HackInBo Winter Edition si è concluso da una settimana e questo splendido evento riserva sempre grandi emozioni ma soprattutto sorprese! Mario ha annunciato una grande novità per l’edizione primaverile del 2019; HackInBoat il primo evento di Sicurezza Informatica in crociera grazie alla collaborazione di Costa Crocere.

Ma veniamo a noi, per l’edizione appena passata ho nuovamente creato una CTF Mobile con l’intento di far partecipare tutto il pubblico presente in sala evitando quindi di escludere chi viaggiava leggero senza computer. Il tema di questo CTF era la logica ad eccezione dell’ultimo step.

La CTF è iniziata circa alle 13, durante la mattina ero impegnato come relatore al Linux Day e appena arrivato a FICO ho avviato il Fake AP per far giocare il pubblico, la rete WiFi a cui collegarsi per giocare aveva SSID HackInBo_FreeBeer.

Alle 18 quando l’evento andava a concludersi purtroppo nessuno aveva concluso il CTF, così con Mario si è deciso di rilanciare la CTF assegnando anche un bellissimo premio. La CTF è quindi stata pubblicata online nella giornata di Domenica 28 Ottobre e il primo che la concludeva vinceva un biglietto per HackInBoat!

Classifica

Il vincitore è stato Nico di serhack.me che ha battuto il secondo classificato di quasi 15 minuti mentre bisogna attendere un ora per vedere la medaglia di bronzo. Dopo 5 giorni in totale 37 persone hanno concluso la CTF e con grande piacere noto la presenza di 3 ragazze!

La classica parzialmente offuscata comprensiva di orario è la seguente:

<br />
2018-10-28 10:56:56am - Nico - [email protected]<br />
2018-10-28 11:11:01am - Elia xxxx - [email protected]<br />
2018-10-28 12:10:18pm - Claudio xxxx - [email protected]<br />
2018-10-28 12:15:30pm - Simone xxxxxx - [email protected]<br />
2018-10-28 12:22:21pm - Luca xxxxx - [email protected]<br />
2018-10-28 12:37:56pm - Massimo xxxxx - [email protected]<br />
2018-10-28 12:41:07pm - Alfonso xxxxx - [email protected]<br />
2018-10-28 12:51:55pm - Fabio xxxxxx - [email protected]<br />
2018-10-28 01:00:42pm - Valentino xxxxx - [email protected]<br />
2018-10-28 01:04:13pm - Francesco xxxxx - [email protected]<br />
2018-10-28 01:04:30pm - Pietro xxxxxx - [email protected]<br />
2018-10-28 01:14:12pm - Alessandro xxxxx - [email protected]<br />
2018-10-28 01:17:18pm - Noemi xxxxxx - [email protected]<br />
2018-10-28 02:20:17pm - Andrea xxxxxx - [email protected]<br />
2018-10-28 02:51:14pm - Antonio Francesco xxxxx - [email protected]<br />
2018-10-28 03:29:22pm - Enrico xxxxx - [email protected]<br />
2018-10-28 03:29:48pm - Ciprian xxxx - [email protected]<br />
2018-10-28 03:47:28pm - Guillaume xxxxx - [email protected]<br />
2018-10-28 03:47:49pm - lucky - [email protected]<br />
2018-10-28 04:04:07pm - Silvia - [email protected]<br />
2018-10-28 04:11:49pm - jbz - [email protected]<br />
2018-10-28 05:27:48pm - Andrea xxxxx - [email protected]<br />
2018-10-28 07:30:20pm - Francesco xxxxxx - [email protected]<br />
2018-10-28 10:42:06pm - Davide xxxxxx - [email protected]<br />
2018-10-29 11:39:05am - Luigi xxxxx - [email protected]<br />
2018-10-29 11:40:26am - massimiliano xxxx - [email protected]<br />
2018-10-29 11:40:38am - Michael xxxxx - [email protected]<br />
2018-10-29 03:11:41pm - Paolo xxxx - [email protected]<br />
2018-10-30 11:36:09am - Alessandro xxxx - [email protected]<br />
2018-10-30 07:29:22pm - Yan xxxxx - [email protected]<br />
2018-10-31 04:00:11pm - andrei - [email protected]<br />
2018-10-31 04:01:45pm - Andrea xxxxx - [email protected]<br />
2018-10-31 04:05:11pm - Edoardo xxxxx - [email protected]<br />
2018-10-31 04:15:29pm - Chiara xxxxx - [email protected]<br />
2018-10-31 04:53:49pm - Alessandro xxxxxx - [email protected]<br />
2018-11-01 09:25:03am - Alessandro xxxxxx - [email protected]<br />
2018-11-01 08:56:24pm - mimmoozz - [email protected]</p>
<p>

 

 

Codice Sorgente

La CTF è Open Source ed è disponibile su GitHub, per chi vuole ancora giocare può farlo su http://hackinbo.itserver.me per i prossimi 15 giorni.

