Le parole?? E che ce le metto a fare!? ….

Circa un mese fa abbiamo aperto una chiamata al supporto Fortinet dedicato ai partner perche’ le firme che definiscono gli attacchi “POP3.Login.Failed” e “POP3.Brute.Force.Login” non rispondevano come ci saremmo aspettati.

Attivando il logging dei pacchetti ci siamo accorti che la firma “POP3.Login.Failed” intercetta anche tutta un’altra serie di stringhe che nulla hanno a che fare con un tentativo di accesso non riuscito. La firma in questione infatti intercetta a priori qualsiasi risposta proveniente dal server POP3 che contenga la stringa “-ERR“, stringa che pero’ viene restituita anche in altri casi, non solo in quelli di accesso non riuscito.

Questo e’ uno dei log rilevati sul nostro apparato:

itime=1324656057 dtime=1324659657 dstname=213.205.33.10 device_id=FGT80C3909642149 log_id=16384 subtype=signature type=ips timestamp=1324656057 pri=alert policyid=17 serial=11837806 attack_id=109248518 severity=info carrier_ep=N/A profile=N/A sensor=IPS_WINDOWS_+ src=172.16.31.32 dst=213.205.33.10 src_port=54387 dst_port=110 src_int=internal2 dst_int=wan2 status=detected proto=6 service=pop3 user=ospite group=WIFI_GUEST_local ref=http://www.fortinet.com/ids/VID109248518 count=1 incident_serialno=433376215 msg=”pop3_decoder: POP3.Login.Failed” vd=root identidx=0 profiletype=N/A profilegroup=N/A attack_name=N/A

Andando a guardare i pacchetti che sono passati ci siamo accorti pero’ che non era affatto un tentativo di login fallito ma un generico messaggio di errore rilasciato dal server:

-ERR [SYS/TEMP] mailbox locked by other server

Cosi’ come in altre occasioni e’ stata intercettata e catalogata come  “POP3.Login.Failed” la stringa “-ERR Command is  not valid in this state” o “-ERR Unknown command.“.

E’ indubbio che ogni tanto vengano intercettati anche dei tentativi di login falliti la cui risposta del server tipicamente e’: ”-ERR Logon failure: unknown user name or bad password“, oppure “-ERR Authentication Failure.“, oppure “-ERR Authentication failed.“, oppure “-ERR Logon Unknown.“.

Sono proprio tutti questi “oppure” che creano un bel problema in effetti perche’ a seconda del sistema verso il quale si tenta l’autenticazione POP3, la risposta potrebbe essere diversa. In effetti l’unico pattern comune tra tutte le risposte sembra essere la stringa “-ERR”, ma basare la firma su questa stringa genera una quantità di falsi positivi da renderla del tutto inutile.

Da alcune risposte fornite dal supporto tecnico e’ probabile infatti che la firma per il “POP3.Login.Failed” sia qualcosa di molto simile a questo:

F-SBID( –name “POP3.Login.Failed”; –protocol tcp; –src_port 110; –flow from_server,reversed; –seq <,200,relative; –pattern “|2D|ERR “; –within 5,packet;)

Un ulteriore problema che abbiamo riscontrato e’ proprio sulla firma “POP3.Brute.Force.Login“.
L’idea che avevamo avuto era quella di proteggere i sistemi facendo in modo che il Fortigate riconoscesse i cosi’ detti “attacchi a forza bruta” perpetrati sui protocolli tipicamente piu’ esposti quali POP3, IMAP, SMTP ed FTP.
Nel set standard di firme IPS Fortinet risultano presenti infatti anche le firme per gli attacchi:

• POP3.Brute.Force.Login
• IMAP.Brute.Force.Login
• SMTP.Brute.Force.Login
• FTP.Brute.Force.Login

Riconoscere degli attacchi che si sostanziano in ripetuti tentativi di login con username e password predefiniti puo’ mettere parzialmente a riparo da problemi legati alle password deboli o eccessivamente ovvie ed evitare che qualcuno posso scoprire delle credenziali di accesso in maniera relativamente semplice. Il motore IPS dei Fortigate permette inoltre, una volta intercettato un attacco, di mettere in “quarantena” l’ip dal quale proviene per evitare ulteriori tentativi ed altre tipologie di connessioni.

Attivate le firme “Brute.Force.Login”, la sorpresa l’abbiamo avuta quando nei log abbiamo riscontrato migliaia di tentativi di accesso sul protocollo POP3 passati indisturbati attraverso il Fortigate senza che si accorgesse di nulla e facesse scattare le azioni legate alla firma “POP3.Brute.Force.Login” (“block” e “quarantine”). Di questo abbiamo chiesto spiegazione al supporto tecnico e la prima risposta che abbiamo ricevuto e’ stata:

After researching and the help of the IPS analyst team, it appears that the POP3.Brute.Force.Login is rate limited with 200 requests per 10 seconds. By counting the traffic logs from the fortianalyzer, it appears that the attackers rate was 120 pop3 sessions requests per 10 seconds and 138 POP3.Login.Failed attempts. It is expected the POP3.Brute.Force.Login was not triggered this time.

