Un volo tra le nuvole

8 luglio 2016

“Il Marketing è come il bikini: sembra che faccia vedere tutto,
ma nasconde le parti più importanti.”

Clouds

Sembra quasi di rivivere i tempi in cui Sony inventò, insieme al suo Walkman, il bisogno (indotto, giacché prima non lo si aveva, dall’abile Marketing Sony) di ascoltare musica per la strada. All’improvviso sembrò come se nessuno potesse più vivere senza quelle cuffie, perfino chi la musica, fino ad allora, l’ascoltava sì e no dallo stereo di casa. Il Cloud: ormai non si parla d’altro, almeno negli ambienti informatici. Considerato da molti (spesso sono gli stessi che la vendono, in verità) l’ultima frontiera, lo stato dell’arte della tecnologia, viene quasi da chiedersi come abbiamo potuto, fino ad ora, vivere senza.

Ma di che si tratta esattamente? Com’è usuale in questa rubrica, la facciamo semplice a costo di perdere qualcosa in precisione: tu hai un PC, ma i tuoi file e/o le tue applicazioni sono su un altro computer. In mezzo c’è Internet, che permette al tuo PC di accedere ai tuoi file e/o di eseguire le tue applicazioni “come se” fossero sul tuo PC. Dove siano esattamente non lo sappiamo: sotto un cavolo, in cielo, fra le nuvole, “in the clouds“, appunto.

La gran comodità di questa tecnologia è che puoi accedere ai tuoi dati e/o alle tue applicazioni – spesso attraverso un’interfaccia web, da un semplice browser – anche da un altro PC, o addirittura da un dispositivo diverso da un PC, come un tablet o uno smartphone. Ma si sa, le comodità hanno un prezzo da pagare:

  • l’assenza di una connessione Internet rende tutto molto più difficile, al limite impossibile. Se usate la posta elettronica solo in modalità webmail, attraverso il browser (la posta e il software per accedervi risiedono sul computer di un altro, quindi è un servizio “cloud”) sapete bene di cosa stiamo parlando;
  • siccome i tuoi file sono sul computer di un altro (il fornitore del servizio), devi compiere un atto di fede: devi fermamente credere che quell’altro non vada a ficcare il naso nei tuoi files, magari indicizzandone i contenuti e spifferandoli in giro al miglior offerente;
  • se si tratta di applicazioni, devi fermamente credere che il servizio funzioni sempre, o almeno funzioni quando ti serve. La cronaca recente mostra che si tratta sempre di fiducia ben riposta.

Qualche volta i servizi cloud mostrano dettagli e comportamenti a dir poco curiosi:

  • se usate Google Drive, il servizio di memorizzazione offerto dal colosso di Mountain View, certamente saprete che, oltre ad essere gratuito entro certi limiti di spazio, comprende anche la scansione per la ricerca di eventuali virus, dei files che state per scaricare sul vostro dispositivo locale. Peccato però che a quelli di Google interessino solo i file più piccoli di 25 MB! Se ad esempio state scaricando un archivio compresso da 30 MB zeppo di file infetti, verrete avvertiti che dovrete cavarvela da soli. Utente avvisato…

Google-Drive

  • Se usate Dropbox per tenere sincronizzati i vostri file su diversi dispositivi, e magari amate accedervi dalla comoda interfaccia web anziché utilizzare l’apposita applicazione, certamente avrete notato che Dropbox permette di visualizzare il contenuto di moltissimi tipi di file: immagini, video, ma anche file di testo, documenti, fogli di calcolo e presentazioni. Non solo: da qualche tempo il servizio comprende anche la possibilità di editare file avvalendosi dell’integrazione con Microsoft Office Online. Ufficialmente viene dichiarata la possibilità di editare i formati di Microsoft Office (.docx .xlsx .pptx), cosa peraltro alquanto ovvia; in realtà il software gestisce anche formati diversi, come i formati standard OpenDocument, ma questo non viene dichiarato, e la cosa è molto meno ovvia. Un dettaglio, certo. Tu chiamale, se vuoi…”distrazioni”.

