

Storia della Crittografia

La crittografia ha una lunga storia, che risale all’antica Roma con il Cifrario di Cesare. Durante la Seconda Guerra Mondiale, la macchina Enigma rappresentò un avanzamento significativo, utilizzando rotori elettromeccanici per cifrare i messaggi. Con l’avvento dei computer, la crittografia si è evoluta ulteriormente, introducendo algoritmi complessi come RSA, AES e altri, che sono alla base della sicurezza informatica moderna.

Ambiti di Applicazione

La crittografia è utilizzata in molteplici ambiti, tra cui:

  • Sicurezza delle comunicazioni: Protezione delle email, messaggi e chiamate.
  • Sicurezza dei dati: Protezione dei dati memorizzati, come file su un disco rigido.
  • Autenticazione: Verifica dell’identità degli utenti e dispositivi.
  • Integrità dei dati: Assicurare che i dati non siano stati alterati.

Vantaggi e Svantaggi

Vantaggi:

  • Garantisce la riservatezza e l’integrità dei dati.
  • Protegge le informazioni sensibili da accessi non autorizzati.

Svantaggi:

  • Può essere complessa da implementare correttamente.
  • Richiede la gestione sicura delle chiavi crittografiche.

Codifica

Cosa è la Codifica?

La codifica è il processo di trasformazione dei dati in un altro formato utilizzando uno schema noto, in modo che possano essere facilmente trasmessi o memorizzati. A differenza della crittografia, la codifica non è progettata per proteggere la riservatezza dei dati, ma per garantire che essi siano leggibili in diversi contesti.

Storia della Codifica

La storia della codifica è strettamente legata alla storia delle telecomunicazioni e della trasmissione dei dati. Uno dei primi esempi è il codice Morse, sviluppato nel XIX secolo per la telegrafia. Con l’avvento dei computer, sono stati sviluppati schemi di codifica come ASCII e Unicode per rappresentare i caratteri testuali.

Ambiti di Applicazione

La codifica è utilizzata in vari ambiti, tra cui:

  • Trasmissione dei dati: Garantire che i dati siano trasmessi correttamente tra dispositivi.
  • Memorizzazione dei dati: Assicurare che i dati possano essere correttamente letti e scritti su diversi supporti.
  • Compressione dei dati: Ridurre la dimensione dei dati per una trasmissione o memorizzazione più efficiente.

Vantaggi e Svantaggi

Vantaggi:

  • Facilita la trasmissione e la memorizzazione dei dati.
  • Standardizza la rappresentazione dei dati, rendendoli interoperabili tra diversi sistemi.

Svantaggi:

  • Non garantisce la riservatezza dei dati.
  • Può essere soggetta a errori di interpretazione se non implementata correttamente.

Hashing

Cosa è l’Hashing?

L’hashing è il processo di trasformazione dei dati in una stringa di lunghezza fissa, chiamata hash, utilizzando una funzione di hash. Gli hash sono comunemente utilizzati per verificare l’integrità dei dati, poiché una piccola modifica nei dati originali produrrà un hash completamente diverso.

Storia dell’Hashing

Le funzioni di hash sono state sviluppate con l’avvento dei computer per risolvere problemi di ricerca e ordinamento nei database. Negli anni ’70 e ’80, con lo sviluppo della crittografia moderna, le funzioni di hash crittografiche come MD5 e SHA-1 sono diventate strumenti essenziali per la sicurezza informatica.

Ambiti di Applicazione

L’hashing è utilizzato in molti ambiti, tra cui:

  • Verifica dell’integrità dei dati: Assicurare che i dati non siano stati alterati.
  • Memorizzazione sicura delle password: Protezione delle password memorizzate nei database.
  • Generazione di firme digitali: Autenticazione e verifica dell’integrità dei messaggi.

Vantaggi e Svantaggi

Vantaggi:

  • Garantisce l’integrità dei dati.
  • Trasforma i dati in un formato di lunghezza fissa, facilitando la gestione.

Svantaggi:

  • Gli hash sono irreversibili, quindi i dati originali non possono essere recuperati dall’hash.
  • Le collisioni di hash (due input diversi che producono lo stesso hash) possono compromettere la sicurezza.

Esempi Pratici e Confronto

Crittografia vs Codifica vs Hashing

  1. Protezione delle Email:
    • Crittografia: Utilizzata per proteggere il contenuto delle email, garantendo che solo il destinatario possa leggerlo.
    • Codifica: Utilizzata per rappresentare il testo delle email in un formato standard, come Base64, per la trasmissione.
    • Hashing: Utilizzato per verificare l’integrità delle email, assicurandosi che non siano state alterate durante la trasmissione.
  2. Sicurezza delle Password:
    • Crittografia: Non ideale per memorizzare password, poiché le chiavi crittografiche devono essere protette.
    • Codifica: Non adatta per la sicurezza delle password, poiché è facilmente reversibile.
    • Hashing: Utilizzato per memorizzare password in modo sicuro, poiché l’hash è irreversibile e una modifica nei dati produce un hash diverso.
  3. Verifica dell’Integrità dei File:
    • Crittografia: Non utilizzata per questo scopo.
    • Codifica: Non utilizzata per questo scopo.
    • Hashing: Utilizzato per generare un hash del file, che può essere confrontato con l’hash originale per verificare l’integrità.