Sostanzialmente l’attacco non aveva avuto una magnitudo tale da allertare il Fortigate. Un attacco del tipo “POP3.Brute.Force.Login” deve avere almeno 200 richieste in 10 secondi (alias 20 richieste al secondo o 1.200 al minuto) per essere “notato”.  Personalmente lo ritengo un valore interessante perche’ se ipotizziamo un attacco che faccia anche “solo” 10 richieste al secondo (alias 600 al minuto) ma che perduri per 8 ore fanno quasi 300.000 tentativi senza che il motore IPS del Fortigate se ne accorga e quindi metta in quarantena l’IP da cui proviene l’attacco.  300.000 tentativi possono ritenersi un attacco a forza bruta? Credo di si…

Abbiamo chiesto a questo punto al supporto come poter abbassare il “rate” dei tentativi per il “POP3.Brute.Force.Login” e la risposta che ci hanno dato, e che in effetti ci aspettavamo, e’ stata quella di creare una firma personalizzata sui nostri parametri e ci hanno inviato in un primo momento questa:

F-SBID(–name POP3.BruteForce; –protocol tcp; –service POP3; –flow from_server; –pattern “USER”; –rate 50, 60; –track src_ip; )

poi, dopo qualche minuto, questa:

F-SBID(–service POP3; –flow from_server,reversed; –pattern “|2D|ERR “; –context header; –within 100,context; –track dst_ip; –rate 50,60; –description “Failed login to POP3 server 50 times in 60 seconds”; )

perche’ ovviamente il pattern “USER” avrebbe generato molti falsi positivi. Inutile dire che anche il pattern “-ERR“, come per la firma “POP3.Login.failed“, genera molti falsi positivi.

Successivamente ci siamo accorti che, anche attraverso la firma inviata dal supporto Fortinet, l’attacco “brute-force” non veniva comunque riconosciuto e l’ip attaccante non veniva messo in quarantena. A seguito di questa segnalazione il supporto Fortinet ci ha mandato un’altra firma:

 F-SBID( –name “POP3.Brute.Force.Login.Port110″; –protocol tcp; –src_port 110; –flow from_server,reversed; –seq <,200,relative; –pattern “|2D|ERR “; –within 5,packet; –track dst_ip; –rate 50,60; –description “Failed login to POP3 server 50 times in 60 seconds”; )

ma anche in questo caso, testando la firma con Brutus, l’ip attaccante non veniva messo in quarantena. Fatto di nuovo presente al supporto il problema ci hanno consigliato di abbassare il “rate” a 10,60 ovvero a 10 tentativi falliti per ogni 60 secondi. In questo caso pero’ gli utenti regolarmente loggati venivano messi in quarantena perche’ veniva intercettata piu’ volte durante la sessione POP3 la stringa “-ERR Unknown command.” (pare succeda di frequente con i server di posta di Aruba.it con Thunderbird come client di posta). Inutile dire che gli utenti validi venivano fermati ma Brutus continuava tranquillamente a poter portare avanti indisturbato un attacco.
Ricontattato il supporto Fortinet, ci mandano l’ennesima firma in cui il pattern risulta piu’ specifico per il server che deve essere protetto. Questa firma comunque non e’ valida in termini assoluti per tutti i server perche’ a seconda del server POP3 utilizzato, in caso di login errato, si puo’ ottenere una risposta diversa:

F-SBID( –name “POP3.Brute.Force.Login.Port110″; –protocol tcp; –src_port 110; –flow from_server,reversed; –seq <,200,relative; –pattern “|2D|ERR Logon failure“; –no_case; –within 20,packet; –track dst_ip; –rate 10,60; )

In ogni caso, niente anche questa volta, l’attacco viene fermato e l’ip attaccante messo in quarantena sono dopo alcuni minuti che l’attacco e’ in corso e solo dopo migliaia di tentativi portati a segno, non certo solo dopo i 10 previsti dal “rate” della firma.

Il problema sembra essere che il Fortigate riconosce l’attacco ma non esegue in drop di tutte le connessioni attive ma banalmente si limita a non consentirne l’apertura di nuove da parte dell’ip attaccante. Questo vuol dire che se il server attaccato non chiude la connessione dopo un certo numero di tentativi di autenticazione falliti  l’attaccante puo’ continuare a fare tutti i tentativi di accesso che vuole senza che il Fortigate intervenga. Nuove sessioni non potranno essere instaurate ma su quelle gia’ aperte l’attacco continua indisturbato.