Dropbox-768x304Per amor di cronaca segnaliamo anche di avere avuto qualche problema – non sappiamo se dovuto al browser o al codice di Dropbox – con il pulsante di apertura del file: dovrebbe presentare (sempre, crediamo, ma a volte non compariva) un menù a discesa da dove poter scegliere se aprire il nostro file .odt di prova con la nostra applicazione desktop predefinita (nella fattispecie LibreOffice) o con Microsoft Word Online di cui, se non altro per la sua insensata interfaccia utente, probabilmente continueremo a fare piacevolmente a meno.

Word-Online-768x442

Abbiamo visto che i servizi offerti dalla “nuvola” possono essere strumenti utili in molte situazioni, ma non sono la Panacea descritta da molti uffici marketing: possono essere pieni di insidie, di rischiosi atti di fede da compiere e dettagli da non trascurare.

Utente avvisato…

Marco Alici

Fonte: http://www.techeconomy.it/2016/07/08/un-volo-le-nuvole/

Share

filesystem, grandefratello, LibreOffice, microsoft, multinazionali, openofficeorg, riflessioni, software, tipstricks

FermoLUG News – Luglio 2016 – Numero 8

1 luglio 2016

Scarica la Newsletter del FermoLUG in formato opuscolo!

120px-Liferea.svg20160701-fermolugnews_008-libreoffice

Share

fermolugnews

Diario della migrazione: giorno 5, definire il formato per lo scambio dei documenti

30 giugno 2016

usb-key-1212110_1920Parlare di openness e libertà digitale in PA significa non solo parlare di programmi open source, ma focalizzare l’attenzione sul concetto di formato aperto standard, che consente di eliminare il lock-in da fornitore e da software. É il caso per esempio del formato , Open Document Format, uno aperto basato su una versione XML pubblicamente accessibile ed implementabile, conforme alla ISO/IEC 26300 e dal 2007 divenuto italiano con la sigla UNI CEI ISO/IEC 26300. Adottato anche dal Regno Unito come dei documenti per la Pubblica Amministrazione, garantisce interoperabilità e leggibilità nel tempo del prezioso patrimonio documentale di cui dispone la PA. Ed è per queste ragioni che la Difesa italiana lo ha adottato come suo per lo scambio di documenti.

Con la pubblicazione di una direttiva interna la Difesa non ha solo spiegato le ragioni dell’adozione di tale formato, ma ha contestualmente definito alcune regole per la corretta produzione dei documenti da scambiare oltre che per la scelta del tipo di carattere, visto che non tutte le font sono libere da diritti (tanto per fare un esempio una delle più utilizzate in quanto font di default in Office, Calibri, si può usare soltanto se si è in possesso di una licenza del prodotto).

Quali le ragioni dell’adozione di uno standard aperto?

Nell’ottica di efficientamento dell’azione amministrativa e di ricerca di economie di scala – si legge nella parte introduttiva – la Difesa si sta orientando all’adozione, in alcuni settori, di software aperto, non legato a licenze proprietarie che comportano il pagamento di canoni fissi…In un’ottica di lungo periodo, l’importanza dell’utilizzo di formati aperti assume particolare rilevanza anche a fronte del processo di dematerializzazione attualmente in atto”.

Come a dire, visto che la maggior parte dei documenti oggi nasce (e forse non morirà neppure) digitale, è necessario utilizzare formati di salvataggio che ne consentano l’accesso senza vincoli nel lungo periodo. E quando si parla di vincoli, ci si riferisce al fornitore del software tramite il quale il documento è prodotto e al software deputato alla produzione (libero o proprietario che sia).

Questo concetto del resto è ripreso da una delle definizioni più chiare di formato aperto, ovvero quella di Bruce Perens, che fissa sei requisiti fondamentali per l’individuazione di uno standard aperto: disponibilità, massimizzazione della possibilità di scelta dell’utente finale, nessuna royalty da versare per l’implementazione dello standard, nessuna discriminazione verso gli operatori impegnati ad implementare lo standard, estensibilità o scomponibilità in sottoinsiemi, assenza di pratiche predatorie. Requisiti fondamentali se pensiamo all’importanza che oggi rivestono i documenti digitali.

L’obiettivo della presente direttiva – si legge nel documento – è quello di assicurare l’indipendenza dalle piattaforme tecnologiche, l’interoperabilità tra sistemi informatici, la durata nel tempo dei dati in termini di accesso e di leggibilità”. Semplice, efficace e molto di buon senso. Forse troppo visto che altre Pubbliche Amministrazioni non prendono neppure in considerazione il problema, spesso confondendo uno standard de facto con uno standard de jure.