Da migliorare…

Sicuramente rispetto alla precedente edizioni non ho fatto il grosso errore di lasciare la directory git esposta, però mi sono reso conto che anche in questa edizione ho fatto qualche errore. In primis il sudoku che lo avevo ricercato con due possibili soluzioni ma realmente durante l’evento un utente mi ha segnalato la presenza di una terza soluzione che non avevo previsto. Chi ha giocato la domenica questo errore non lo ha riscontrato e nel repository trovate già la correzione. Il cruciverba infine ho capito che è stato veramente difficile, in tanti hanno pensato a Star Wars anziché Mr Robot; potevo aggiungere un’ulteriore lettera per facilitare i concorrenti.

Al HackInBoat personalmente non sarò presente, ma probabilmente si ripeterà la CTF in autunno del 2019 se qualcuno ha idee/suggerimenti che ben vengano!

RSS-Bridge è un progetto open source e gratuito sviluppato in PHP in grado di generare un feed RSS in diversi formati da siti Web che non ne hanno uno. Il progetto può essere ospitato su un proprio spazio web o è possibile sfruttare le diverse installazioni pubbliche ricercabili tramite Google; personalmente preferisco la prima soluzione così da poter aggiornare gli script in totale autonomia all’ultima versione disponibile (mediamente viene aggiornato ogni settimana).

RSS-Bridge è in grado di generare un feed da i seguenti portali:

  • Bandcamp
  • Cryptome
  • DansTonChat
  • DuckDuckGo
  • Facebook
  • FlickrExplore
  • GooglePlus
  • GoogleSearch
  • Identi.ca
  • Instagram
  • OpenClassrooms
  • Pinterest
  • ScmbBridge
  • ThePirateBay
  • Twitter
  • Wikipedia
  • YouTube

I più interessanti a mio avviso sono Facebook che permette di creare un feed di una pagina, di un profilo o di un gruppo pubblico! Instagram vista la recente esplosione di questo social network e Twitter. Il progetto è open quindi tutti possono integrarlo aggiungendo anche moduli personalizzati.

È possibile scaricare il sorgente tramite GitHub oppure se volete provarlo potete sfruttare l’installazione offerta da suumitsu.eu ma fate attenzione perché non è sempre aggiornata all’ultima release!

In alternativa a questo progetto gratuito per dovere di cronaca esistono altri due progetti commerciali:

  • Fetchrss.com: Supporta Twitter, Facebook, Instagram, YouTube, eBay e SoundCloud. Offre una versione gratuita con aggiornamenti ogni 24h e un massimo di 5 feed.
  • Podsync.net: Permette di generare gratuitamente un Feed da YouTube o Vimeo, pagando una quota mensile invece sarà in grado di estrapolare la parte audio dei video così da poter avere un feed compatibile per i Podcast.

Per quest’ultimo ringrazio i ragazzi di EasyPodcast per avermelo fatto conoscere.

Recentemente a seguito di una più crescente digitalizzazione si discute sempre più spesso di poter effettuare una votazione elettorale in maniera elettronica, alcuni stati probabilmente più tecnologicamente avanzati dell’Italia hanno già messo in pratica questo sistema elettorale ma sono già tornati sui loro passi preferendo l’amata matita. Per dovere di cronaca anche in Italia è stato fatto un goffo tentativo in Lombardia, ma era un referendum non ufficiale e i risvolti sono stati catastrofici sotto ogni punto di vista; ma qui voglio fare un discorso generico e scrivere la mia opinione personale.

Blockchain

Il voto digitale si associa spesso a questa avveniristica Blockchain (letteralmente catena di blocchi), ovvero un database distribuito resistente a manomissioni che mantiene in modo continuo una lista crescente di registri, i quali fanno riferimento a informazioni precedenti. Conosciamo la Blockchain grazie alla sua implementazione decentralizzata nei Bitcoin da parte di Satoshi Nakamoto, anche se realmente è un progetto che nasce negli anni ’90 nella crittografia.