Dear Customer,

I agree with you that it is reasonable to drop all old sessions from an banned IP. I will contact associate departments to find a possible solution. But I don’t think it will be available in a short time. As i suggested, please change more action to reset so ideally all identified attack sessions will be closed. Thanks for your patient.

Regards

Fortinet IPS

Someone told me long ago
There’s a calm before the storm, I know;
It’s been coming for some time.
When it’s over, so they say,
It’ll rain a sunny day, I know;
Shining down like water.

I want to know, Have you ever seen the rain?
I want to know, Have you ever seen the rain?
Coming down on a sunny day?

Yesterday, and days before, Sun is cold and rain is hard, I know;
Been that way for all my time.
‘Til forever, on it goes
Through the circle, fast and slow, I know; It can’t stop, I wonder.

I want to know, Have you ever seen the rain?
I want to know, Have you ever seen the rain?
Coming down on a sunny day?

Yeah!

I want to know, Have you ever seen the rain?
I want to know, Have you ever seen the rain?
Coming down on a sunny day?

NOTE:

• Creedence Clearwater Revival : Discografia , storia e info

Ieri Steve Jobs e’ morto. Confesso, la notizia non mi ha lasciato indifferente come e’ successo per molte persone famose che lo hanno preceduto. Forse e’ perche’ lavoro nel campo dell’informatica, forse perche’ era un genio e le sue idee hanno fortemente contribuito a creare l’immagine del mondo come l’abbiamo ora. Non so. So solo che mi dispiace.

Qui riporto qualcosa che mi colpi’ molto quando la sentii la prima volta, e che continua a farmi pensare ogni volta che la risento. E’ il discorso che Steve Jobs fece alla Standford University nel 2005 al “Commencement address”.

Again, you can’t connect the dots looking forward; you can only connect them looking backwards. So you have to trust that the dots will somehow connect in your future. You have to trust in something — your gut, destiny, life, karma, whatever. This approach has never let me down, and it has made all the difference in my life.

(Di nuovo, non è possibile unire i puntini guardando avanti; potete solo unirli guardandovi all’indietro. Così, dovete aver fiducia che in qualche modo, nel futuro, i puntini si potranno unire. Dovete credere in qualcosa – il vostro ombelico, il destino, la vita, il karma, qualsiasi cosa. Questo tipo di approccio non mi ha mai lasciato a piedi e invece ha sempre fatto la differenza nella mia vita.)

 It was awful tasting medicine, but I guess the patient needed it. Sometimes life hits you in the head with a brick. Don’t lose faith. I’m convinced that the only thing that kept me going was that I loved what I did. You’ve got to find what you love. And that is as true for your work as it is for your lovers. Your work is going to fill a large part of your life, and the only way to be truly satisfied is to do what you believe is great work. And the only way to do great work is to love what you do. If you haven’t found it yet, keep looking. Don’t settle. As with all matters of the heart, you’ll know when you find it. And, like any great relationship, it just gets better and better as the years roll on. So keep looking until you find it. Don’t settle.

(E’ stata una medicina molto amara, ma ritengo che fosse necessaria per il paziente. Qualche volta la vita ti colpisce come un mattone in testa. Non perdete la fede, però. Sono convinto che l’unica cosa che mi ha trattenuto dal mollare tutto sia stato l’amore per quello che ho fatto. Dovete trovare quel che amate. E questo vale sia per il vostro lavoro che per i vostri affetti. Il vostro lavoro riempirà una buona parte della vostra vita, e l’unico modo per essere realimente soddisfatti è fare quello che riterrete un buon lavoro. E l’unico modo per fare un buon lavoro è amare quello che fate. Se ancora non l’avete trovato, continuate a cercare. Non accontentatevi. Con tutto il cuore, sono sicuro che capirete quando lo troverete. E, come in tutte le grandi storie, diventerà sempre migliore mano a mano che gli anni passano. Perciò, continuate a cercare sino a che non lo avrete trovato. Non vi accontentate.)

When I was 17, I read a quote that went something like: “If you live each day as if it was your last, someday you’ll most certainly be right.” It made an impression on me, and since then, for the past 33 years, I have looked in the mirror every morning and asked myself: “If today were the last day of my life, would I want to do what I am about to do today?” And whenever the answer has been “No” for too many days in a row, I know I need to change something.