In conclusione, crittografia, codifica e hashing sono tre tecnologie distinte con scopi differenti. La crittografia è utilizzata per proteggere la riservatezza dei dati, la codifica per garantire la leggibilità dei dati e l’hashing per verificare l’integrità dei dati. La scelta della tecnologia dipende dal contesto e dagli obiettivi specifici di sicurezza e funzionalità.




Seneca, Focault e le reti informatiche

L’Evoluzione delle Reti Informatiche e i loro Impatti sulla Società Contemporanea

Negli ultimi decenni, le reti informatiche e la comunicazione digitale hanno rivoluzionato il modo in cui viviamo, lavoriamo e interagiamo. Questi cambiamenti hanno portato con sé enormi vantaggi, ma anche sfide significative. In questo articolo esploreremo le competenze acquisite in questo campo e analizzeremo i vari aspetti delle reti informatiche, compresi i benefici, le problematiche e le implicazioni etiche.

Soltanto 15 anni fa aumentare il proprio sapere richiedeva tempo e risorse considerevoli. Le fonti di informazione spaziavano dalle enciclopedie, alle riviste specializzate, ai documentari. Leggere un giornale, ad esempio, significava recarsi in edicola, acquistare il quotidiano e sfogliare le pagine per trovare gli articoli di interesse. Queste attività diventavano spesso una bella abitudine, insieme al caffè al bar per leggere il quotidiano stesso.

Oggi, tutto è cambiato. L’informazione ci piove addosso come l’acqua durante un temporale. La grande sfida è riuscire a selezionare solo ciò che è importante e interessante per noi, evitando l’inquinamento informativo che può distorcere il nostro sapere, il nostro modo di pensare e il nostro punto di vista. La quantità di informazioni non corrisponde necessariamente alla qualità dei contenuti, anzi spesso accade il contrario.

Benefici e Problematiche delle Reti Informatiche

Nonostante queste sfide, se sfruttate a nostro favore, le reti informatiche possono produrre immense ricchezze e importanti benefici. Uno di questi è lo smart working. Il lavoro da remoto, esploso durante gli anni della pandemia, ha ridotto drasticamente il traffico nelle strade, ad esempio, e di conseguenza l’inquinamento. Questo ha generato effetti positivi non solo per noi, ma anche per la natura. Ha ridotto, infatti, i rischi di incidenti, i costi per il mantenimento dei veicoli o degli abbonamenti dei mezzi pubblici e ha migliorato la qualità dell’alimentazione, poiché possiamo curare la scelta dei cibi sin dall’acquisto e dalla preparazione. Da ultimo, ma non meno importante, è il risparmio di tempo, un tempo che possiamo dedicare a noi stessi.

Oltre ai numerosi vantaggi fisici, le reti informatiche portano anche benefici a livello di crescita individuale. La possibilità di comunicare con persone dislocate in diversi punti del mondo senza doversi spostare è un enorme vantaggio. Possiamo confrontarci su temi importanti sia sui social network che attraverso strumenti di collaborazione o di videochiamata. Tuttavia, il risultato di tali interazioni dipende dall’educazione digitale del singolo individuo. Un uso inappropriato o superficiale degli strumenti di condivisione può portare alla diffusione di fake news e alla crescita dell’intolleranza verso le differenze. Nella sua libertà, infatti, internet non è regolamentato, consentendo anche comportamenti estremi.

Le notizie false sono create appositamente per indirizzare il pensiero delle masse verso un obiettivo preciso, che sia migliorare l’immagine di un politico, creare l’illusione di un’emergenza o divulgare false soluzioni a problemi reali per ottenere denaro o potere. In questo contesto è nato il mestiere del debunker, ossia di chi che verifica e smentisce le notizie false per evitare l’inquinamento del pensiero altrui, soprattutto di coloro che hanno meno strumenti per approfondire. Altri gravi problemi sono il revenge porn, il cyberbullismo, il sexting minorile e altre forme di violenza digitale.

Un altro lato negativo della possibilità di gestire la propria vita dal divano è la mancanza di rapporto umano. Il confronto diretto, che a volte è obbligatorio e ci permette di discutere e apprendere lezioni preziose, rischia di venire meno. Questo può produrre individui egoisti e arrabbiati, che sfogano le loro frustrazioni sulla tastiera, diventando i famosi “leoni da tastiera” che trascorrono il loro tempo a diffondere intolleranza e informazioni non verificate.

Benefici delle Reti Informatiche

Nonostante i lati negativi, le reti informatiche offrono numerosi vantaggi. Gli strumenti di collaborazione consentono di sviluppare idee e progetti molto più velocemente, riunire gli affetti lontani, diffondere informazioni tra attivisti e divulgare la scienza. Wikipedia, ad esempio, è la più grande enciclopedia gratuita e accessibile al mondo, un luogo dove iniziare le proprie ricerche. La digitalizzazione ha portato governi, aziende e attività di vicinato online, rendendo più semplice e veloce interagire con loro, migliorando i servizi offerti e facilitando l’accesso a prodotti e servizi.