La Blockchain deve essere implementata all’interno di un più vasto progetto, e ogni errore presente nel progetto può generare una vulnerabilità nell’intera infrastruttura. Lo scorso 20 Settembre un grave errore sul progetto Bitcoin è stato rilevato, il terzo con livello di gravità massima, dal 2010 ad oggi. Questo errore poteva bloccare irrimediabilmente l’intera infrastruttura. No, non sarebbe bastato un banale riavvio come oggi siamo abituati a fare sui nostri PC o Smartphone; fortunatamente la patch è arrivata prima della divulgazione della vulnerabilità e nessun attaccante ha potuto sfruttarla.

Ho volutamente riportato questo recente fatto per poter fare un paragone nel mondo reale, potete avere la miglior macchina del campionato automobilistico con l’ultimo ritrovato tecnologico in ambito di catena di distribuzione ma questo non vi garantirà di vincere il campionato mondiale. Vi sono tantissimi altri fattori importanti per poter competere nella leadership! L’aerodinamica, le gomme, ecc ecc senza dimenticare la fonte principale di errori…l’essere umano! Vero Vettel?! 🙂

Ribadisco spesso che il progetto della Blockchain è fantastico ma non dobbiamo pensare che sia una soluzione magica da applicare a qualsiasi progetto, non è sempre detto che essa sia la soluzione migliore. Un ottimo libro che vi permetterà di approfondire questi aspetti è “Hacking finance. La rivoluzione del bitcoin e della blockchain” di Francesco De Collibus e Raffaele Mauro!

La Blockchain è un bellissimo e valido progetto ma va implementata all’interno di un più vasto progetto, esso può introdurre vulnerabilità o errori.

Voto Digitale

Il voto digitale è indubbiamente affascinate, mi sono sempre chiesto cosa offre in più rispetto alla classica carta e matita che usiamo da tantissimi anni. Meno spreco di carta? Ni, sicuramente risparmieremo carta ma andremo a consumare più energia elettrica e a sfruttare altre materie prime per la produzione dei componenti elettronici. Spoglio più veloce? Ni, probabilmente è questo il motivo per cui si spinge verso l’implementazione digitale del voto ma non è assolutamente detto che lo spoglio sia più veloce! Vi basta ricordare che il referendum digitale della Lombardia ha avuto lo spoglio più lungo degli ultimi anni…10 giorni! :O :O

Il voto digitale è sicuro e fa figo!!!!!

No, i punti esclamativi non sono un errore. Il voto digitale ad oggi NON è sicuro! Per poter votare elettronicamente sono necessari dei dispositivi, detti Voting Machine, tutti identici che vengono distribuiti in tutti i seggi elettorali. Ad oggi non conosciamo alcun progetto elettronico privo di vulnerabilità, NESSUNO! Anche il recente aggiornamento degli iPhone, prodotto considerato tra i più sicuri al mondo, contiene un exploit scoperto dopo soli due giorni dal rilascio!

Avremo quindi decine di migliaia di scatole identiche potenzialmente vulnerabili a garanzia delle votazione elettorali di noi Italiani, distribuite in tutta Italia! Per compromettere la votazione di TUTTI i seggi basterà UNA vulnerabilità.

Immaginate di aver 50mila automobili prodotte da una nota casa produttrice in circolazione, tutte le auto prodotte vengono richiamate per un errore di produzione al sistema frenate che in una determinata condizione non applica la forza corretta sulle pinze allungando notevolmente i tempi di arresto. Finché le auto non verranno riparate avrete 50mila dispositivi insicuri in circolazione! Vi piace come paragone?

Per compromettere il voto digitale basterà UNA vulnerabilità che può essere usata su TUTTE le Voting Machine in maniera seriale/automatica.

Il voto cartaceo soffre di questa problematica? Esiste un metodo per compromettere il voto di TUTTI i seggi? No, la corruzione dell’essere umano può essere una vulnerabilità ma non esiste una organizzazione criminale che possa corrompere tutte le persone coinvolte in tutti i seggi Italiani. Chi riuscirebbe a corrompere decine di migliaia di persone con ideologie differenti?!

Capite la differenza? Con il voto elettronico basta trovare una vulnerabilità che diventa distribuibile a macchia d’olio in TUTTI i seggi, al contrario è impensabile corrompere tutti i seggi elettorali con l’attuale sistema.