(Quando avevo 17 anni lessi una citazione che suonava più o meno così: “Se vivrai ogni giorno come se fosse l’ultimo, sicuramente una volta avrai ragione”. Mi colpì molto e da allora, per gli ultimi 33 anni, mi sono guardato ogni mattina allo specchio chiedendomi: “Se oggi fosse l’ultimo giorno della mia vita, vorrei fare quello che sto per fare oggi?”. E ogni qualvolta la risposta è “no” per troppi giorni di fila, capisco che c’è qualcosa che deve essere cambiato.)

No one wants to die. Even people who want to go to heaven don’t want to die to get there. And yet death is the destination we all share. No one has ever escaped it. And that is as it should be, because Death is very likely the single best invention of Life. It is Life’s change agent. It clears out the old to make way for the new. Right now the new is you, but someday not too long from now, you will gradually become the old and be cleared away. Sorry to be so dramatic, but it is quite true.

Your time is limited, so don’t waste it living someone else’s life. Don’t be trapped by dogma — which is living with the results of other people’s thinking. Don’t let the noise of others’ opinions drown out your own inner voice. And most important, have the courage to follow your heart and intuition. They somehow already know what you truly want to become. Everything else is secondary.

(Nessuno vuole morire. Anche le persone che vogliono andare in paradiso non vogliono morire per andarci. E anche che la morte è la destinazione ultima che tutti abbiamo in comune. Nessuno gli è mai sfuggito. Ed è così come deve essere, perché la Morte è con tutta probabilità la più grande invenzione della Vita. E’ l’agente di cambiamento della Vita. Spazza via il vecchio per far posto al nuovo. Adesso il nuovo siete voi, ma un giorno non troppo lontano diventerete gradualmente il vecchio e sarete spazzati via. Mi dispiace essere così drammatico ma è la pura verità.

Il vostro tempo è limitato, per cui non lo sprecate vivendo la vita di qualcun altro. Non fatevi intrappolare dai dogmi, che vuol dire vivere seguendo i risultati del pensiero di altre persone. Non lasciate che il rumore delle opinioni altrui offuschi la vostra voce interiore. E, cosa più importante di tutte, abbiate il coraggio di seguire il vostro cuore e la vostra intuizione. In qualche modo loro sanno che cosa volete realmente diventare. Tutto il resto è secondario.)

NOTE:

• Testo e video originale del “Commencement address” : http://news.stanford.edu/news/2005/june15/jobs-061505
• Testo tradotto in italiano (e’ una buona traduzione anche se ”foolish”, vuol dire “ingenuo” non “folle”) : http://marcelloseri.blogspot.com/2008/01/il-12-giugno-2005-una-giornata-speciale.html
• Steve Jobs su Wikipedia (EN) : http://en.wikipedia.org/wiki/Steve_Jobs
• Steve Jobs su Wikipedia (IT) : http://it.wikipedia.org/wiki/Steve_Jobs
• Una biografia di Steve Jobs : http://www.ilmediterraneo.it/it/il-personaggio/6976

Ho speso molti soldi per alcool, ragazze e macchine veloci. Il resto l’ho sperperato.

- George Best

Da oggi mi trovate solo al telefono, o al limite, via mail. 

Facciamo come gli antichi?! 
PARLIAMOCI!!!!

Ho provato questo prodotto proprio questa sera.

Prima di aprirlo e cucinarlo ero andato anche sul sito dove mi portava il fantastico codice a barre tridimensionale presente sulla confezione e avevo piacevolmente notato che il sito suggeriva il vino per accompagnare il piatto (forse un po’ pretenzioso per un surgelato!), eventuali contorni, prodotti Findus alternativi, tutto in un ottica di marketing spicciolo ma tutto sommato gradevole.

Beh! Il sito e’ la cosa migliore del prodotto il resto e’ da tirare direttamente nella pattumiera!!

Apprezzabile il tentativo di dare un certo brio ad un prodotto, il filetto di platessa, che di suo ha molto poco da dare, ma qui forse qualcosa e’ andato veramente storto!
Intanto sulla confezione c’e’ scritto di prepararlo mettendo una noce di burro nella padella, io non uso burro e ho messo solo un filo d’olio; come il prodotto ha cominciato a scongelarsi e a cuocere la cucina e’ stata inondata da un odore di burro (che io non ho messo ma contenuto negli ingredienti) assolutamente nauseante, di una pesantezza e di una grassezza unica.
Sentito l’odore che usciva dalla padella ho subito preso la confezione per scoprire che il prodotto e’ distribuito si da Findus italiana ma e’ prodotto a Urk , nei Paesi Bassi! Credo di capire perche’ il prodotto in fase di cottura rilascia uno strato di burro fuso nella padella alto un dito, nei Paesi Bassi col burro non ci vanno certo leggeri!
Alla fine mi sono rassegnato, ho aperto la finestra, ho messo un coperchio sulla padella, ho pregato di non svegliarmi domani mattina con dei bubboni in faccia come gli adolescenti afflitti dall’acne.
Durante la cottura ho provato a girare i filetti con la spatola da pesce, ma come spesso accade con la platessa, ha tentato di sottrarsi all’operazione divincolandosi e dividendosi in varie parti, ho pensato: “Ok, non disperare, succede sempre anche se la platessa non e’ alla mugnaia e di qualunque marca sia.”… Cercavo in fondo di consolarmi.