Il mondo degli e-commerce è ormai alla portata di tutti. La piccola attività del paese meno noto può scoprire di avere un mercato dall’altra parte del mondo. In alcuni casi, internet e la velocità delle informazioni rappresentano un giubbotto di salvataggio; in altri, una fonte di ricchezza. Tuttavia, come per tutto ciò che corre veloce, tanto veloce è possibile salvarsi quanto cadere e distruggere.

L’Importanza dell’Educazione Digitale

L’educazione digitale è un processo necessario che deve seguire tutto il percorso educativo di ogni singolo individuo, così come il suo percorso formativo. In un’epoca in cui le informazioni sono accessibili in modo immediato e massiccio, è essenziale sviluppare la capacità di discernimento e un forte senso critico. Questo non solo ci proteggerà dalle insidie della disinformazione, ma ci permetterà anche di sfruttare appieno le opportunità offerte dalla digitalizzazione.

Riflessioni Filosofiche sulla Felicità e il Potere

Nell’antica Roma, il filosofo Seneca sosteneva che la felicità non dipendesse dalle circostanze esterne, ma dalla nostra capacità di coltivare la virtù e vivere secondo ragione. Nella società odierna, sovraccarica di informazioni, la saggezza di Seneca ci ricorda che il benessere e la felicità derivano da un uso ponderato delle nostre risorse digitali. Non è la quantità di informazioni che possediamo a renderci felici, ma la qualità del nostro discernimento e la capacità di focalizzarci su ciò che è veramente significativo.

D’altra parte, il filosofo francese Michel Foucault ha esplorato come il potere si manifesta e si esercita attraverso le strutture sociali e le pratiche discorsive. Nella nostra era digitale, il potere si esprime attraverso il controllo delle informazioni. Chi controlla le reti informatiche e i flussi di dati ha la capacità di influenzare opinioni, comportamenti e decisioni. Le fake news, la sorveglianza di massa e la manipolazione dei dati sono tutte forme moderne di esercizio del potere che Foucault avrebbe riconosciuto come strumenti di controllo sociale.

In conclusione, le reti informatiche hanno trasformato il nostro mondo in modi che solo pochi decenni fa erano impensabili. Mentre ci offrono enormi vantaggi, presentano anche sfide significative. È compito di ciascuno di noi, come individui e come società, navigare queste acque con saggezza e responsabilità, per costruire un futuro digitale che sia inclusivo, sicuro e prospero per tutti. Attraverso l’educazione digitale e un uso consapevole della tecnologia, possiamo sperare di trovare un equilibrio tra l’accesso illimitato all’informazione e il mantenimento di un senso di benessere e giustizia sociale.




Windows 10 Servizio Smart Card sparito

Accendi il PC e misteriosamente il lettore di SMART CARD non viene più rilevato, in gestione periferiche lo vediamo correttamente. Un indizio è l’assenza del servizio smart card.

Per ripristinare il servizio sono sufficienti i seguenti passi:

Andare su CERCA vicino al logo di Windows e scrivere: REGEDIT.

Aperto l’editor del registro andare al seguente percorso:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardSvr

aggiungendo un nuovo DWORD32 con nome Start e valore 3

Il valore 3 sta per avvia automaticamente con il sistema.

Riavviare il computer e dopo il  servizio sarà di nuovo disponibile.




USA – Armi nei college e riconoscimento IA

Vittime delle armi da fuoco nelle scuole americane.

Le armi da fuoco sono incredibilmente diffuse negli Stati Uniti e rappresentano una minaccia significativa, specialmente nelle scuole. Nel 2021, il numero di persone decedute a causa di infortuni correlati alle armi da fuoco ha raggiunto il picco più alto mai registrato, con 48.830 vittime. Questo include sia omicidi che suicidi, con un tasso di 14,6 morti per 100.000 persone, il più alto dal primo decennio degli anni ’90, ma ancora al di sotto del picco di 16,3 morti per 100.000 persone nel 1974.

Il fenomeno delle sparatorie nelle scuole è particolarmente allarmante. Negli Stati Uniti, le sparatorie scolastiche sono 57 volte più frequenti rispetto ad altre nazioni ad alto reddito. Nel solo anno scolastico 2021-22, si sono verificate 327 sparatorie, un numero record che sottolinea la gravità del problema. Questi incidenti non solo causano morti e feriti, ma lasciano cicatrici psicologiche profonde nella comunità scolastica.

Località più pericolose.

Tra i luoghi più pericolosi per la violenza armata negli Stati Uniti, alcune città si distinguono per i loro alti tassi di omicidi correlati alle armi da fuoco. Città come St. Louis, MO; Birmingham, AL; Portsmouth, VA; Detroit, MI; e Memphis, TN hanno registrato tassi allarmanti di oltre 40 morti per 100.000 persone nel 2022. Queste statistiche rivelano una realtà inquietante e la necessità di interventi mirati per contrastare la violenza armata.