Esiste quindi un sistema che ci permetta di velocizzare gli spogli?

Sì, è un sistema ibrido in cui l’elettore voterà digitalmente e la Voting Machine stamperà una scheda elettorale cartacea con la preferenza dell’utente. La scheda cartacea dovrà essere inserita nell’urna e seguirà la tradizionale procedura di spoglio mentre il voto digitale sarà digitalmente disponibile alla chiusura delle urne.

Ma è un sistema che ovviamente innalza i costi complessivi, oltre al personale tradizionale dovremo aggiungere dei tecnici debiti all’assistenza delle Voting Machine e i costi di produzione e sviluppo di esse. Ha senso? Per me no, si farebbe un doppio lavoro quando basta aspettare 10/12 ore per avere dei risultati certi e validi…un attesa decisamente accettabile se confrontata alla durata delle legislatura del governo!

 

Concludo ricordandovi che queste sono mie personali riflessioni, non ho mai pubblicato alcuna ricerca scientifica su tale argomento, ma sono frutto di letture di libri e pubblicazioni scientifiche. I commenti di questo blog ci serviranno per confrontarci 😉

Feedbin

È passato un anno da quando il 5 Settembre 2017 ho fatto un sondaggio su Twitter per capire quanti miei follower usassero ancora i Feed RSS, onestamente sono rimasto sorpreso dei risultati. 41 persone su 65 non usano più i Feed RSS, probabilmente si affidano completamente ai Social Network o visitano direttamente i siti web.

Personalmente amo ancora tantissimo di Feed RSS per alcuni fondamentali motivi:

  • Scelgo io le fonti;
  • Posso effettuare comode ricerche;
  • Posso leggere i Feed quando preferisco e non rischio di perdere informazioni utili;
  • Non fornisco a terzi, che guadagnando con inserzioni pubblicitari, i miei interessi.

Ho sempre usato la piattaforma Self-Hosted Feed a Fever, ma putroppo dal 2014 non viene più aggiornato, così nell’estate del 2017 ho testato diverse soluzioni e oramai da un anno ho completamente abbracciato Feedbin.

Ho deciso di passare a Feedbin poichè ha alcune caratteristiche che mi hanno veramente convinto, partendo inanzitutto dall’interfaccia che la trovo veramente semplice e pulita perfetta per una piattaforma che deve aiutare l’utente nella lettura degli articoli; oltre ad essere perfettamente compatibile con gli smartphone. Permette inoltre il caricamento integrale degli articoli che vengono volutamente troncati nel Feed, così da non dover caricare il sito web originale. Permette di monitorare Twitter, è infatti possibile indicare un utente da seguire, un hashtag o una ricerca, i risultati verranno mostrati come se fosse un articolo normale. Medesima situazione per YouTube dove potete seguire i vostri canali preferiti, sfruttando perfino la versione “nocookie” della nota piattaforma di streaming elimando ogni tracciabilità. È inoltre possibile convertire le Newsletter che ricevete via eMail in un Feed, infatti Feedvin vi fornisce un indirzzo eMail, iscrivendovi con esso ai siti web che preferite le email vi arriveranno direttamente nel portale. Supporta inoltre i Podcast, così potete anche loro raggrupparli e ascoltari direttamente dall’interfaccia web. Infine, per me caratteristica fondamentale che Fever non aveva, è la Ricerca non solo nei titoli ma anche nei testi degli articoli. Feedbin dichiara di conservare gli ultimi 500 articoli per ogni fonte, una base dati certamente molto ampia. Ovviamente gli articoli possono essere condivisi tramite eMail, Social o salvati nei preferiti. Ogni Feed può essere invece suddiviso in diverse categorie che semplificano l’organizzazione della vostra piattaforma.

Feedbin non è gratuito, costa 5 dollari al mese, con una prova gratuita di 30giorni se sfruttate la loro piattaforma di Hosting. Ma è un software OpenSource, potete quindi ricreavi l’ambiete in un host vostro in maniera totalmente gratuita.

Lunga vita a Feed! 😃

 

The Lounge è un client IRC web self hosted, Open Source e Gratuito. Recentemente ho avuto la necessità di analizzare più Botnet sviluppate dai Phisher per propagare gli attacchi di Phishing o banalmente inviare eMail di Spam ma si presentava davanti a me il problema principale per cui IRC è stato oramai dimenticato, ovvero l’impossibilità di leggere messaggi precedenti se non si è online. Inizialmente ho lasciato accesso il mio PC h24, ma la soluzione aveva degli ovvi limiti e così ho trovato l’ottimo progetto The Lounge.