Finito di cuocere i filetti li ho messi nel piatto e ho notato che il burro mi salutava dalla padella soddisfatto di stare per trasferimi quella giusta dose di grassi giornalieri come secondo l’etichetta del prodotto. In una confezione da 300 grammi di “Filetti di platessa alla mugnaia Findus” ci sono 16,5 grammi di grassi di cui 10 di grassi saturi, e meno male che avevo preso la platessa perche’ sono a dieta!

Seduto a tavola, e guardando con sospetto i tre fletti che coprivano il piatto, li ho assaggiati. Apriti cielo!
Si distingueva chiarissimamente il burro, un vago retrogusto di limone e un sapore-sensazione indefinibile forse dovuto alla pastella e a quella cosa che hanno il coraggio di chiamare platessa.
A quel punto ho provato una sensazione devastante! Un’angoscia profonda! Non sapevo se sputare il boccone nel piatto, buttare via tutto sapendo di rimanere senza cena o tapparmi il naso e mangiare i fantastici filetti di platessa alla mugnaia Findus che mi guardavano beffardi dal piatto. Confesso, la fame e’ stata piu’ forte della ripulsa, l’ho mangiato, ma giuro, piu’ in fretta che ho potuto!

Tornato in cucina, l’aria ancora burrosissima si tagliava con il coltello, ho strizzato mezza confezione di detersivo per piatti nella padella e nel piatto e ho tirato tutto nel lavandino accompagnando con un bel “Vaffanculo Findus! A te e quelli che paghi per inventare prodotti di merda come questo!”. Viva la globalizzazione e i filetti di platessa che attraversano l’Europa per infestarci le case!
Domani lavo macchina del gas e piastrelle con l’acido, spero che l’olezzo trigliceridico vada via.

In sintesi, sempre secondo l’etichetta del prodotto, con 300 g. di un osceno prodotto surgelato ho ingerito 330 calorie… Se mi fossi fatto 80 grammi di pasta con pomodoro, basilico e un filo d’olio sarebbe praticamente stato quasi lo stesso apporto calorico, ma con una sensazione di goduria e benessere infinitamente superiore!

Per rifarmi la bocca mi sono succhiato il dito indice della mano destra dopo averlo infilato fino al gomito del braccio sinistro nel barattolo della marmellata di visciole. Che tragedia!

Se il mio vecchio frigo scassato e buio non fa piu’ neanche il ghiaccio vuol dire solo una sola cosa: che mi vuole bene e mi impedisce di comprare surgelati!!! Altro che “That’s Amore!“

… Anche io ti amo frighius e non ti cambiero’ mai!

Riflessioni:

• Chilometri percorsi da un qualche mezzo di trasporto per portare queste povere platessa da Urk, nei Paesi Bassi, a Roma e rovinarmi una cena: tra i 1.659  e i 1.752 (!!!) Costo calcolato per il carburante: 242,00 €

Nuda sei semplice come una delle tue mani,
liscia, terrestre, minima, rotonda, trasparente,
hai linee di luna, strade di mela,
nuda sei sottile come il grano nudo.

Nuda sei azzurra come la notte a Cuba,
hai rampicanti e stelle nei tuoi capelli,
nuda sei enorme e gialla
come l’estate in una chiesa d’oro.

Nuda sei piccola come una delle tue unghie,
curva, sottile, rosea finché nasce il giorno
e t’addentri nel sotterraneo del mondo.

come in una lunga galleria di vestiti e di lavori:
la tua chiarezza si spegne, si veste, si sfoglia
e di nuovo torna a essere una mano nuda.

da “Cento sonetti d’amore” (1959)

Chi si volesse iscriere (e’ solo su invito per ora, mi pare…) e mi volesse aggiungere alle sue cerchie, puo’ cliccare sul link sottostante e seguire la procedura.