Intelligenza artificiale e rilevamento armi.

In questo contesto, il Distretto Scolastico della Comunità di Murray in Iowa ha preso una decisione proattiva per proteggere studenti e personale. L’implementazione di ZeroEyes, una piattaforma di rilevamento delle armi da fuoco basata sull’intelligenza artificiale, è un passo avanti nella prevenzione della violenza armata nelle scuole. Questo sistema, che ha ottenuto la Designazione SAFETY Act del Dipartimento della Sicurezza Interna degli Stati Uniti, si integra con le telecamere esistenti per fornire una consapevolezza situazionale intelligente. In caso di rilevamento di un’arma da fuoco, le immagini vengono inviate a un centro operativo gestito da veterani militari e forze dell’ordine, pronti ad allertare le autorità locali se la minaccia è confermata.

Il sovrintendente Tim Kuehl ha sottolineato l’importanza di questa iniziativa, affermando che la violenza legata alle armi da fuoco può verificarsi ovunque, indipendentemente dalle dimensioni della comunità. Con ZeroEyes, il distretto scolastico di Murray si impegna a garantire che il campus sia protetto dalle minacce legate alle armi da fuoco 24 ore su 24, 7 giorni su 7, aggiungendo un nuovo strato di sicurezza per rendere la comunità più sicura.

 

Fonti:

POWERSEARCH

STATISTA

THE GUARDIAN

EVERY TOWN SEARCH




Hacking dei router con controllo remoto

 

Nel vasto e ombroso mondo del cybercrimine, gli attori delle minacce avanzate persistenti (APT) e i cybercriminali si muovono con destrezza, avvalendosi di sofisticati strati di anonimato forniti da proxy e VPN. Come spie in un romanzo di spionaggio, questi malintenzionati si celano dietro un velo di segretezza, rendendo arduo il compito di chi cerca di svelare le loro trame nefaste. Il loro obiettivo è chiaro: operare indisturbati, mescolando traffico internet dannoso con intenti di lucro e spionaggio.

Immaginate un botnet, una rete di dispositivi infettati, che dal 2016 ha tessuto la sua tela nell’ombra, utilizzando dispositivi Ubiquiti EdgeRouter compromessi. Questa rete è stata un campo di battaglia per l’FBI e alleati internazionali, che il 26 gennaio 2024 hanno messo fine a questa minaccia. Ma prima di questo epilogo, nel aprile 2022, il gruppo APT noto come Pawn Storm (alias APT28 o Forest Blizzard), ha messo le mani su questa rete, trasformandola in uno strumento per le sue oscure campagne di spionaggio.

Attraverso l’analisi dei dati telemetrici forniti da Trend Micro e altre fonti, è emerso un quadro inquietante: centinaia di router Ubiquiti EdgeRouter sono stati deviati dai loro scopi originari. Sono diventati strumenti per attacchi di forzatura SSH, fattorie di spam farmaceutico, riflettori SMB in attacchi di relay hash NTLMv2, proxy per credenziali rubate in siti di phishing, proxy multipurpose, macchine per il mining di criptovalute e lanciatori di e-mail di spear phishing. Un arsenale di strumenti malevoli, nascosto alla vista ma devastante nelle sue capacità di infiltrazione e distruzione.

Secondo quanto riportato dai ricercatori della società di sicurezza Trend Micro, la situazione è talvolta pacifica: gli hacker che mirano al profitto concedono alle spie accesso ai router già compromessi, in cambio di una certa somma. In altre situazioni, invece, gli hacker al servizio di gruppi di minacce avanzate, supportati dagli stati nazionali, prendono il controllo dei dispositivi precedentemente infettati da cybercriminali comuni. Ci sono persino casi in cui un dispositivo viene violato più volte da diversi gruppi di hacker. Il risultato è una sorta di mercato nero all’interno dei router e, in misura minore, dei dispositivi VPN e dei server virtuali privati forniti da società di hosting.

I ricercatori hanno recentemente rivelato che criminali informatici e spie di stato si stanno muovendo dietro le quinte, nascosti all’interno dei router di marche note. Utilizzando questi dispositivi come copertura, orchestrano una varietà di attacchi, sia per scopi finanziari che per operazioni di spionaggio strategico.

Secondo quanto riportato dai ricercatori della società di sicurezza Trend Micro, la situazione è talvolta pacifica: gli hacker che mirano al profitto concedono alle spie accesso ai router già compromessi, in cambio di una certa somma. In altre situazioni, invece, gli hacker al servizio di gruppi di minacce avanzate, supportati dagli stati nazionali, prendono il controllo dei dispositivi precedentemente infettati da cybercriminali comuni. Ci sono persino casi in cui un dispositivo viene violato più volte da diversi gruppi di hacker. Il risultato è una sorta di mercato nero all’interno dei router e, in misura minore, dei dispositivi VPN e dei server virtuali privati forniti da società di hosting.