Cosa si fa nel giorno quinto di migrazione?

Si definiscono i formati di scambio dei documenti.

Così come riportato nella direttiva della Difesa occorre stabilire i formati di salvataggio dei documenti in ingresso e in uscita. Nel caso specifico, la direttiva stabilisce che “documenti che non necessitano di essere modificati dall’utente (es. delibere, determine, bandi, regolamenti), dove è necessario preservare anche l’aspetto grafico e l’impaginazione” sono salvati nel formato PDF/A, idoneo anche all’archiviazione a lungo termine; “documenti che l’utente deve poter compilare ovvero modificare, ad esempio facsimili di dichiarazioni o moduli di domanda” e “documenti salvati nei formati previsti dalla precedente direttiva (.rtf)” dovranno essere salvati tutti in ODF.

E i documenti che arrivano dall’esterno? In questo caso la direttiva dice che nel caso di “documenti salvati in formati diversi da quanto normato, si dovrà procedere con la loro conversione digitale/digitale, ai sensi di quanto previsto dall’art. 23-bis del CAD, per il successivo utilizzo ed eventuale protocollazione e conservazione, avendo cura, ove previsto dalle norme in vigore, di preservare l’originale informatico”.

Insomma una direttiva da archiviare su cose buone fatte in PA per poterla riusare e non solo ammirare.

schemalibredifesaSonia Montegiove

Fonte: http://www.techeconomy.it/2016/06/30/diario-della-migrazione-giorno-5-definire-formato-standard-aperto-lo-scambio-documenti/

 

Share

hotnews, LibreOffice, numeriuno, openofficeorg, riflessioni, software

VTE CRM

27 giugno 2016

vte immagineNasce nel 2011 su iniziativa dei fondatori di CRM Village, Davide Bonamini e Davide Giarolo, con lo scopo di creare una soluzione CRM open Source di tipo enterprise con base in Europa.
Da allora, in pochi anni, il brand si è diffuso a livello internazionale grazie alle numerose partnership e ad un’ampia community di utilizzatori.
Accedi alla demo online:
http://demo.crmportal.it (username: demo – password: 12345678)

VTECRM è una soluzione unica nel suo genere in quanto:
• È la prima applicazione di CRM Open Source di matrice Europea
• È disponibile sia in versione community che in versione business in modo da consentire agli utilizzatori il massimo grado di adattamento alle proprie esigenze
• Permette un utilizzo completo in base al contesto d’uso ed ai bisogni degli utilizzatori tramite le interfacce WEB, MOBILE e Customer Portal
• Conta oltre 13 mila installazioni e moltissimi plugin per l’ integrazione con gestionali, e-commerce ed applicazioni terze
• È trasparente ed il codice è completamente visualizzabile
• Può essere esteso a tutti i processi di gestione del cliente tramite la creazione da interfaccia di moduli specifici e la connessione a database esterni
• Offre la massima libertà al cliente sia in termini di offerta commerciale che in termini di trasparenza e vincoli associati
• Integra nativamente il calendario e la posta per uso singolo e condiviso
• Consente personalizzazioni avanzate tramite le librerie ed i kit di sviluppo (SDK)

Attraverso VTE CRM puoi gestire i processi aziendali:
Acquisizione del cliente nel seguente modo: Il Lead proveniente da diversi canali viene assegnato e gestito dalla forza commerciale. Può quindi essere convertito in Azienda, Contatto ed Opportunità commerciale.
Gestione delle trattative: Il cliente viene gestito tramite le opportunità che si trasformano in preventivi e quindi ordini di vendita.
I processi di marketing: Tramite le campagne marketing ed i target è possibile organizzare le liste clienti, lead, contatti al fine di attivare newsletter, campagne di telemarketing ed eventi.
Assistenza Clienti (Customer Service): Tramite il modulo di assistenza clienti è possibile gestire i processi di richiesta supporto da parte di clienti via customer portal o tramite i canali tradizionali.
Collaborazione e Smart Working: Tramite i moduli di collaborazione e condivisione informazioni interne all’organizzazione è possibile scambiarsi velocemente informazioni tra il team stesso e/o verso i clienti.