The Lounge permette banalmente di mettere in IRC in Cloud, una volta installato su un server virtuale è possibile raggiungere l’interfaccia tramite il proprio browser Desktop e Mobile e iniziare a chattare nei canali che più preferite. Il vantaggio di avere una piattaforma remota sono molteplici:

  • L’utente rimarrà sempre connesso ai canali/server;
  • Tutti i messaggi vengono salvati in formato raw o in un database SQLlite3 (database implementato dalla versione 3.x);
  • I messaggi sono ovviamente ricercabili vista la presenza dei log nel doppio formato;
  • Accedendo al client Web potete leggere anche i precedenti messaggi;
  • Il client web è compatibile anche con gli smartphone, vi basterà aprire il browser del vostro telefono per chattare o leggere vecchi messaggi;
  • Permette la connessione a più server IRC contemporaneamente;
  • È multi utente, infatti verranno creati degli utenti TheLounge ognuno potrà sfruttare indipendentemente il client web.

Personalmente ho installato la versione beta 3.x e da oltre un mese mi accompagna nelle mie chat quotidiane e/o analisi senza avermi mai dato problemi. Il canale di supporto su IRC di TheLounge (server Freenode) è molto attivo e troverete sicuramente le risposte ad ogni vostra domanda. Attualmente è consigliato sfruttare yarn per l’installazione e non npm, anche io ho avuto problemi con quest’ultimo.

Il sito web ufficiale è thelounge.chat il codice sorgente è invece disponibile su GitHub.

Alternativamente esistono due servizi similare, ma commerciali, ovvero IRCCloud e Kiwi IRC.

Drego_UP è tornato online dopo MOLTI anni, se volete fare una chiacchierata mi trovate sicuramente sul canale IRC di BackBox (Autistici) e su FreeNode nei diversi canali che vedete nello screenshot.

 

Giovedì 21 Giugno alle 21:00 sarò in Live sul canale YouTube Rev3rse Security di Darix e theMiddle per parlare della mia quotidiana attività di analisi e contrasto del Phishing!

Faremo una chiacchierata a 360 gradi sull’attuale diffusione del Phishing in ambito Bancario e non solo, delle tecniche sfruttate per impedirne la rilevazione e delle cifre che vengono quotidianamente truffate alle ancora tantissime vittime.

Al termine della Live diffonderemo le slide che verranno mostrate e anche la live rimarrà disponibile sul canale YouTube!

Non mi resta che darvi appuntamento a giovedì sera 😉 per i più pigri questo è il file iCal/ics per segnarvi l’appuntamento in agenda.

[AGGIORNAMENTO]

Le slide sono disponibili su SlideShare mentre su YouTube è possibile rivedere la diretta!

Il prossimo 25 Ottobre sarò ospite all’Università degli Studi Palermo che organizza un Seminario di Orientamento al Lavoro assieme a Calogero Bonasia e Denis Frati!

Il mio talk illustrerà ai ragazzi del Dipartimento di Matematica e Informatica quali errori informatici bisogna evitare nel mondo lavorativo e illustrare ovviamente qualche consiglio per non incappare in irrimediabili Epic Fail!

L’abstract del Talk è il seguente:

Quotidianamente il 46% della popolazione mondiale sfrutta Internet.
3,4 miliardi di persone che grazie a molteplici tecnici informatici riescono in tutta semplicità a socializzare, informarsi, giocare o lavorare.
Tecnici che hanno una grossa responsabilità sulle proprie spalle per evitare disastri che possano mettere a rischio la privacy degli utenti o dati sensibili governativi.
Partendo dal Data Leak di Ashley Madison che ha spinto diversi uomini al suicidio vedremo assieme i principali errori da non commettere nel mondo lavorativo e studieremo casi reali avvenuti negli ultimi anni.

L’evento si terrà il giorno 25/10/2017 dalle ore 14:30 alle ore 17:30 presso l’Aula 7 del Dipartimento di Matematica e Informatica, potete controllare tutti i dettagli sul Sito Ufficiale dell’Università.

[AGGIORNAMENTO]

Le slide del Talk sono disponibili su SlideShare.