I ricercatori di Trend Micro, Feike Hacquebord e Fernando Merces, hanno recentemente evidenziato un fenomeno inquietante nel mondo della cybersecurity. Criminali informatici e attori delle minacce persistenti avanzate (APT) stanno condividendo un interesse comune negli strati di anonimizzazione proxy e nei nodi della rete privata virtuale (VPN), al fine di mascherare le proprie attività malevole e rendere più difficile il loro rilevamento.

Un esempio concreto di questa tendenza è emerso nel caso di una rete composta principalmente da dispositivi EdgeRouter del produttore Ubiquiti. L’FBI ha scoperto che questa rete era stata infettata da un gruppo sostenuto dal Cremlino, utilizzando i dispositivi come botnet per mascherare attacchi mirati a governi, militari e altre organizzazioni in tutto il mondo. In un curioso sviluppo, gli hacker russi hanno preso il controllo dei dispositivi già infettati da un malware noto come Moobot, originariamente installato da gruppi di minacce finanziariamente motivati non affiliati al governo russo. Questa situazione ha messo in luce la complessità delle interazioni tra diversi attori delle minacce nel panorama della sicurezza informatica.

Trend Micro ha osservato che Pawn Storm, uno dei nomi noti associati a questa rete di criminalità informatica, stava utilizzando la botnet dirottata per svolgere un duplice ruolo: da un lato, fungeva da proxy per gli accessi utilizzando credenziali di account rubate; dall’altro, supportava gli attacchi sfruttando una vulnerabilità zero-day critica in Microsoft Exchange, che non è stata risolta fino a marzo 2023. Questi attacchi miravano a ottenere l’hash crittografico delle password di Outlook degli utenti, consentendo agli hacker di eseguire un attacco di relay hash NTLMv2 e instradare gli accessi agli account utente attraverso la botnet.

Ma la storia non finisce qui. Trend Micro ha rivelato che la stessa botnet veniva utilizzata anche per inviare spam con temi farmaceutici, oltre che per installare il malware noto come Ngioweb su altri dispositivi compromessi. Questo malware, scoperto per la prima volta nel 2019, mirava a fornire proxy per instradare le attività online attraverso una serie di indirizzi IP in continuo cambiamento, principalmente situati negli Stati Uniti. Ciò dimostra la complessità delle operazioni condotte da gruppi come Pawn Storm, che sfruttano una varietà di risorse per i propri scopi criminali.

 

Il team di Trend Micro scrive questo:

 

In the specific case of the compromised Ubiquiti EdgeRouters, we observed that a botnet operator has been installing backdoored SSH servers and a suite of scripts on the compromised devices for years without much attention from the security industry, allowing persistent access. Another threat actor installed the Ngioweb malware that runs only in memory to add the bots to a commercially available residential proxy botnet. Pawn Storm most likely easily brute forced the credentials of the backdoored SSH servers and thus gained access to a pool of EdgeRouter devices they could abuse for various purposes.

https://www.trendmicro.com/fr_fr/research/24/e/router-roulette.html

 

Nel caso specifico dei router Ubiquiti EdgeRouter compromessi, abbiamo osservato che un operatore di botnet ha installato server SSH con backdoor e una suite di script sui dispositivi compromessi per anni senza molta attenzione da parte dell’industria della sicurezza, consentendo un accesso persistente. Un altro attore minaccia ha installato il malware Ngioweb, che funziona solo in memoria, per aggiungere i bot a una botnet proxy residenziale disponibile in commercio. Pawn Storm molto probabilmente ha facilmente forzato le credenziali dei server SSH con backdoor e ha quindi ottenuto accesso a un pool di dispositivi EdgeRouter che poteva abusare per vari scopi.

La situazione è resa ancora più intricata dalla scoperta che i dispositivi EdgeRouter compromessi erano stati infettati da diversi gruppi di minacce, compresi quelli finanziariamente motivati e quelli supportati da stati nazionali, oltre a Pawn Storm. Questo evidenzia la corsa in corso tra più gruppi di minacce per stabilire posti di ascolto segreti all’interno dei router, creando una situazione di estrema complessità per gli esperti di sicurezza informatica.

Sebbene l’operazione dell’FBI abbia rappresentato un importante colpo per l’infrastruttura su cui si basava Pawn Storm, i limiti legali hanno impedito di prevenire completamente la reinfezione. Inoltre, la botnet comprendeva anche server pubblici virtuali e dispositivi Raspberry Pi, che sono rimasti intatti dall’azione dell’FBI, garantendo a Pawn Storm un accesso persistente a numerosi altri asset compromessi.

In definitiva, il caso dei router Ubiquiti EdgeRouter compromessi illustra la complessità e l’interconnessione delle minacce informatiche moderne, che coinvolgono attori di varia natura e motivazioni. La situazione richiede una risposta integrata e coordinata da parte della comunità della sicurezza informatica, al fine di contrastare efficacemente questa crescente minaccia alla sicurezza digitale.