Invito a Google+ : https://plus.google.com/_/notifications/ngemlink?path=%2F%3Fgpinv%3DjerH-BuXNQQ%3A3iNZfZIaldA

LulzStorm proclamation

Si da in ogni dove grande risalto alla notizia che degli hackers appartenenti al gruppo Lulzstorm – http://twitter.com/#!/LulzStorm – hanno attaccato e vulnerato i sistemi informativi di 18 atenei italiani. Si additando questi hackers come dei terroristi che si divertono a fare scorribande sui sistemi informatici altrui anche se non riuscendo in fondo a far danni per una presunta tenuta delle procedure di sicurezza.
Mah!… Che gli hackers abbiamo violato i sistemi delle università questo e’ vero, che facendo questo abbiano contemporaneamente anche violato leggi di vario genere e natura, e’ vero, ma voi, vi siete tolti lo sfizio di scaricare dai torrent ( http://www.monova.org/user.php?id=lulzst0rm ) il file con le password e i dati degli utenti che sono stati carpiti?

Una password di "admin" usata da un ateneo (dal file di LulzStorm)

Beh, se lo aveste fatto, avreste notato che la stragrande maggioranza delle password non rispettava neanche lontanamente gli standard piu’ banali di sicurezza. Moltissime utenze avevano uno schema username – password che rasenta il ridicolo: l’utente Mario Rossi ha come password “rossi”, l’utente Giuseppe Verdi ha come password “verdi”, e compagnia cantando. A quanto sembra inoltre le password registrate in alcuni dei sistemi erano in chiaro, non cifrate. Inutile dire che la gestione delle utenze e delle password sembrerebbe essere stata fatta in palese contrasto con la legge sulla privacy e varie altre direttive del Garante che prevedono almeno password complesse (non certo utente Verdi, password “verdi”), un cambio password obbligatorio ogni tot giorni, disattivazione degli account non piu’ utilizzati, ecc..

I rettori e i responsabili dei sistemi informativi degli atenei si sono affrettati a dire che i dati carpiti non sono dati sensibili (ma sono comunque definiti dalla legge “personali”) e che la violazione che c’e’ stata e’ di impatto ridottissimo. A mio parere questo e’ inesatto, parziale e non corrispondente al vero.
Se qualcuno riesce a violare il database delle password di un sistema, ovvero la sancta sanctorum del sistema stesso, puo’ a quel punto fare di quel sistema tutto cio’ che vuole, compreso arrivare ad altri dati quali, ad esempio, le rette pagate dagli studenti in funzione dei redditi delle loro famiglie. Per altro, non so quanto possano essere contenti gli studenti e i professori del fatto che i loro indirizzi mail, numeri di telefono, numeri di cellulare, utenze e password siano stati sparsi ai quattro venti per tutta internet.
E se quei pochi che usavano le password non di default avessero usato la stessa password anche per altri servizi on line, magari Facebook, magari la propria mail privata? Certo in questo caso sarebbe stato l’utente ad applicare una condotta non consigliata, ovvero usare sempre la stessa password per diversi servizi, ma e’ anche vero che finche’ quella password non fosse stata accessibile in maniera cosi’ facile, sarebbe comunque rimasta abbastanza al sicuro.

Ammesso poi che i dati carpiti non siano sensibili, potremmo mai verificare quando potrebbe essere fastidioso per rettori e professori se il loro numeri di cellulare venissero scritti in un bagno di qualche Autogrill, magari accompagnati da ammiccanti e non proprio signorili inviti?
Il gruppo LulzStorm ha tenuto a ribadire che si sono voluti fermare e che non hanno estratto dai sistemi ulteriori dati o danneggiato i sistemi violati perche’ questo ha voluto essere un attacco meramente dimostrativo (“We could have leaked much more. / We could have destroyed your db and your network.”), e c’e’ da crederci, alla faccia di chi minimizza per sentirsi meno responsabile del problema.

Alcuni dei dati personali carpiti dai database delle università. Nomi, cognomi, mail, indirizzi di casa, telefoni fissi e cellulari, codici fiscali.

Altra cosa sulla quale riflettere e’ che ben 18 sistemi diversi di 18 atenei diversi siano stati violati tutti insieme, probabilmente perche’ condividono gli stessi sistemi di (in)sicurezza e modalità comuni di gestione; come a dire, capito come violare un sistema, capito come violare tutti gli altri che sono similarmente (mal) gestiti. Sarà colpa degli appalti pubblici sull’affidamento della gestione dell’informatica o della faciloneria con cui in Italia si fa sempre tutto?

Ora i rettori continueranno a minimizzare di fronte alla stampa (e agli studenti) non rendendosi neanche conto dell’entita’ del problema e delle sue implicazioni, gli atenei cominceranno a preoccuparsi di chiudere le porte della stalla quando i buoi sono gia’ scappati e varie forze di polizia cominceranno a giocare a guardia e ladri per individuare i colpevoli. Spero che le forze di polizia e il Garante della privacy pero’ si muovano anche nella direzione opposta, ovvero nel cercare i responsabili della sicurezza informatica (tipicamente indicati nei DPS allegati ai bilanci degli atenei) e a verificare se questi abbiano posto in essere almeno le misure minime di sicurezza per la salvaguardia dei dati degli utenti. Si vero, gli hackers hanno violato dei sistemi infrangendo la legge, ma e’ altrettanto vero che la legge e’ stata infranta anche da quanti, prima, forse non hanno osservato tutto quanto prescritto in materia di salvaguardia dei dati personali (e non).

More info:

• http://www.corriere.it/cronache/11_luglio_06/hacker-universita_a1303f04-a7f2-11e0-80dd-8681c9f51334.shtml
• http://tg24.sky.it/tg24/cronaca/2011/07/06/hacker_universita_italiane_lulzstorm_diffuse_password_siti.html
• http://www.repubblica.it/tecnologia/2011/07/06/news/hacker_di_nuovo_all_attaco_stavolta_delle_univesit_italiane-18761507/

Elenco delle università attaccate:

Uno strano refuso in uno dei nomi di dominio.

• http://www.unisi.it/
•  http://www.unisa.it/
•  http://www.uniroma1.it/
•  http://www.antonianum.eu
•  http://www.econoca.it
•  http://www.uniba.it
•  http://www.unibocconi.it
• http://www.unifg.it
•  http://www.unime.it
•  http://www.unimib.it
•  http://www.uniurb.it
•  http://www.unibo.it
•  http://www.unipv.it
•  http://www.unina2.it/
•  http://www.unile.it
•  http://www.polimi.it/
•  http://www.unito.it/
•  http://www.unimo.it/

Qualche informazione sul Lago delle Meduse…

Il Lago delle Meduse si trova sull’isola di Eli Malk nella repubblica di Palau. Ventimila anni fa queste meduse furono intrappolate in un bacino naturale dell’isola quando l’oceano si ritirò. Per migliaia di anni senza che i predatori le cacciassero, queste meduse sono evolute in una nuova specie e hanno perso le loro capacità urticanti non dovendosi piu’ difendere da eventuali aggressori. Queste meduse oggi sono innocue per l’uomo ma persone con una pelle particolarmente sensibile potrebbero provare dolore venendo in contatto con loro. Chi e’ allergico dovrebbe comunque indossare una muta o degli abiti protettivi.

Queste affascinanti creature sopravvivono in una relazione simbiotica con delle alghe che vivono al loro interno. Durante la notte, le meduse scendono nelle profondità del lago dove le alghe si nutrono. Durante il giorno le meduse tornano in superficie seguendo il sole attraverso il lago in una migrazione di massa. Attraverso la fotosintesi le alghe convertono l’energia del sole in zuccheri di cui si nutrono le meduse.

Non e’ possibile fare immersioni nel lago perché lo strato nutritivo, da 15 metri di profondità in poi, contiene solfuro di idrogeno altamente tossico per le persone. Se un sub dovesse scendere in questo strato, le tossine potrebbero entrare nel corpo attraverso la pelle e questa esposizione potrebbe essere letale. In ogni modo, lo snorkeling e’ assolutamente sicuro e se un giorno ti dovessi trovare a Palau, dovresti andare in questo posto speciale. L’esperienza di nuotare tra milioni di meduse e’ un po’ surreale e Palau e’ l’unico posto al mondo in cui lo puoi fare.

Spero che ti piaccia il video che stai vendendo.

- Traduzione del testo originale di Lorenz

More info:
National Geographic Channel : http://natgeotv.com/it/great-migrations/video/lago-meduse
Jellyfish Lake – Wikipedia : http://en.wikipedia.org/wiki/Jellyfish_Lake
Google images : millions pictures…

Io direi che, se qualcuno ha poschissimo tempo da vivere e decide di passarlo davanti ad un letto, guardando un uomo che dorme, c’e’ amore. Oserei aggiungere che se, durante questo tempo, la persona ha avuto un attacco cardiaco e ha taciuto per non essere costretta ad allontanarsi dall’uomo, e’ perche’ quell’amore puo’ crescere.

Da “Veronika decide di morire” – Paulo Coelho

Negli ultimi tre giorni ci sono saltati tre apparati differenti, su tre clienti differenti, e abbiamo perso non meno di tre giorni di lavoro per ripristinare tutto, giorni di cui manderemo presto il conto a Fortinet. Pur essendo partner Fortinet, di sicuro ci penseremo bene la prossima prima di comprare degli altri apparati perché non e’ la prima volta che ci troviamo in condizioni di emergenza per problemi simili dovuti a bug del firmware o a signatures con problemi e dati i margini economici nei quali ci si muove, in particolare nel mercato small & medium business, il gioco non vale la candela se gli apparati (e servizi) hanno un elevato (sufficiente) indice di difettosità.

In ogni modo, di seguito l’output della console di uno degli apparati affetti dal problema, più sotto il bollettino rilasciato dal supporto tecnico (volendo anche l’originale in PDF ) ed in ultimo la nota tecnica inviataci “Loading FortiGate firmware image using TFTP”

FGT50B-DEAD_DEVICE #

Please stand by while rebootig

FGT50B (14:15-10.01.2008)

Ver:04000010
Serial number:FGT50B3G09123456
RAM activation
Total RAM: 256MB
Enabling cache...Done.
Scanning PCI bus...Done.
Allocating PCI resources...Done.
Enabling PCI resources...Done.
Zeroing IRQ settings...Done.
Verifying PIRQ tables...Done.
Enabling Interrupts...Done.
Boot up, boot device capacity: 64MB.
Press any key to display configuration menu...
......

Reading boot image 1319595 bytes.
Initializing firewall...
System is started.
pid-28 lock_mlog()-504 shmget()failed: No such file or directory
pid-28 lock_mlog()-504 shmget()failed: No such file or directory
pid-28 lock_mlog()-504 shmget()failed: No such file or directory

__get_backdoor_timeout: Couldn't get shm
__set_backdoor_timeout: Couldn't get shm

FGT50B-DEAD_DEVICE login: pid-28 lock_mlog()-504 shmget()failed: No such file or directory
pid-28 lock_mlog()-504 shmget()failed: No such file or directory
pid-28 lock_mlog()-504 shmget()failed: No such file or directory
pid-28 lock_mlog()-504 shmget()failed: No such file or directory

FGT50B-DEAD_DEVICE login:

FGT50B-DEAD_DEVICE login: pid-28 lock_mlog()-504 shmget()failed: No such file or directory
FGT50B-DEAD_DEVICE login: pid-28 lock_mlog()-504 shmget()failed: No such file or directory

FGT50B-DEAD_DEVICE login: admin
Password: ********
__admindb_get_copy: Couldn't get admindb
__admindb_get_copy: Couldn't get admindb
Welcome !

FGT50B-DEAD_DEVICE # pid-28 lock_mlog()-504 shmget()failed: No such file or directory

Number: CSB-110610-1
Released: 10 June 2011
Modified: N/A
Subject: FortiGuard Update – Failed Reboot Condition
Product: FortiGate
Description:

A FortiGate may fail to restart correctly after a power cycle or a software reboot if a FortiGuard update of either the IPS engine and its signatures or the AV engine and its signatures has been performed. After the update has successfully completed and a subsequent reboot is carried out, the FortiGate device may hang and traffic may not traverse through it, the following output may be seen on the console port:

__get_backdoor_timeout: Couldn’t get shm
__set_backdoor_timeout: Couldn’t get shm
__admindb_get_copy: Couldn’t get admindb

Affected Products:

FortiGate devices running FortiOS v4.0 MR1 Patch Release 1 through to Patch Release 9, inclusive.
Check if the version of IPS engine and signature that is loaded on the FortiGate:

FortiGate# get sys fortiguard-service status

NAME VERSION LAST UPDATE METHOD EXPIRE

If FortiGate is running one of the affected firmware versions listed above, the IPS engine is version 1.230 AND the attack definitions are version 3.012 the device may be susceptible to this issue

Resolution:

To prevent the issue , update the IPS attack definition to version 3.013. This can be retrieved from the FortiGuard network by performing an update on the IPS definitions.

Using the GUI interface : System > Maintenance > FortiGuard > IPS definitions – Update

Then verify the attack definition file has been updated to 3.013:

FortiGate# get sys fortiguard-service status

NAME VERSION LAST UPDATE METHOD EXPIRE

Patch Release 10, v4.0, MR1 is scheduled for release on June 16th, 2011 to correct the FortiOS corruption of shared memory issue.

If the FortiGate has been rebooted and is already in the hung state, recovery can be achieved by reloading the firmware image via a TFTP reload.

For an emergency fix, customers are required to contact Fortinet Customer Support to request an interim build of firmware with the correction applie.

• There is no need to open any extra ports on your corporate or personal firewall, as all communications between the technician and the customer’s computer make use of the standard web protocol (HTTP).
• An encrypted connection is established between technician and customer using established Internet protocols (256-bit SSL).
• Support sessions are initiated by the customer: a technician cannot examine a customer’s computer without being invited to do so by the customer.
• Once the support session has ended, all access rights to access the customer’s computer are removed.
• Sessions can be recorded to provide a trail of a technician’s actions.
• Nothing is permanently installed on the customer’s computer. A small Applet is downloaded when the session starts and is removed when the session ends. The only exception to this is if the Calling Card Applet is installed onto the customer’s computer. In this case, the Applet remains on the machine, but it is the customer who initiates support sessions by launching the Calling Card