Share

fermolug, software

Il malware che ruba i dati dal computer ascoltando le ventole

27 giugno 2016

Il virus è stato inventato da un gruppo di ricercatori dell’università israeliana Ben Gurion: riesce a spiare anche dispositivi completamente isolati

CIMG5619-kAwH-U1080983849019rO-1024x576@LaStampa.itUn gruppo di ricercatori dell’università israeliana Ben Gurion (la stessa università in cui è stato scoperto il bug per scaricare i film con Chrome) ha sviluppato un malware in grado di sottrarre dati anche a computer completamente isolati da internet, ascoltando il rumore prodotto dalle ventole e dalla CPU. Il malware, battezzato Fansmitter, è stato presentato in una ricerca appena pubblicata.

A differenza di altri virus simili, in grado di rubare dati a computer ascoltando le onde sonore emesse dagli amplificatori, Fansmitter può colpire anche dispositivi non solo «air-gapped» (non connessi a internet e isolati dagli altri), ma privi di speaker, webcam o qualunque altro hardware.

Una volta che il malware è stato installato, per esempio attraverso una chiavetta USB, è sufficiente sistemare uno smartphone, o un altro dispositivo dotato di microfono, nei dintorni del computer per poterlo spiare. I ricercatori sono riusciti a sottrarre dati a un computer posizionato a otto metri di distanza, trasferendoli a 900 bit/ora. Una velocità troppo bassa per trasportare file di medie dimensioni, ma sufficiente per sottrarre password o altri codici criptati.

Il malware può spiare qualunque dispositivo, analizzando la rotazione e la potenza del rumore prodotto da ventole di diverso tipo e dimensioni e convertendole in onde sonore che vengono decifrate dal dispositivo di ascolto. Ci sono alcune contromisure possibili, si spiega nella ricerca: software in grado di rilevare i virus in azione sui dispositivi o ventole estremamente silenziose. Nessuna delle soluzioni presentata si è dimostrata efficace al 100 per cento, ma intanto cominciano già a diffondersi computer senza ventole.

Share

grandefratello, hotnews, software, tipstricks

3 cose su Linux che l’utente Windows dovrebbe sapere

24 giugno 2016

linux-153455_1280La stragrande maggioranza di utilizzatori di personal computer ha avuto davanti sempre e solo sistemi operativi Microsoft (DOS prima, poi). L’utente medio è quindi generalmente portato a pensare che esista un unico modo di usare un computer e un unico modo di fare le cose, e che un computer possa fare tutto e solo quello che il proprio sistema fa e se non lo fa è perché non si può fare.

Davanti a una dimostrazione delle funzionalità di uno dei tanti sistemi (liberi) basati su , generalmente l’utente in questione resta sempre abbastanza spiazzato. I commenti più frequenti sono: “non lo sapevo!”, insieme a: “credevo che fosse difficile da usare!”, chiari sintomi di ignoranza (il primo) e pregiudizio o disinformazione (il secondo). Cercheremo dunque di predisporre qui una mini-terapia d’urto in tre pillole per affrontare la fase acuta della malattia. Per un trattamento più accurato si rimanda alla sterminata documentazione sull’argomento reperibile in rete, in libreria o presso i gruppi (LUG, User Group) locali sparsi per tutto lo stivale.

Distribuzione, non un semplice sistema operativo

Di solito compriamo un computer già pronto all’uso, “chiavi in mano”. Windows è quasi sempre preinstallato in fabbrica (tra l’altro con una licenza di tipo “OEM”, cioè legata all’hardware e quindi non trasferibile ad un altro computer nel caso si voglia cambiare macchina). Spesso chiediamo al venditore di installarci (più o meno legalmente a seconda dell’onestà delle parti) tutto quello che ci serve, per cui non sempre sappiamo esattamente cosa abbiamo comprato, quali strumenti facciano parte della dotazione di Windows e quali siano stati aggiunti successivamente. In realtà Windows, da solo, è dotato di pochissimi strumenti preinstallati, per cui appena aperta la scatola si potrà al massimo navigare in internet, ascoltare musica o vedere delle foto. Windows è quindi “solo” poco più che un sistema operativo. Tutte le applicazioni che vi servono devono essere installate successivamente, una per una, scaricando i file di installazione dai relativi siti o inserendo di volta in volta CD o DVD.