Nagios export hostname address

Oggi mi sono imbattuto nell’esigenza di dover esportare gli hostname e gli IP da un server di monitoraggio Nagios, nello specifico Ground Work Monitor (GWOS).

La bash è nostra amica e con una serie di “sed” ci portiamo a casa un output ben formattato:

grep 'host_name|address' hosts.cfg |sed -e 's/t//g' -e 's/host_name/host_namex: /g' -e 's/ddress/ddress: /g'|sed -e :a -e '$!N;s/n[^host]/ a/;ta' -e 'P;D'




Vuoi aprire o stai per aprire uno shop on line?

8 consigli utili per evitare gli errori che potrebbero costarti caro!

 

Il boom delle vendite on line non è finito con la pandemia, ma ha determinato il cambiamento di abitudini dei consumatori. Solo nel 2021 l’aumento registrato è stato del 68%!
Molte aziende possono incrementare le loro vendite con l’apertura di un e-commerce.
Vediamo però insieme quali sono le trappole e gli errori che si nascondono dietro la non corretta valutazione del progetto.

 

1) Il più comune: affidarsi a chi si improvvisa. Andare per tentativi, tramite il cugggino, o il vicino che è bravino col computer, vi costerà in termini di tempo e danno di immagine. Avere un e-commerce che non funziona o funziona male è il modo migliore per presentarsi come venditore inaffidabile. Selezionate professionisti con esperienza nel settore.

 

2) Creare un assortimento “minestrone della valle degli orti”. Alcune persone pensano di buttare dentro il proprio e-commerce diverse categorie senza un progetto reale. Si parte ad esempio dai prodotti per bambini, passando per la bigiotteria creata dalla sorella e la compagna di banco, per finire con avanzi di magazzino di un amico che vende elettrodomestici. Scegliete con cura il settore, i prodotti e l’identità che volete dare all’azienda.

 

3) Utilizzare foto e immagini di pessima qualità. E’ un errore che compromette l’aspetto del sito e quindi rende poco gradevole la navigazione e certamente allontana la vendita. Esistono molte risorse per i siti aziendali, gratuite o a pagamento. Faranno la differenza.  Valutate anche la possibilità di contattare un grafico e un  fotografo commerciale per i prodotti.

 

4) Avere schede prodotto prive di contenuti essenziali. Qualche esempio: omettere formule INCI dei cosmetici, le misure di elementi d’arredo, le certificazioni, ingredienti e allergeni dei prodotti alimentari.  Inutile dire che l’utente che non trova le informazioni, abbandona il carrello e acquista altrove. Scrivete tutto ciò che è essenziale per presentare e vendere il prodotto.

 

5) Nascondere contatti, elementi identificativi e dati obbligatori per legge. Mi è capitato di vedere diverse volte siti che non avevano partita iva in home page o con i contatti telefonici nascosti. Prestate la massima attenzione a tutti gli aspetti legali del sito e presentatevi con la massima trasparenza.

 

6) Pensare che si possa gestire nel tempo libero. Un e-commerce richiede tempo e tutte le risorse necessarie per funzionare bene. Un’assistenza clienti adeguata, una particolare attenzione alla logistica, un aspetto grafico curato, testi di descrizione e contenuti, conoscenza, adeguamento e rispetto della normativa, marketing….Investite in formazione e affidatevi a professionisti.

 


7) Fermarsi e sedersi una volta terminato. Alcune persone sono convinte che terminata la realizzazione del sito, inseriti grafica, testi e prodotti, ci si possa fermare e attendere le vendite.   E’ l’errore di valutazione più comune che vanifica tutto il lavoro svolto. Un shop on line non va avanti da solo. E’ bene esserne consapevoli fin dall’inizio.

 

8) Alla bersagliera. Spesso si parte con l’idea del “più ce n’è meglio è”. Allora tutto dentro: blog, profili Instagram, Facebook, Twitter, Pinterest, poi Whatsapp, TelegramSe poi manca la competenza e/o il tempo per la creazione dei contenuti, è certo il risultato finale. Scegli i social e i canali di comunicazione più adatti al tuo brand e al tuo target. Se non hai le competenze contatta un social media manager.




Client LDAP CentoOS/RHEL 8

Da tempo orami CentOS, ovvero “Community ENTerprise Operating System”, è alla versione 8 in upstream mode, dunque anche RHEL “Red Hat Entrprise Linux” è alla medesima versione.

Vediamo nell’articolo come integrare un server CentOS 8 o RHEL 8 con OpenLDAP per abilitarlo ad accedervi con autenticazione centralizzata. Tra le prime cose che notiamo “sparisce” nscd in favore di SSSD.

SSSDè l’acronimo di  System Security Services Daemon  (link: https://sssd.io/), ovvero il demone dei servizi di sicurezza del sistema, un software originariamente sviluppato per il sistema operativo Linux che fornisce un set di demoni per gestire l’accesso ai servizi di directory services e ai meccanismi di autenticazione. Gli inizi di SSSD risiedono nel progetto software open-source FreeIPA (Identity, Policy and Audit).