In queste ultime ore sta avendo un importante rilievo mediatico la notizia che Apple potrebbe essere bannata dal commercio Italiano a causa di una nuova proposta di legge passata in sordina alla Camera e ormai prossima al Senato per essere definitivamente confermata o bocciata. La proposta di legge porta la firma di Stefano Quintarelli e ha visto un forte consenso da parte del Movimento Cinque Stelle.

La proposta di legge potete leggerla sul sito ufficiale del Senato della Repubblica, il Corriere della Sera inoltre riporta qualche voce fuori campo di Apple: “Finirà che dovremo fare un cellulare apposta per l’Italia. O bloccare i nostri!”.

Premetto che sono un utente Apple e Linux, sfrutto quotidianamente la mela morsicata per i miei device mobili e sul Desktop ho un uso promiscuo di entrambe le piattaforme. Non uso Android quotidianamente anche se ho alcuni loro device, ma per alcune caratteristiche preferisco non usarli (es. non trovo uno smartphone Android con un display da 4″ con ottime caratteristiche hardware e una garanzia sui futuri aggiornamenti del OS).

La legge è suddivisa in due commi, ma concentrerò la mia successiva analisi sul comma uno nonché il principale.

Gli utenti hanno il diritto di reperire in linea, in formato idoneo alla piattaforma tecnologica desiderata, e di utilizzare a condizioni eque e non discriminatorie software, proprietario o a sorgente aperta, contenuti e servizi leciti di loro scelta.

Questa legge viene ovunque interpretata come “blocca Apple Store” poiché imporrebbe ad Apple, ma non solo (Windows Mobile, BlackBerry?!), di permettere l’installazione di Applicazioni anche di terze parti. Ovvero come avviene nel mondo Android di poter installare AppStore alternativi (Amazon Appstore uno tra tanti) e quindi sfruttare essi in alternativa a Google Play Store. Tecnicamente significa permette, almeno in Android, di acconsentire l’installazione di applicazioni non certificate da Google. Applicazioni che sono, ancora ad oggi, veicolo di malware, trojan o spyware.

Attualmente nel mondo Apple è possibile installare applicazioni che non provengono dall’Apple Store? Sì, avete letto bene. Sì!

Escludendo la pratica non ortodossa e facile del JailBreak, esistono le WebApp. Applicazioni che si basano esclusivamente su contenuti Web si installano con due semplici click, oppure Apple offre il Developer Enterprise Program in cui una App sviluppata per iOS può essere distribuita tramite canali alternativi a patto di includere un certificato a garanzia dello sviluppatore.

Vi sono però dei limiti, che non garantiscono l’equità voluta dalla normativa proposta, ad esempio le WebApp non posso inviare notifiche Push ed entrambe le proposte e non posso accedere ai servizi iCloud.

La seconda parte del primo comma riporta:

Gli utenti hanno il diritto di disinstallare software e di rimuovere contenuti che non siano di loro interesse dai propri dispositivi, salvo che tali software siano previsti come obbligatori da norme imperative o siano essenziali per l’operatività o per la sicurezza del dispositivo, delle reti pubbliche di comunicazioni alle quali si connette o dei dati gestiti dal dispositivo. È comunque vietata ogni disinstallazione effettuata al solo fine di consentire al dispositivo di funzionare in violazione di norme imperative.

Questa seconda parte i dispositivi Apple già la offrono, possono certamente migliorare, ma anche altre piattaforme possono farlo. È importante garantire all’utente di poter rimuovere applicazioni inutili, magari imposte da un operatore di telefonia conservando però l’integrità delle applicazioni necessarie per il corretto utilizzo del telefono.

Concludendo, personalmente non condivido la scelta fatta da Stefano di proporre questa legge. La storia tecnologica ci insegna che aprire un Sistema Operativo a software di terzi parti porta ad un incremento di Malware, Trojan, ecc. Apple è una azienda privata, non monopolista, che offre un prodotto con caratteristiche ben note. Certamente vulnerabile, ma ha punti di forza che il consumatore ama, un controllo maggiore sulle Applicazioni, un attenzione scrupolosa sugli Aggiornamenti e anche sulla Sicurezza dei Dati degli utenti.

Ora perché costringere una azienda privata a cambiare le carte in tavola con la probabile conseguenza di perdere consumatori e quindi vendite? Personalmente comprerei la versione di iOS non “italianizzata” a discapito del nostro erario o opterei per altre piattaforme (sì, sarei in seria difficoltà dopo aver usato Ubuntu Phone per oltre un anno anche questo progetto è terminato).