I sistemi basati su Linux, invece, sono ben più che semplici sistemi operativi. Essi sono disponibili sotto forma di distribuzioni, cioè raccolte di software comprendenti un’abbondante (e variabile a seconda di chi l’ha realizzata e degli scopi per cui è stata creata) selezione di applicativi per la produttività personale, la manipolazione di file multimediali (audio, video, foto), per l’intrattenimento, la didattica, lo sviluppo software, la gestione del sistema e quant’altro, da installare insieme al sistema operativo. Inoltre quello che eventualmente dovesse mancare può essere cercato, trovato, scaricato e installato da un’apposita applicazione, attingendo agli archivi (repository) propri della distribuzione, contenenti per lo più software libero, ma non solo. Il concetto “installa l’app dallo store” è ormai familiare agli utilizzatori di smartphone, ma in realtà nasce ben prima di questi, proprio nel mondo delle distribuzioni Linux. Per fare un esempio: l’installazione di Ubuntu (la distribuzione Linux forse più nota) comprende anche la suite LibreOffice per la produttività individuale, programmi per la navigazione web e la posta elettronica, e Ubuntu Software Center, lo “store” da cui poter scegliere tra migliaia di programmi da scaricare con un click. Significa ad esempio che un istante dopo l’installazione potete rimettere mano alla tesi di laurea che stavate scrivendo con LibreOffice (che è già installato), o configurare il vostro account di posta su Thunderbird (che è già installato) per riavere a disposizione tutte le vostre mail e magari aprire quel file PDF allegato con un visualizzatore (che è già installato).

Fatto non secondario, anche l’aggiornamento dei programmi è centralizzato e avviene esattamente come qualsiasi altro pacchetto del sistema operativo: la presenza di nuove versioni dei programmi viene periodicamente controllata e notificata (l’aggiornamento è sempre una scelta libera e consapevole dell’utente. Ci siamo capiti…), esattamente come (oggi) siamo abituati a fare con i nostri smartphone. Considerando che Debian (distribuzione da cui deriva Ubuntu ed altre decine di “sorelle”) e il suo sistema di gestione dei pacchetti nasce nel 1993, possiamo anche dire che nei sistemi operativi Linux praticamente è sempre stato così.

Un altro dettaglio a cui probabilmente nemmeno gli utenti Linux fanno più caso, ma se lo ricordano subito quando assistono ad un aggiornamento su Windows: durante l’aggiornamento di qualunque applicazione in uso – kernel compreso – non è mai (!) necessario chiudere nessuna applicazione, che continua a funzionare regolarmente; in alcuni casi viene suggerito – mai imposto – il riavvio dell’applicazione; solo nel caso del kernel viene suggerito il reboot, che è l’unico modo per caricare la nuova versione. Ancora per poco, forse.

Antivirus chi?

Il primo programma che si installa solitamente dopo Windows è un antivirus, per ovvi motivi. Ovvi per gli utenti di Windows, ma non per gli utenti di Linux: io lo sono da 16 anni (Mandrake Linux 7.1, la mia prima distribuzione, risale al 2000), e non ho mai installato un antivirus. I virus per Linux sono talmente pochi e talmente rari che gli antivirus sono considerati un inutile spreco di risorse. Quelli che esistono sono installati soprattutto su computer dove girano server di posta elettronica, e sono usati per proteggere i sistemi Windows da eventuali malware diffusi via e-mail.

Ciò non significa che Linux, i programmi per Linux o il software open source in genere siano esenti da vulnerabilità. Come detto altrove, “il software libero è libero, non perfetto: se no si chiamerebbe software perfetto”. Le vulnerabilità si trovano e si correggono esattamente come per il software proprietario (anzi, meglio, perché il codice sorgente è di pubblico dominio, sotto gli occhi di tutti e il processo avviene alla luce del sole, generalmente a velocità superiore che nel software proprietario). Ma i virus, quelli proprio non li ho mai visti, e anche in questo caso possiamo dire che nei sistemi operativi Linux praticamente è sempre stato così.