Aggiornare il sistema tramite dnf o yum

Per prima cosa bisogna aggiornare il sistema operativo, per farlo, usare i seguenti comandi:

dnf update -y
oppure
yum update -y

Installazione SSSD su CentOS/RHEL 8

Dopo che l’aggiornamento è andato a buon fine installare SSSD e gli SSSD tools.

dnf install sssd sssd-tools -y
oppure
yum install sssd sssd-tools -y

Configurazione SSSD per autenticazione OpenLDAP su CentOS/RHEL 8

Prossimo passo è configurare SSSD per abilitare l’autenticazione OpenLDAP sul sistema locale.

SSSD non usa una sua configurazione di default, il file quindi non esisterà, crearne uno manualmente:

vim /etc/sssd/sssd.conf

Copiare il contenuto seguente nel file sssd.conf. Assicuriamoci di aver sostituito i parametri con i valori corretti del nostro ambiente.

[sssd]
services = nss, pam, sudo
config_file_version = 2
domains = default

[sudo]

[nss]

[pam]
offline_credentials_expiration = 60

[domain/default]
ldap_id_use_start_tls = True
cache_credentials = True
ldap_search_base = dc=ldap,dc=acme,dc=com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
access_provider = ldap
sudo_provider = ldap
ldap_uri = ldap://ad.acme.com
ldap_default_bind_dn = cn=readonly,ou=system,dc=ldap,dc=acme,dc=com
ldap_default_authtok = hjsd4Rtsd
ldap_tls_reqcert = demand
ldap_tls_cacert = /etc/openldap/cacerts/ca.cert.pem
ldap_tls_cacertdir = /etc/openldap/cacerts/
ldap_search_timeout = 50
ldap_network_timeout = 60
ldap_sudo_search_base = ou=SUDOers,dc=ldap,dc=acme,dc=com
ldap_access_order = filter
ldap_access_filter = (objectClass=posixAccount)

Salvare ed uscire dal file. Nota che abbiamo anche configurato il nostro server OpenLDAP per fornire i diritti sudo come mostrato dalle configurazioni;

services = nss, pam, sudo
...

[sudo]
...

ldap_sudo_search_base = ou=SUDOers,dc=acme,dc=com

Se non usi OpenLDAP per le regole di sudo, puoi rimuovere queste configurazioni.

ldap_tls_cacert nel file sssd.conf sopra.

Ora scarica il certificato CA del server OpenLDAP e salvalo nel file specificato dalla direttiva  ldap_tls_cacert del file sssd.conf.

openssl s_client -connect ldap.acme.com:636 -showcerts < /dev/null | openssl x509 -text

copia il certificato ed incollalo nel file /etc/openldap/cacerts/ca.cert.pem.

vim /etc/openldap/cacerts/ca.cert.pem
-----BEGIN CERTIFICATE-----
MIIFxzCCA6+gAwIBAgIUV+l4aOvMCLlNQRKOpt9YfxcxA8MwDQYJKoZIhvcNAQEL
BQAwczELMAkGA1UEBhMCS0UxEDAOBgNVBAgMB05haXJvYmkxDDAKBgNVBAcMA05h
...
...
5deiMlJkrYv7wZ0prq0QO5lduGBuD9UJvRa8LBV0GEAiHZL5PJOnREHObbAH907E
eixIJpkcC4wguMaXDNqIv6WGdQtRUyIP8tdByXYJGrbRW0K/K9qEaIZhJiAES1Qy
8U96RdYBpLvDctRch1kIfvnAVffTxmObAGI9n64O89p48kocJwNI/XQNRg==
-----END CERTIFICATE-----

Ora apriamo il file /etc/openldap/ldap.conf e configuriamo le linee seguenti:

vim /etc/openldap/ldap.conf

Fondamentalmente, devi definire la posizione del certificato CA, la base di ricerca OpenLDAP, l’URI e se stai fornendo le direttive SUDO tramite OpenLDAP anche la base SUDOers.

BASE    dc=ldap,dc=acme,dc=com
URI     ldaps://ldap.acme.com:636
SUDOERS_BASE    ou=SUDOers,dc=ldap,dc=acme,dc=com
...
...
TLS_CACERT      /etc/openldap/cacerts/ca.cert.pem
...

Salva ed esci dal file di configurazione.

Configurare il Name Service Switch e PAM su CentOS/RHEL 8

Successivamente, è necessario aggiornare NSS e PAM per utilizzare SSSD per gestire le risorse di autenticazione

Nelle precedenti versioni di  CentOS potevamo usare il tool authconfig ma è stato sostituito da authselect.

Authselect è un’utilità che semplifica la configurazione dell’autenticazione dell’utente, soprattutto durante l’utilizzo dell’SSSD.

Configurare il profilo SSSD.

Il comando Authselect quando viene utilizzato per creare un profilo SSSD modificherà i seguenti file:

  • /etc/pam.d/system-auth
  • /etc/pam.d/password-auth
  • /etc/pam.d/fingerprint-auth
  • /etc/pam.d/smartcard-auth
  • /etc/pam.d/postlogin
  • /etc/nsswitch.conf

Pertanto, esegui un backup di questi file nel caso in cui le cose non funzionino. Dopo aver salvato il backup di questi file rimuovili in modo che il comando successivo li possa ricostruire.

Crea un profilo SSSD. Questo comando avrà esito positivo solo se hai rimosso i file sopra.

authselect select sssd

In caso contrario, puoi sovrascrivere i file aggiungendo l’opzione  --force.

authselect select sssd --force
Backup stored at /var/lib/authselect/backups/2022-03-23-11-52-12.yMO4TA
Profile "sssd" was selected.
The following nsswitch maps are overwritten by the profile:
- passwd
- group
- netgroup
- automount
- services

Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.

Quindi, affinché il sistema possa recuperare i diritti sudo da SSSD/OpenLDAP modifica il file /etc/nsswitch.conf inserendo la riga seguente:

echo "sudoers:    files sss" >> /etc/nsswitch.conf

Configurae la creazione automatica della Home Directory

 

Per abilitare la creazione automatica della home directory al primo accesso dobbiamo installare oddjob-mkhomedir il quale fornisce il modulo pam_oddjob_mkhomedir.

dnf install oddjob-mkhomedir -y
o
yum install oddjob-mkhomedir -y

Avviare oddjobd ed inserirlo per essere avviato allo start del sistema

systemctl enable --now oddjobd

Carica il modulo pam_oddjob_mkhomedir nel file di autenticazione PAM /etc/pam.d/system-auth  per abilitare la creazione automatica della home directory.

echo "session optional pam_oddjob_mkhomedir.so skel=/etc/skel/ umask=0022" >> /etc/pam.d/system-auth

Restart oddjobd.

systemctl restart oddjobd

Running SSSD

Before you can start SSSD, you need to check configuration for any typos or permissions;

Prima di avviare SSSD verifica che la confiugrazione non abbia errori nei file o permessi sbagliati:

sssctl config-check
File ownership and permissions check failed. Expected root:root and 0600.

Come suggerisce l’output diamo l’accesso in read/write (600) al file  /etc/sssd/ al solo proprietario del file (root).

chown -R root: /etc/sssd
chmod 600 -R /etc/sssd

La configurazione è ora corretta, possiamo impostare SSSD per essere avviato al boot.

systemctl enable --now sssd

Controliamo lo stato

systemctl status sssd
● sssd.service - System Security Services Daemon
   Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
   Active: active (running) since Sun 2019-12-08 16:57:07 EAT; 42min ago
 Main PID: 779 (sssd)
    Tasks: 3 (limit: 5073)
   Memory: 60.6M
   CGroup: /system.slice/sssd.service
           ├─779 /usr/sbin/sssd -i --logger=files
           ├─800 /usr/libexec/sssd/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files
           └─801 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files

Test autenticazione OpenLDAP via SSSD

Supponendo che tu abbia già creato i tuoi utenti e gruppi OpenLDAP, verifichiamo di poter accedere, prima di tutto, vediamo se  il tuo nome utente LDAP sul sistema venga riconosciuto con il comando id.

id domenico.tricarico

Dovresti ottenere una voce simile a;

uid=1002(domenico.tricarico) gid=1002(domenico.tricarico) groups=1002(sysadmin)

Se non riesci a trovare l’utente assicurati di controllare i log syslog e i log sssd. Altrimenti, puoi riavviare sssd

systemctl restart sssd

Controlla di nuovo l’utente con il comando  id.

Se tutto va bene, esegui un accesso ssh locale per testare l’autenticazione LDAP

ssh -l domenico.tricarico 127.0.0.1
oppure
ssh domenico.tricarico@127.0.0.1
The authenticity of host '127.0.0.1(::1)' can't be established.
ECDSA key fingerprint is SHA256:iMRNJQa8gU0t6fHx6nzmAU+ZygA/3J2BC6zzwzqfY4o.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '127.0.0.1' (ECDSA) to the list of known hosts.
domenico.tricarico@localhost's password: 
[domenico.tricarico@ldapserver ~]$ pwd
/home/domenico.tricarico

Verifica diritti sudo.

Innanzitutto, se hai assegnato all’utente i diritti sudo, puoi verificare eseguendo il comando seguente sul tuo server OpenLDAP:

export SUDOERS_BASE=ou=SUDOers,dc=ldap,dc=acme,dc=com
ldapsearch -b "$SUDOERS_BASE" -D cn=admin,dc=ldap,dc=acme,dc=com -W -x
...
# sudo, SUDOers, ldap.acme.com
dn: cn=sudo,ou=SUDOers,dc=ldap,dc=acme,dc=com
objectClass: top
objectClass: sudoRole
cn: sudo
sudoUser: domenico.tricarico
sudoHost: ALL
sudoRunAsUser: ALL
sudoCommand: ALL
...

Ora proviamo il sudo:

[domenico.tricarico@ldapserver ~]$ sudo su -
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for domenico.tricarico: Last login: Wed Mar 23 13:49:47 EAT 2022 from 172.16.0.15 on pts/0 [root@ldapserver ~]#