Se un altro utente non condivide la chiusura di Apple ha sul mercato una alternativa molto più aperta (magari anche con un Trojan di stato preinstallato) come Android!

Non capisco perché lo stato debba imporre delle linee guide che non vanno affatto verso un beneficio di sicurezza dell’utente ma forse, sì forse, portano un solo beneficio economico.

Non sarebbe più opportuno, proprio ai fini di sicurezza, imporre ai produttori di aggiornare i propri device più frequentemente con l’ultima release di Android disponibile o perlomeno con l’ultimo pacchetto di aggiornamenti di sicurezza?

No, non concludo! Mentre scrivevo questo articolo ieri sera (voi lo leggete con un giorno di ritardo) Stefano ha rilasciato una dichiarazione alla redazione di iSpazio che vi riporto:

La proposta di legge nasce nel 2014, ed è stata approvata alla Camera all’unanimità. Ha quindi ricevuto riscontro positivo dalla maggioranza del Governo, ha passato tutte le commissioni al Senato ed il mese scorso ne è stata disposta la trattazione in aula a Giugno. E’ inutile dire che il M5S sia maggiormente coinvolto rispetto ad altri perché la proposta è piaciuta a tutti e questo lo si può leggere dal verbale.

La prima parte del disegno di legge disciplina la non discriminazione del traffico in rete. Qualcuno ritiene che non si dovrebbe intervenire con una norma nazionale quando c’è un regolamento UE (che nel percorso di iter della mia pdl e’ stato nel frattempo approvato ed e’ abbastanza notevole quanto i principi contenuti siano sovrapponibili), ma il Regolamento 2015/2120 prevede espressamente interventi del legislatore nazionale, come questo. Il Regolamento al considerando 7 recita: “Le autorità nazionali di regolamentazione e le altre autorità nazionali competenti dovrebbero essere autorizzate ad intervenire contro accordi o pratiche commerciali che, in virtù della loro portata, determinano situazioni in cui la scelta degli utenti finali è significativamente limitata nella pratica.”

Come è evidente dal tipo di apparato sanzionatorio presente nella mia PDL all’art. 6, l’unica conseguenza delle violazioni delle disposizioni li’ previste è proprio un intervento delle Autorità nazionali (AGCOM/AGCM) con un’istruttoria a tutela dell’utenza in situazioni come quelle descritte e, pertanto, non c’è alcuna sovrapposizione o violazione del diritto comunitario, né incertezza giuridica poiché risulta chiaro che il fine della norma nazionale è diverso e complementare a quello del Regolamento UE.

Peraltro, la Corte di Giustizia UE (sentenza 22/1977 causa 50/66 Amsterdam Bulb) ha stabilito l’illegittimità di una norma nazionale che riproduca disposizioni di un Regolamento UE, solamente laddove essa “nasconda agli amministrati la natura comunitaria di una norma giuridica e gli effetti che ne derivano”, cosa che evidentemente nella mia PDL non è, dato che il Regolamento 2015/2120 e’ espressamente richiamato ed avendo le Autorità competenze e poteri anche di applicazione del diritto comunitario.

Oltre alla non discriminazione del traffico, nella stessa proposta di legge si introduce una previsione di non discriminazione da parte delle piattaforme.

Questa vuole prevenire discriminazioni, ovvero che non possano essere esclusi soggetti dal mercato con comportamenti discriminatori. Se una cosa è discriminatoria o meno lo valuterà caso per caso l’Autorità Garante della concorrenza e del mercato.

Perché scatti una sanzione devono essere presenti due situazioni in AND:

  • Impossibilità di installare/disinstallare applicazioni
    AND
  • danno ai consumatori

Se ciò accade, si applica il codice del consumo; in pratica, una strada più veloce ed economica per chiedere giustizia rispetto alla normale disciplina antitrust.

 

Ora le carte cambiano completamente, personalmente interpreto queste nuove dichiarazioni di Stefano come una tutela al consumatore il quale abbia acquistato un device Apple per installare un determinato software ma l’utilizzo di esso è venuto successivamente a mancare causa di restrizioni imposte da Apple. Mi viene in mente un esempio, vi ricordate quando Apple non voleva approvare un aggiornamento dell’applicazione per gli Smartwatch Pebble causa concorrenza diretta con Apple Watch? O che ancora ad oggi non permetta di installare applicazioni che controllino Transmission causa possibile utilizzo illecito (anche se io la uso per controllare la distribuzione della nostra BackBox Linux)?