Live, ovvero il sistema sempre con te (altro che cloud)

Diciamolo subito: non è sempre stato così. In passato l’installazione di un sistema operativo Linux era complicata, più di quella non semplice dei sistemi Windows coevi. Gli utenti Windows non ne hanno contezza dato che, come già detto, generalmente se lo trovano già installato nel PC, mentre gli utenti Linux generalmente se lo installano da sé e sicuramente lo installavano da sé nel passato di cui stiamo parlando. Anche per questa ragione col tempo gli sviluppatori hanno cercato di semplificare il processo di installazione, tanto che oggi è tutto molto semplice e amichevole: basta avviare il computer con il CD (o DVD, a seconda delle dimensioni della distribuzione, che dipendono essenzialmente da quanto software preinstallato è stato messo dentro) e seguire la guida passo-passo. Come Windows, ma con alcune differenze che non sono dettagli da poco:

  • se state cercando di installare Ubuntu (per esempio. Vale per tutte le distribuzioni) in un computer dove è già installato Windows, Ubuntu se ne accorge e vi chiede gentilmente se volete davvero cancellare tutto o se invece volete installare Ubuntu accanto a Windows, decidendo poi all’avvio del PC di volta in volta quale sistema scegliere da una lista che vi comparirà sul monitor. In questo secondo caso pensa a tutto lui (oppure potete scegliere di farvi lasciare i comandi e guidare voi l’installazione, ammesso che sappiate cosa fare), ritagliandosi spazio nell’hard disk e sistemando per bene il sistema. Per inciso, non vale il viceversa: installare Windows su un pc con un sistema Linux equivale a concedere a Windows l’autorizzazione a cancellare tutto, formattare l’hard disk e occupare tutto lo spazio a disposizione. Windows si comporta come Ubuntu solo se trova altre versioni di Windows, ma non se trova altri sistemi operativi. Gentile, vi pare?
  • probabilmente quello che avete inserito nel lettore è un Live CD (o DVD). Quasi tutte le distribuzioni di Linux nell’ultimo decennio si presentano ormai sotto questa forma. Vuol dire che anziché installare il sistema sull’hard disk potete scegliere di avviarlo come se fosse già installato. Nulla verrà toccato nell’hard disk, ma dopo qualche istante avremo a disposizione un sistema pienamente funzionante, cosa utile per familiarizzare con l’interfaccia e per verificare che tutto l’hardware sia ben supportato e funzionante prima di procedere a un’installazione vera e propria. Unica differenza sarà nelle prestazioni, a causa della minor velocità di accesso ai dati da un supporto ottico (CD e DVD) rispetto a uno magnetico (hard disk), e nella impossibilità di salvare configurazioni e nuovi programmi eventualmente installati. Quest’ultimo problema si può risolvere usando una Live USB, ovvero una distribuzione avviabile da chiavetta USB anziché da CD o DVD. Stesso principio, con il vantaggio di poter riservare spazio (a proposito, utente Windows: lo sapevi che puoi creare partizioni su una chiavetta USB?) per file e configurazioni personali del sistema live. Senza contare il fatto che una chiavetta USB occupa meno spazio di un disco. Davvero hai bisogno del cloud quando il tuo programma puoi tenerlo in tasca e farlo girare su qualsiasi computer?

È altamente probabile, quindi, che un utente Linux giri sempre con una o più chiavette USB in tasca con una qualche distribuzione live installata sopra: per avere sempre un sistema “familiare” a disposizione, magari da infilare nel primo pc a disposizione, ma anche come strumento di disaster recovery, anche (soprattutto?) di sistemi Windows, magari  fuori uso e non avviabili per colpa di virus o malware. Infatti in questi casi si può avviare il pc con un sistema Linux Live (non può essere contagiato dagli eventuali virus, ricordate?) e mettere in salvo i dati copiandoli su un supporto esterno prima di procedere a formattazione e reinstallazione del sistema operativo. E dell’antivirus, e delle applicazioni, una ad una…

Adesso non potrete più dire che non lo sapevate!

Marco Alici

Fonte: http://www.techeconomy.it/2016/06/24/3-cose-linux-lutente-windows-sapere/

Share

microsoft, multinazionali, numeriuno, riflessioni, software

Scoperta grave vulnerabilità su Windows presente da 20 anni

22 giugno 2016

board-780316_1280È stata scoperta solo pochi giorni fa una che affligge tutti i sistemi operativi denominata #BadTunnel. A fare questa sensazionale scoperta è stato un ricercatore di sicurezza cinese di nome Yang Yu, direttore del Xuanwu Lab of Tencent a Beijing, che ha individuato la falla presente ormai da 20 anni in tutte le versioni del sistema operativo di casa Microsoft, da Windows 95 a Windows 10.