Concludo, seriamente, con la speranza di vedere nel Blog di Stefano o del gruppo politico che rappresenta (Civici e Innovatori) un articolo esaustivo su questa proposta di legge che probabilmente è stata mal interpretata dalla stampa e forse anche da altri gruppi politici. Personalmente ammiro molto il lavoro dei Civici e Innovatori e gli ho sostenuti in passato anche in alcune battaglie (es. il consumatore è libero di installare il modem xDSL che preferisce) poiché trattano spesso e con forte conoscenza temi digitali.

Voi cosa ne pensate?

Recently I changed my QNAP, moving from an old 32bit model to a recent 64bit. The new NAS enabled me to install the 4.3.x firmware that introduces many new features and use 64-bit computing.

The migration occurred in conjunction with Wannacry (found on Homelab blog an article on how to exploit this vulnerability on NAS QNAP) and on my NAS was no longer running Samba (SMB). I don’t know if it is due to the wannacry patch or NAS/Firmware change. But Samba did not go anymore! Several people on the official QNAP forum complain about the same problem.

I solved by connecting via SSH to the NAS and editing the Samba configuration file. A small guide…

$ smb2status

smbd (samba daemon) Version 3.6.25
smbd (samba daemon) is not running.
max protocol SMB 2.1 enabled.

By typing the smb2status command, in output I had “smbd is not running” even if the WEB interface was correctly active.

$ mv /etc/config/smb.conf /etc/config/smb.conf.old

I did a backup copy of the Samba configuration file and saved it in smb.conf.old. Then I read the default configuration file:

$ cat /etc/default_config/smb.conf

Copy the contents of this file locally, in the text editor you prefer, then read the old configuration file:

$ cat /etc/config/smb.conf.old

Immediately after the Global Statement ([GLOBAL] … …) you will find the specifications of each of your shared folders, just copy this contents on your local text file.

You will then have a file composed of [GLOBAL] variable coming from the default file and then the variables of each of your shared folders coming from the old file. Example:

[global]

[Multimedia]
….

[Download]

[Web]

[Public]
….

Now you have to recreate the configuration file by copying inside it the newly built text:

$ rm /etc/config/smb.conf

$ vi /etc/config/smb.conf

Once the new Samba configuration file is pasted, we restart Samba.

$ /etc/init.d/smb.sh restart

After the reboot has finished, try typing smb2status again and it should be ok:

$ smb2status

smbd (samba daemon) Version 4.4.14
smbd (samba daemon) is running.
max protocol SMB 3.0 enabled.

In this short article I want to explain to you an alternative method to install ProxMox on a dedicated server purchased on Hetzner.

Hetzner, I consider him one of the best European providers, does not offer a KVM free on his servers. So the installation phase of an operating system may be limiting, not having a graphical interface.

To install ProxMox I’ve hitherto followed Hetzner official guides, that is, installing a Debian machine, adding ProxMox repositories, and installing packages.

But I’ve always had trouble configuring the FileSystem ZFS, LVM, etc etc.

These aspects are much easier to handle using the official ISO of ProxMox and the GUI that follows you step by step in the installation.

So you can leverage the official ISO and GUI? Yes, it is possible 🙂 follow these steps:

  1. Start your machine in rescue mode with Linux 64bit;
  2. Connect to your dedicated server via SSH;
  3. Install QEMU ($ apt-get install qemu);
  4. Download ProxMox ISO (Select last ISO image on https://www.proxmox.com/en/downloads) and save locally in proxmox.iso file;
  5. Start QEMU Emulator ($ qemu-system-x86_64 -m 1024 -k it -hda /dev/sda -hdb /dev/sdb -cdrom proxmox.iso -boot d -vnc :0);
  6. Connect via VNC to your server port 5900, and follow the installation procedure;
  7. Reboot rescue system.

Ok, now the system is installed;) Simple!

Two more tips, Repository and Let’s Encrypt!

ProxMox releases two types of repository, free and paid. If you want to use the free ones you have to change the source list.

Open the file /etc/apt/sources.list.d/pve-install-repo.list and remove or edit the content that should be:

deb http://download.proxmox.com/debian jessie pve-no-subscription

Currently, debian main distribution is Jessie, when it’s updated (es. Stretch), you’ll need to refresh the indication.

Finally I recommend using a valid SSL certificate to connect to the ProxMox Web GUI, on official wiki site there is a great guide!