Grazie al Bug Bounty, per questa scoperta Yang Yu ha guadagnato il massimo premio che Microsoft concede in questi casi, circa 50 mila dollari.

La scoperta verrà presentata ufficialmente da Yang al Black Hat Summit 2016 che si terrà come di consueto a Las Vegas dal 30 luglio al 4 agosto. Per chi non conoscesse il Black Hat, è un evento molto noto nella comunità hacker e molto seguito in tutto il mondo, dove ricercatori e esperti di sicurezza presentano le loro scoperte.

“Questa vulnerabilità ha un impatto di sicurezza molto alto, probabilmente il più ampio mai registrato nella storia di Windows” – afferma Yang Yu.

Ma in cosa consiste #BadTunnel?

BadTunnel è una tecnica per NetBIOS-spoofing tra network. La tecnica permetterebbe all’attaccante di avere accesso al traffico che passa sul network della vittima oltrepassando eventuali Firewall e NAT di rete.

Secondo Yang, la vulnerabilità è causata nello specifico da una serie di implementazioni apparentemente corrette ma che impattano sul layer di trasporto e quello applicativo e ad una serie di protocolli applicativi usati dal sistema operativo.

Ipotesi di attacco

Un attaccante potrebbe tramite una mail di phishing o tecniche di social engineering indurre la vittima a cliccare su un determinato link con il browser IE o Edge e a farla accedere ad una pagina malevola.

La pagina malevola dell’attaccante appare come un File Server o un Local Print Server e tramite una serie di altre vulnerabilità che includono:

  • come Windows risolve i nomi di rete e accetta le risposte
  • come IE e Edge Browser supportano le pagine con codice embeddato
  • come Windows gestisce le path di rete via l’indirizzo IP
  • come il NetBIOS Name Service NB e NBSTAT interroga e gestisce le transazioni
  • come Windows gestisce le richieste sulla porta UDP 137

BadTunnel prende vita.

Simulazione di uno scenario di attacco prese dal paper tecnico di Yang

  1. Alice e Bob sono su reti differenti e hanno tra loro firewall e  NAT. Bob ha la porta 137/UDP e raggiungibile da Alice
  2. Bob chiude le porte 139 e la 445 lasciando aperta solo la 137/UDP
  3. Alice è convinta di accedere a file URI o UNC path che puntano a Bob tramite un altro hostname URI come http://WPAD/x.jpg o http://FileServer/x.jpg
  4. Alice invia una query NBNS NBSTAT verso Bob e verso l’indirizzo LAN di brodacast
  5. Se Bob blocca l’accesso alle porte 139 e 445 con una regola Firewall, Alice invierà una query di NBNS NBSTAT dopo circa 22 secondi. Se Bob invece chiude le porte 139 e 445 disabilitando il servizio Server Windows o il NetBIOS sul protocollo TCP/IP, Alice non ha bisogno di aspettare la connessione che scade prima di inviare la query.
  6. Quando Bob riceve la query NBNS NBSTAT inviata da Alice, Bob risponde forgiando un NBNS NB response prevedendo il transaction id e lo invia ad Alice. Se un pacchetto heartbeat viene inviato ogni pochi secondi, la maggior parte dei firewall e dispositivi NAT tengono aperta la connessione sulla porta 137/UDP
  7. Alice ora può aggiungere la risoluzione dell’indirizzo inviata da Bob all NBT cache. Il valore di default della TTL per la cache NBT è di 600 secondi.
  8. Bob può ora dirottare il traffico di Alice attraverso l’utilizzo del WPAD (Web Proxy Auto-Discovery Protocol) o tramite ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) server.

(La tecnica di attacco con WPAD  venne presentata al BlackHat nel 2007. Inoltre il worm FLAME impiegò una tecnica simile.)

Fortunatamente Microsoft è corsa ai ripari e ha rilasciato il bollettino di sicurezza MS16-077 che mette al sicuro da attacchi di questo genere.

Se invece non è possibile installare la patch, per mitigare questo attacco è bene bloccare all’interno del proprio network la porta 137/UDP. Per utenti individuali invece si consiglia di disabilitare NetBIOS TCP/IP.

Fabio Natalucci

Fonte: http://www.techeconomy.it/2016/06/22/scoperta-grave-vulnerabilita-windows-presente-20-anni/

Share

grandefratello, hotnews, microsoft, multinazionali, software, tipstricks

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi