Best Practice and Recommendations for Linux Server

Securing Linux server is very important to protect your data, intellectual property from the hands of crackers (hackers). The system administrator is responsible for security of the Linux box. In this blog we will go through important tips for hardening a Linux server.

Note: In this blog we are targeting specifically CentOS & RHEL Linux Operating system but same concept can be applied to other Linux/Unix flavors as well.

Link here to best practices

Link here to Linux Server Maintenance Checklist

Security Tools to Check for Viruses and Malware on Linux

Antivirus tool

Whether you need an antivirus or anti-malware scanner or a tool to hunt for rootkits, Linux has you covered.

Wait, Linux needs antivirus and anti-malware solutions? I thought it was immune to such things. Perhaps a bit of clarification is necessary here.

First and foremost, no operating system is 100 percent immune to attack. Whether a machine is online or offline, it can fall victim to malicious code. Although Linux is less prone to such attacks than, say, Windows, there is no absolute when it comes to security. I have witnessed, first hand, Linux servers hit by rootkits that were so nasty, the only solution was to reinstall and hope the data backup was current. I’ve been a victim of a (very brief) hacker getting onto my desktop, because I accidentally left desktop sharing running (that was certainly an eye opener). The lesson? Even Linux can be vulnerable.

So why does Linux need tools to prevent viruses, malware, and rootkits? It should be obvious why every server needs protection from rootkits — because once you are hit with a rootkit, all bets are off as to whether you can recover without reinstalling the platform. It’s antivirus and anti-malware where admins start getting a bit confused.

Let me put it simply — if your server (or desktop for that matter) makes use of Samba or sshfs (or any other sharing means), those files will be opened by users running operating systems that are vulnerable. Do you really want to take the chance that your Samba share directory could be dishing out files that contain malicious code? If that should happen, your job becomes exponentially more difficult. Similarly, if that Linux machine performs as a mail server, you would be remiss to not include AV scanning (lest your users be forwarding malicious mail).

With all of that said, what are your options? Let’s take a look at a few tools, offered for the Linux platform, that do a good job of protecting you (and your users) from viruses, malware, and rootkits.

ClamAV

Without a doubt, ClamAV is the most popular option for keeping viruses off of your Linux machines and out of your shared directories. There are a few reasons why ClamAV is so popular among the Linux crowd. First, it’s open source, which in and of itself is a big win. Second, it’s very effective in finding trojans, viruses, malware, and other threats. ClamAV features a multi-threaded scanner daemon that is perfectly suited for mail servers and on-demand scanning.

ClamAV can be run from command line or it with the ClamTK GUI. Both tools are easy to use and very dependable. Installing ClamAV is simple.

For Debian-based systems:

sudo apt install clamav

For RHEL/CentOS systems:

sudo yum install epel-release

sudo yum install clamav

For Fedora-based systems:

sudo dnf install clamav

For SUSE-based systems:

sudo zypper in clamav

If you’re running a Debian-based desktop, you can install ClamTK (the GUI) with the command:

sudo apt install clamtk

There are also third-party tools that can be added (to include support for the likes of MTA, POP3, Web & FTP, Filesys, MUA, Bindings, and more).

Upon installation, the first thing you’ll want to do is update the signatures with the command sudo freshclam. Once that completes, you can scan a directory with the command:

clamscan -r -i DIRECTORY

where DIRECTORY is the location to scan. The -r option means to recursively scan and the -i options means to only print out infected files. If you work with the GUI, it’s even easier. From the GUI you can run a scan and, should ClamAV find anything, act on it (Figure 1).

ClamAV

Figure 1: ClamAV found a file with possible malicious code.

Usare rsync per una sincronizzazione in locale

Come detto, grazie a rsync è possibile sincronizzare file e cartelle in modo facile e sicuro. Supponendo di voler sincronizzare due cartelle in locale (ad esempio per creare un backup o una copia “esportabile” su una chiavetta USB) potremmo usare una sintassi del genere:

rsync -avz /path/to/source /path/to/destination

Vediamo nel dettaglio le opzioni utilizzate:

  • a => modalità “archivio” (copia ricorsivamente tutti i file, preservando permessi, timestamp, link simbolici, owner e gruppi);
  • v => modalità “verbose”, offre un output a video circa il risultato dell’elaborazione;
  • z => comprime i dati usando l’algoritmo gzip;

Non sovrascrivere i file modificati di recente

Si faccia attenzione: utilizzando la sintassi vista sopra, rsync andrà ad allineare il contenuto del path di destinazione con quello del path sorgente! Se nella cartella di destinazione si hanno dei file più recenti rispetto alla cartella sorgente e li si vuole preservare si dovrà aggiungere il comando -u, in caso contrario, infatti, la cartella di destinazione viene allineata con la sorgente a prescindere che i files in essa contenuti siano più recenti o meno.

rsync -auvz /path/to/source /path/to/destination

Sincronizzare un solo file

Volendo è possibile utilizzare rsync per effettuare il backup di un singolo file specificandone il nome in qualità di sorgente:

rsync -avz /path/to/source/filename /path/to/destination

Sincronizzare solo la struttura della directory

E’ possibile decidere di sincronizzare solo la struttura della directory sorgente nella destinazione remota. Per farlo useremo l’opzione -d in questo modo:

rsync -avd /path/to/source/filename /path/to/destination

Eliminare i file non presenti nella posizione sorgente

Supponiamo di avere dei files nella cartella di destinazione che non sono presenti nella cartella sorgente. Come si comporta rsync in questa situazione? Normalmente ignora questi file e li lascia dove sono. Se, tuttavia, preferiamo eliminarli possiamo utilizzarel’opzione –delete in questo modo:

rsync -avd --delete /path/to/source/filename /path/to/destination

Sincronizzare solo i file già presenti nella cartella di destinazione

E’ anche possibile dire ad rsync di sincronizzare esclusivamente i files già presenti nella folder di destinazione evitando cioè di crearne di nuovi qualora nella sorgente siano presenti files non rinvenibili nella directory target. Per una simile eventualità si utilizzerà l’opzione –existing in questo modo:

rsync -avd --existing /path/to/source/filename /path/to/destination

Collection of small and useful freeware utilities

http://www.nirsoft.net/

NirSoft web site provides a unique collection of small and useful freeware utilities, all of them developed by Nir Sofer.
If you are looking for Windows password-recovery tools, click here.
If you are looking for network tools, click here.
To view your IP address and other information, click here.
To view all major IP address blocks assigned to your country, click here.
To read the Blog of NirSoft, click here.
To download a package of all NirSoft utilities (Updated every week), go to this Web page.

Un classico malware dietro il cyberspionaggio che ha colpito i palazzi del potere

Secondo la Polizia Postale, i fratelli Occhionero avrebbero organizzato un attacco ATP ai danni di enti e istituzioni. Partendo dallo scaricamento di un semplice allegato

Diverse volte abbiamo messo in luce l’importanza della sicurezza informatica e della sofisticatezza degli attacchi del cybercrime. Mai come in queste ore la cronaca sta evidenziando come questi allarmi non fossero esagerati e interessino da vicino l’Italia: la Polizia postale ha infatti arrestato i fratelli Giulio e Francesca Occhionero, noti personaggi dell’alta finanza capitolina, con l’accusa di aver messo in piedi una botnet con finalità di cyberspionaggio a danno di istituzioni e pubbliche amministrazioni, politici di spicco (si è parlato anche degli ex premier Renzi e Monti, ma la notizia non è confermata), studi professionali e soggetti di rilievo nazionale. Manco a dirlo, detentori di informazioni particolarmente sensibili e strategiche o di particolare valore per il mondo finanziario.

L’indagine ha preso le mosse dalla segnalazione al C.N.A.I.P.I.C. (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche della Polizia Postale) dell’invio di una mail, indirizzata a un amministratore di rilievo di un’infrastruttura critica nazionale (si parla dell’Enav), contenente il malware EYEPYRAMID. Un malware già noto dal 2008, ma ancora efficace grazie a una serie di aggiornamenti non noti. Che si è diffuso più o meno come fanno tutti i malware, ossia attraverso lo scaricamento di un allegato (forse un pdf) contenuto in una mail di un mittente credibile. Grazie a questo troyan i due fratelli sarebbero riusciti ad accedere da remoto ai Pc delle vittime, intercettando mail e persino conversazioni via chat.

Un lavoro non certo limitato, tanto che la polizia ha trovato un elenco di 18.327 username (di cui 1.793 corredate da password e catalogate in 122 categorie’ che indicano la tipologia di target (politica, affari, etc…), per complessivi 87GB di dati sottratti, secondo una stima del vendor di sicurezza Trend Micro. I dati sensibili sottratti, sarebbero poi stati custoditi su impianti informatici statunitensi, già sequestrati dagli operatori della Polizia Postale, grazie all’ausilio dell’F.B.I. statunitense e persino criptati. Insomma un vero e proprio attacco informatico del tipo APT (Advanced Persistent Threat), ingegnerizzato ad hoc sfruttando un malware capace di far acquisire da remoto il controllo del sistema informatico bersaglio, e consentire la sottrazione dei contenuti dei pc colpiti.

Un attacco che però, a prima vista, non appare particolarmente elaborato o sofisticato, ma che eppure si è dimostrato capace di bucare le protezioni di difesa dei massimi vertici politici ed economici italiani. Quello che appare poco chiaro è che, a quanto pare, l’indagine andava avanti da marzo, ma soltanto adesso si è arrivati ai provvedimenti di custodia cautelare e dunque allo stop delle presunte attività illecite della coppia di fratelli. Forse una sottovalutazione della portata dell’inchiesta, tanto che – a poche ore dall’esplosione del caso – il Capo della polizia, Franco Gabrielli, ha disposto la rimozione del responsabile della polizia postale, Franco Di Legami. Un’altra domanda – per ora insoluta – a cui dovranno rispondere gli inquirenti è, naturalmente, chi sono gli acquirenti di questi dati sottratti. Quel che è certo è che l’indagine dimostra, qualora ci fossero ancora dubbi quanto sia importante difendersi dalle minacce del cybercrime.

Fonte: Digital4

Adwcleaner – Rimuovere programmi indesiderati e toolbar inutili

Una volta rimossi i programmi indesiderati con Malwarebytes, suggeriamo di scaricare ad avviare Adwcleaner. Il software, una volta effettuata la scansione, si fa carico di eliminare tutte le barre degli strumenti sospette o conosciute come pericolose dal sistema Windows in uso.
Sarà così possibile rimuovere elementi residui rimasti sul sistema dopo l’analisi di Malwarebytes ed eliminare quei programmi ancora sconosciuti agli autori del noto antimalware. Continue reading

Malwarebytes Anti-Malware

Malwarebytes Anti-Malware è un software che consente di proteggere il proprio personal computer dalle minacce in circolazione. Il programma funge da difesa contro virus, worm, trojan, rootkit, dialer, spyware e malware di ogni genere.

La versione gratuita del software permette di rilevare e rimuovere i malware eventuali rilevati sul personal computer ma non consente l’utilizzo della protezione in tempo reale per attivare la quale è necessario l’acquisto di una licenza d’uso. Nella versione freeware, inoltre, gli aggiornamenti debbono essere applicati manualmente prelevandoli dal sito web del produttore (è sufficiente fare clic su questo link per prelevare le definizioni antimalware aggiornate). Continue reading

SpyBot

SpyBot è un software che, come il più famoso Ad-Aware, consente di scovare e rimuovere tutti i file-spia, utilizzati da vari programmi, che vengono sfruttati per prelevare dal nostro personal computer informazioni relative ai nostri gusti e ai siti web visitati.
Il programma rileva e rimuove tutti i più invadenti sistemi di advertising inclusi in alcuni software, comprese le utility-spia e i software usati per loggare la pressione dei tasti (keyloggers). In aggiunta, è possibile rimuovere le tracce lasciate durante l’uso del personal computer (cookie, cronologia dei siti web visitati, file temporanei e molto altro ancora…).
Continue reading

Combofix download – per rimuovere malware ed altre minacce su computer già infetti

Sebbene non abbia un’interfaccia grafica ed il suo funzionamento induca qualche timore in alcuni utenti, Combofix si è da sempre messo in evidenza come un programma eccellente per l’eliminazione dei malware più pericolosi.Combofix non dovrebbe essere eseguito sul sistema a meno che non ve ne sia un reale bisogno. Per effettuare indagini sulla presenza di malware ed altri “ospiti indesiderati” suggeriamo Malwarebytes Anti-Malware od Hitman Pro.Sui sistemi già infetti, comunque, Combofix riesce a risolvere gran parte delle situazioni eliminando i malware che interferiscono con il corretto funzionamento del sistema.

È importante sottolineare che una volta avviato Combofix, il sistema non deve essere in alcun modo utilizzato né riavviato: è importare lasciare che Combofix completi le sue operazioni senza in alcun modo interromperne l’azione.

Rimuovere programmi indesiderati: suggerimenti pratici

È estremamente frequente per un consulente o per amministratore di sistema trovarsi dinanzi a sistemi sui quali sono stati programmi indesiderati e toolbar inutili.
Una “moda” che sta prendendo sempre più piede negli ultimi tempi è quella che vede l’inserimento, direttamente nel file d’installazione di un programma, di componenti superflui, assolutamente non necessari per il funzionamento dell’applicazione alla quale si è interessati.

Quando si scaricano e si installano sul sistema dei nuovi software, quindi, è importantissimo verificare che insieme ad essi non venga previsto il caricamento di componenti aggiuntivi superflui o, talvolta, pericolosi.

Continue reading

Il Backup perfetto con Linux

Il backup in ambiente Linux è una di quelle procedure che va impostata bene una sola volta, per poi dimenticarsene completamente. Trovo molto utile la guida scritta da Saverio Bolognani che spiega dettagliatamente come implementare il “Backup Perfetto” in ambienti Linux. Ovviamente la procedura quì descritta può essere applicata anche sui sistemi Ubuntu Linux.

Penso che il backup perfetto (in qualsiasi sistema operativo) debba soddisfare i seguenti requisiti. Continue reading

DIFFUSIONE DEL RAMSOMWARE “CRYPTOLOCKER” VIRUS INFORMATICO

Cryptolocker è un virus del tipo “Cavallo di Troia”, che si inocula attraverso l’avvio di un file eseguibile infetto, comparso già nel corso del 2013 e il cui picco di diffusione nel nostro Paese si è registrato negli ultimi mesi. Non appena eseguito, il virus si inocula nel sistema infettandolo e, dopo tentativi di connessione a server remoti, viene avviata la cifratura dei file nei formati più comuni rendendoli inutilizzabili dall’utente. Le tecniche di diffusione del virus possono essere varie e non si discostano minimamente dalle medesime già note da oltre 15 anni agli esperti del settore. Il sistema più frequente è quello dell’inoltro di un allegato tramite il servizio di posta elettronica: il doppio clic, anche se effettuato inavvertitamente, basta a infettare il sistema informatico. Un altro sistema, molto più sofisticato, consistete nell’impiego di tecniche di ingegneria sociale attraverso le quali, studiando le abitudini della vittima, i malfattori mettono a punto elaborate strategie abbastanza credibili da trarre in inganno gli utenti spingendoli a eseguire il file infetto. Continue reading

Garante Privacy: Niente Cookie senza consenso

Il Garante Privacy ha stabilito che è vietata l’installazione dei cookie per finalità di marketing senza consenso. Chi naviga in Rete potrà decidere se consentire l’utilizzo o meno delle informazioni collezionate sui siti visitati per ricevere pubblicità mirata. Il provvedimento è stato pubblicato sulla Gazzetta ufficiale. In precedenza era stata lanciata una consultazione pubblica.

L’authority, guidata dal garante Antonello Soro, vuole che i navigatori siano utenti informati. Il Garante ha individuato quattro modalità semplificate per portare l’informativa online e rendere gli utenti consapevoli sull’uso dei cookie. L’Authority ha offerto indicazioni per acquisire il consenso, ove richiesto dalla legge. Quando si accede all’home page o ad un’altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cuidevono risultare chiare le seguenti informazioni: innanzitutto, dev’essere indicato che il sito sfrutta cookie di profilazione per inviare messaggi pubblicitari mirati;in secondo luogo, deve essere esplicito che il sito permette anche l’invio di cookie di “terze parti”, cioè di cookie installati da un sito diverso tramite il sito che si sta visitando; in terzo luogo, deve essere segnalato un link a un’informativa più estesa, dove sia descritto l’uso dei cookie inviati dal sito e dove l’utente possa eventualmente negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”; infine, l’indicazione che continuando nella navigazione (anche solo accedendo ad un’altra area del sito o da un’immagine o un link) si concede il consenso all’uso dei cookie.

Il gestore del sito può utilizzare un cookie tecnico, in modo tale da evitare di riproporre l’informativa breve alla seconda visita dell’utente. L’utente mantiene, comunque, la possibilità di cambiare le proprie scelte sui cookie attraverso l’informativa estesa, che deve essere linkata da ogni pagina del sito. Il Garante ha predisposto un modello di banner disponibile sul proprio sito www.garanteprivacy.it.

Garante Privacy: Niente cookie senza consenso

Garante Privacy: Niente cookie senza consenso

Da anni ITespresso.it invita gli utenti a prendere l’abitudine, ogni tanto, di cancellare i cookie, creati sul proprio Pc. Sono piccoli file di testo che i siti visitati spediscono al dispositivo (computer, tablet, smartphone, notebook) dell’utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti a nuova visita. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni sui siti. In caso, è meglio conservare solo quelli dei siti web più visitati. I cookie sono poi utilizzati per “profilare gli utenti”, in base ai gusti, in modo da proporgli advertising mirato. Anche se i nomi, cognomi,  indirizzi e-mail non rientrano nelle informazioni di cui le aziende pubblicitarie dispongono, il problema rimane, perché il browser fornisce altre informazioni, che abbinate con altri dati relativi alle abitudini di navigazione e attività di uno stesso individuo, possono fornire l’identikit di un utente. L’authority vuole che gli utenti acquisiscano consapevolezza su tutto ciò che può avvenire, a loro insaputa, riguardo ai propri dati.

Le minacce alle applicazioni Web

OWASP ha appena aggiornato la classifica relative alle minacce per la sicurezza ritenute maggiormente critiche. Ecco la “Top 10”.

Fonte: Michele Nasi – www.ilsoftware.it

17 Giugno 2013

La Open Web Application Security Project (OWASP) è una fondazione senza scopo di lucro che incentra le sue attività sulla produzione di risorse, articoli e materiale relativo a problematiche collegate con la sicurezza informatica. Non affiliata con alcuna società, OWASP può contare sul supporto di una comunità di collaboratori a livello mondiale.
A distanza di tre anni (le precedenti indagini risalivano al 2004, al 2007 ed al 2010), OWASP ha appena aggiornato la classifica relative alle minacce per la sicurezza ritenute maggiormente critiche.

La “OWASP Top 10 2013” (prelevabile cliccando qui; file in formato PDF) si propone come un valido aiuto per professionisti e realtà aziendali. L’obiettivo è quello di diffondere una maggiore consapevolezza sulle minacce informatiche e favorirne una più corretta gestione.

Di seguito le problematiche che OWASP menziona in ordine di importanza: vediamone in breve il significato.

1° Injection Flaws (in 1° posizione nel 2010)
Si chiama “SQL injection” una particolare pratica di hacking che mira a colpire applicazioni web che si appoggiano a DBMS (ad esempio, MySQL, SQL Server, Oracle, Access e così via) per la memorizzazione e la gestione di dati. L’attacco si concretizza quando l’aggressore riesce ad inviare, semplicemente usando il browser, una query SQL arbitraria all’applicazione web.
Quando i dati inviati in input non vengono opportunamente filtrati, l’interrogazione SQL ricevuta in ingresso dalla pagina web, potrebbe essere “agganciata” alla query effettuata a livello server dall’applicazione web. I risultati possono essere drammatici: l’aggressore, nel caso in cui l’attacco dovesse andare a buon fine, può essere in grado di alterare dati memorizzati nel database, aggiungere informazioni maligne nelle pagine web dinamiche generate a partire dal contenuto della base dati, modificare username e password.

2° Broken Authentication and Session Management (in 3° posizione nel 2010)
Le credenziali di autenticazione e i “session token” sono spesso non adeguatamente difesi.
Un “session token” è un identificatore univoco, solitamente prodotto nella forma di un valore di hash, che viene generato ed inviato dal server al client in modo tale da stabilire la corrente sessione di lavoro. Il client memorizza ed invia il token come un cookie HTTP trasmettendolo come parametro nelle query GET e POST.
Un aggressore può sfruttare le “lacune” nella gestione di questi dati per modificare password, chiavi od assumere identità altrui.

3° Cross Site Scripting (XSS) (in 2° posizione nel 2010)
Una vulnerabilità XSS si presenta nel momento in cui un’applicazione prende in carico i dati ricevuti in ingresso reinviandoli poi al browser web senza operare una validazione dell’input o senza codificarlo in alcun modo.
Malintenzionati possono sfruttare falle XSS per eseguire script nocivi attraverso il browser web dell’utente, sottraendo dati di autenticazione, invocando il download di malware, modificando porzioni del sito web visitato.

4° Insecure Direct Object Reference (in 4° posizione anche nel 2010)
Il problema di sicurezza si verifica nel momento in cui lo sviluppatore espone in chiaro dei riferimenti ad oggetti-chiave come file, directory, database, chiavi. L’aggressore potrebbe manipolare questi riferimenti per accedere ad altri oggetti senza alcuna autorizzazione.

5° Security Misconfiguration (in 6° posizione nel 2010)
Una configurazione lato server sicura è sempre la chiave di volta per non avere problemi di sicurezza. I software installati debbono essere sempre mantenuti aggiornati e le impostazioni di applicazioni, framework, software server, database server e sistemi operativi vanno sempre revisionate per accertarsi della loro adeguatezza.

6° Sensitive date exposure (non in classifica nel 2010)
I tecnici di OWASP fanno riferimento alla scarsa protezione dei dati sensibili conferiti dagli utenti che viene offerta da molte applicazioni web. Il rischio che si corre, in questo caso, è che un aggressore si impadronisca di informazioni sulle carte di credito e sulle credenziali di autenticazione appartenenti ad altri utenti.

7° Missing Function Level Access Control (non in classifica nel 2010)
Un’applicazione web generalmente effettua il controllo delle credenziali d’accesso di un utente e visualizza, di conseguenza, gli strumenti che possono essere utilizzati con quello specifico account. La disponibilità dei permessi per l’utilizzo di ogni specifica funzione dev’essere controllata anche nel momento in cui l’utente richiede l’accesso alla funzione stessa.

8° Cross Site Request Forgery (CSRF) (in 5° posizione nel 2010)

Si tratta di un attacco che si concretizza inviando ad una applicazione web delle richieste sfruttando le autorizzazioni di un utente “trusted”, ad esempio una persona che abbia effettuato il login su un determinato sito web.
Supponiamo che l’utente Bob sia loggato su un sito web di una banca e che, non effettuando il login, egli acceda – ad esempio – ad una pagina web dove il malintenzionato Mallory ha pubblicato un messaggio. Il messaggio preparato da Mallory contiene, ad esempio, una tag html IMG che fa riferimento ad uno script residente sul server della banca di Bob.
Visitando la pagina “dannosa”, Bob potrebbe quindi inconsapevolmente dare il via ad un’operazione che lui non ha richiesto.
Ecco perché è sempre consigliabile effettuare il logout da qualsiasi servizio online si stia utilizzando.
Un esempio su tutti? La vulnerabilità CSRF scoperta dal ricercatore Petko D. Petkov a fine 2007 all’interno del servizio Google GMail.
In alcune schermate dimostrative pubblicate sul sito Gnucitizen.org, Petkov illustrò una possibile forma di attacco: “nell’esempio, l’aggressore prepara un filtro aggiuntivo che permette di estrarre le e-mail con allegato e le inoltra ad un altro indirizzo e-mail di sua scelta”, dichiarò il ricercatore. Un attacco potrebbe innescarsi nel momento in cui l’utente visiti un sito web maligno, opportunamente sviluppato per far leva sulla lacuna di sicurezza, rimanendo loggato al servizio GMail. Il sito maligno avvierà poi quello che Petkov definisce “multipart/form-date POST“, un comando che può essere impiegato per caricare file, inviandolo all’application programming interface di GMail. L’aggressore avrà la possibilità di “iniettare” un filtro personalizzato a quelli usati da GMail.
La vittima dell’attacco sarà costantemente “sotto scacco” (la sua posta elettronica, nell’esempio, continuerà ad essere inoltrata a terzi, a sua insaputa e senza la sua autorizzazione) finché il filtro “maligno” sarà presente nella scheda Impostazioni, Filtri del servizio GMail. Google, da parte sua, comunicò poi di aver risolto il problema.

9° Using Components with Known Vulnerabilities (non in classifica nel 2010)
L’utilizzo di applicazioni e componenti che presentano vulnerabilità di sicurezza è sempre da evitare. Un aggressore può infatti sfruttarle per acquisire privilegi più elevati o per eseguire codice in modalità remota.

10° Unvalidated Redirects and Forwards (al decimo posto anche nel 2010)
Le applicazioni web reindirizzano frequentemente il browser verso altre pagine od altri siti web. Talvolta il dato relativo alla destinazione non viene sottoposto ad un’adeguata attività di validazione. In questo modo, può capitare che gli aggressori siano in grado di reindirizzare le vittime verso siti contenenti malware o pagine utilizzate per attacchi phishing.

Fonte: http://searchsecurity.techtarget.it/01NET/HP/0,1254,18_ART_154409,00.html

How to Select a Battery Backup for Your Computer

2013-04-22_095615

A cheap power strip might protect equipment from power surges, but it does nothing to help when the power goes out and your system comes to a halting crash. Read on as we show you how to buy the right battery backup device for your needs.

Why Do I Want to Do This?

Sudden loss of power and power surges are  two of the principle causes of damage to computers and other sensitive electronics. Even cheap power strips will do a decent enough job protecting against the power surges, but they offer no protection against drops in line voltage, brownouts, blackouts and other power supply issues.

In order to protect your computer against power supply interruptions you need a battery backup, appropriately named an Uninterruptable Power Supply (UPS). UPS units provide a buffer against power supply interruptions ranging from a few minutes to an hour or more depending on the size of the unit.

A simple way to think about the utility of a UPS unit is to think about working on a notebook computer. You’re at home, your laptop is plugged into an appropriate surge protection strip, and you’re busily finishing up some reports for work. A summer storm knocks the power out. Although the lights go out, your work on the notebook computer is uninterrupted because the notebook switched over to battery power seamlessly when the flow of electricity from the power cord vanished. You now have plenty of time to save your work and gracefully shut down your machine.

If you had been working on a desktop without a UPS unit (the desktop computer equivalent of the notebook computer’s battery) the system would come to an immediate halt. Not only would you lose your work but the process imposes unnecessary stress on your machine. In all our years of working with computers the vast majority of hardware failures can be directly attributed to the stress hardware components experience during the shut down and startup process (especially if power surges or blackouts are involved).

A UPS unit would, at minimum even with a very small unit, provide a window of time where your computer could be gracefully shut down or sent into hibernation mode and brought back online once the power outage or other power situation was resolved. If the situation is resolved while the UPS unit still has enough battery life remaining, then you can work right through the storm without interruption. Even if you’re not in direct attendance of the computer (say the computer in question is your backup server in the basement) you’re still protected as the UPS will communicate with the computer via tether and shut the machine down properly in your absence.

In both situations, a graceful shutdown or the ability to work through short interruptions in power, are vastly superior to your system being brought to a system shocking hard stop when the power goes out.

Read on as we guide you through identifying your UPS needs, calculating your UPS power requirements, and understanding the features and design types of various UPS units.

Where Do I Need UPS Units?

The UPS market is a very diverse one; you can find UPS units that range from tiny desktop units that supply enough power to keep a lightweight desktop computer running for 10 minutes without wall-supplied power to a walk-in-freezer sized units deployed in data centers to keep an entire bank of servers running through a storm.

As such it’s possible to spend anywhere from a hundred bucks on a low-end UPS unit to more than you spent on the computer itself for the UPS unit. The most important step in your UPS selection and shopping process is to sit down and chart out your power needs before spending your hard earned cash on gear that is overkill (or worse, underpowered) for your situation.

First, think about all the systems in your home or office that need the extended power protection supplied by a UPS unit, to stay online in the event of power outages, or both. Every reader will have a different setup, for the sake of example we’re going to use our home as a template to help you think about all the varied power needs found in a typical residential setting.

The most obvious system would be your desktop computer. In our case we have two desktop computers in our home–one in a home office and one in a child’s playroom.

Less obvious, but still important, are any secondary computer systems such as a home media server or network attached storage device used for local backup. In our case we have a media server/backup server in the basement.

In addition to the primary computers and auxiliary computers are there other electronic devices that you want to protect from power outages and keep online? In our case in addition to the aforementioned computers we also have a cable modem, router, and Wi-Fi node that we would like to protect from power loss. There isn’t a “graceful shutdown” equivalent for the cable modem, for example, but our particular cable modem is finicky and requires a manual reset after a power outage. Attaching it to a nearby UPS unit would add very little overhead to our UPS needs but would make sure those little micro power outages that occur during high winds and summer storms won’t send up scurrying to the data closet to reset the darn thing.

How Big of a UPS Unit Do I Need?

At the bare minimum you need enough juice in your UPS unit to give your computer system adequate time to shut down properly. That’s the absolute acceptable minimum. If your UPS unit doesn’t have enough juice to provide for the system from the moment the power cuts out until the moment it has successfully shut down, you’re risking damage to the machine and data loss.

How do we calculate the power needs of the system? The first step is examining the core system and peripherals you wish to keep on in the event of power loss.  In the case of our home server, we don’t need to calculate the peripheral load because there are no peripherals (it’s a headless server with no power needs beyond that of the hardware directly in the tower). On the other hand, our two computers (in the home office and the playroom) do have peripherals like monitors, external hard drives, etc. In the case of a power outage where you’re working at the computer, it’s worthwhile to have the battery also supply the monitor so you can interact with the machine. Don’t neglect to include the power load of peripherals when calculating your needs.

Let’s start off by determining the power needs of our home server as it is the most simple of our setups. If you want to be extremely precise with your calculations, you can use a power meter to measure the actual consumption patterns of your devices. We outline how to do so in The How-To Geek Guide to Measuring Your Energy Use.

Alternatively, you can look at the power supply rating for your computer as a measure of the maximum power the computer will pull. It’s important to note, however, that a 400w power supply is not pulling a constant load of 400w. Our home server has a 400w power supply but when measured with a Kill-a-Watt measuring tool it has a peak startup load of a little over 300w and a consistent operating load of only around 250w.

If you’re looking to be very conservative in your power estimation needs, go with the maximum rating of the PSU and peripherals (this way you’ll end up with extra battery life instead of too little battery life). Alternatively, you can increase the precision of your calculations by using a measuring device and allocate more of your budget towards UPS unit features you want and less towards buying a bigger battery.

Regardless of whether you use the less precise or more precise method, you now have a wattage value. For our calculation examples we’re going to use 400w as our value.

A simple rule-of-thumb calculation you can use to determine how much UPS is as follows:

1.6 * Wattage Load = Minimum Volt-Amperes (VA)

Volt-Amperes are the standard measurement used to describe the capacity of UPS units. Using the equation above we see that the minimum VA rating we’d want for our 400w needs would be a 640 VA rated system.

Now that we have a minimum rating, the next question on everyone’s mind is most likely: How long will that minimum system run the setup? After all you’re getting a battery backup system for your computer to keep everything running when the power is out.

Unfortunately there isn’t a super quick rule-of-thumb calculation for determining the runtime like there is for determining the necessary minimum VA. We’ll show you how to do the calculation so that you can double check manufacturer estimates if you wish, but it’s not a particular speedy or fun calculation to run through.

In order to calculate the estimate runtime of a UPS system you need to know four things: the VA rating of the UPS unit, the number of battery cells in the UPS unit, the DV voltage rating of those batteries, the capacity (or Ampere-Hours) of the batteries. Unfortunately not all of this information is easily cribbed off of a simple web site listing for the product you’re interested in running the calculation on so you’ll likely need to dig through a PDF of the manual, supplemental documents, and so on to get it all. In other words, it’s a huge pain.

Once you have all the requisite information, however, you can plug it into the following equation:

( Battery Voltage * AH Rating * Efficiency) / VA Rating =  X
X * 60 = Estimated Run Time in Minutes

So let’s pretend we’re looking at a theoretical UPS unit that has the following specs:

VA Rating: 700
Battery Voltage: 12
AH: 9
Efficiency: 0.9 (90%)

When we plug those numbers into the equation we get the following:

( 12 * 9 * 0.9 ) / 700 = 0.139
0.139 * 60 = 8.3 minutes

So this particular UPS unit could sustain the system under full load for a little over 8 minutes (longer if the system is under partial load).

We shared this exercise with you so that you can do the calculations if you wish but it’s not something we particularly recommend. It’s such an enormous hassle to dig up all the information (especially the efficiency rating); it’s much more expedient to use manufacturer estimate tables (which we’ve found to be on the conservative side anyways). You can check out the calculation/selection tools of the more popular UPS unit manufacturers here:

Practically speaking, once you’ve established the minimum VA requirement for your setup then you can go and begin comparing the run times for UPS units that meet that minimum VA requirement with higher rated systems to determine how much more you’re willing to spend to get extra run time.

Understanding the Differences Between UPS Types

So far we’ve identified where we need UPS units and how to calculate how big of a UPS unit we need. In addition to those two factors, it’s important to understand how the major UPS technologies on the market differ from each other and why two 1000 VA rated units might have a price difference of $100 or more (and what you get for that extra $$$).

There are three principle UPS design types available. The least expensive design is known as Offline/Standby UPS. If the UPS unit you’re looking at makes no mention of what type of unit it is, then it’s most likely a Standby UPS the most basic design.

Standby UPS unit charges its battery and then waits for the mains power to drop off. When that happens, the Standby UPS mechanically switches to the battery backup. This switch over takes about 20-100 milliseconds which is generally well with in the tolerance threshold of most electronics.

Line-Interactive UPS unit has a similar design to a Standby UPS unit but includes a special transformer. This special transformer makes Line-Interactive UPS units better at handling brown outs and power sags. If you live in area that has frequent brownouts or line-voltage issues (e.g. the lights frequently dim but you don’t actually lose power) it’s definitely worth the small increase in cost to purchase a Line-Interactive UPS.

An Online UPS unit is the most expensive type of UPS unit as it requires significant extra circuitry. The Online UPS unit completely isolates the devices attached to it from the wall power. Instead of jumping into action at the first sign of power out or voltage regulation issues like the Standby and Line-Interactive units, the Online UPS unit continuously filters the wall power through the battery system. Because the attached electronics run completely off the battery bank (which is being perpetually topped off by the external power supply) there is never a single millisecond of power interruption when there is power loss or voltage regulation issues. The Online UPS unit then, is effectively an electronic firewall between your devices and the outside world, scrubbing and stabilizing all the electricity your devices are ever exposed to. Expect to pay a 200-400% premium for an Online UPS unit over a similarly spec’ed Line-Interactive Unit.

Comparing Secondary Features

Even though a UPS unit is effectively just a sophisticated battery, there are tons of little features that can greatly enhance your UPS experience. Now that we know how to size and compare the basic elements of the UPS let’s take a look at additional features you’ll want to consider when picking out a UPS unit.

Supplementary software/OS compatibility: UPS units aren’t just power strips with big old batteries attached. Any UPS unit worth the $$$ you paid for it will include some method for interfacing the unit with the computer it is attached to. For most units this is a simple USB cable run between the UPS and the computer so that when the unit switches over to battery power it can alert the attached computer and, when the battery reserve grows too low, initiate the shut down process.

When shopping for your UPS unit, make sure that the unit you’re looking at can 1) communicate with attached devices and 2) communicate specifically with your chosen operating system. If you’re on Windows this won’t be much concern but if you’re using OSX or Linux you don’t want to find out post-purchase that all the cool software bells and whistles you saw in the ad copy for the UPS unit aren’t available on your OS.

For an example of how the UPS software interacts with the operating system, check out our tutorial on setting up APC’s PowerChute software.

Number of outlets: UPS units generally have a mix of on-battery and off-battery (but still surge protected) outlets. Make sure that there are adequate outlets for your needs. Some brands include additional outlet-related features such as peripheral outlets that automatically put peripherals to sleep to save energy.

Cable filters: If you know the unit will be used for your cable modem and router, for example, you’ll want to double check the specs to ensure that the UPS unit includes surge protected/filtered ports for your Ethernet and Coax cables.

Displays: Not all UPS units have displays (and you may not care if yours does) but they can be quite useful. Older units and newer low-end units do not include displays. As such you’re limited in receiving feedback from the unit either via communication over the USB/serial cable or (more annoyingly) as beeps from the unit. A compact display screen that can tell you additional information like remaining run time, battery health, and other tidbits is very handy.

Noise/Fans: Small UPS units generally do not have fans. Larger units often do and it’s worth reading reviews and digging around online to see if the fans are as quiet as the manufacturer claims. While fan noise isn’t an issue if you’re adding a UPS unit to a home server kept in the basement, it’s a real big deal if you’re adding a UPS unit to your home theater setup.

User-replaceable batteries: Does the unit have user-replaceable batteries and how much do they cost? UPS batteries don’t last forever (3-5 years is a pretty typical lifecycle for a UPS battery). When the battery finally fails, and it will, you’ll either need to buy new batteries (if you can swap them yourself) or buy a whole new unit. Except for very low-end UPS units where the replacement battery is often times almost as much as a brand new UPS unit, you should always look for units with user-replicable batteries. There’s no reason at all to scrap a $100+ unit for inability to swap out the simple 12V batteries inside.


Armed with the above information you’re now ready to shop for a UPS unit perfectly suited for your needs, big or small.

Have a tip, trick, or bit of related knowledge to share about UPS units? Join in the conversation below to help your fellow readers.

Fonte: http://www.howtogeek.com

Il downtime di un datacenter costa 3.500 euro al minuto

La stima di uno studio del Ponemon Institute che ha analizzato 41 datacenter con dimensione minima di 232 metri quadri. Per i service provider o le società di e-commerce si arriva a 8.000 euro al minuto

I guasti dei datacenter possono costare alle organizzazioni più di 3.500 euro al minuto. Il dato emerge da una ricerca effettuata dal Ponemon Institute e sostenuta da Emerson Network Power.

La ricerca ha analizzato il funzionamento e la gestione di 41 datacenter di diversi settori industriali con una dimensione minima di 232 metri quadri ed è stata realizzata intervistando oltre 450 professionisti per calcolare costi diretti e indiretti delle interruzioni del servizio.

Lo studio sottolinea come le inadeguatezze dei segmenti power, cooling, monitoring e service possono contribuire ai guasti.

Oltre 2 ore il tempo di ripristino medio
Ne emerge che, in caso di downtime di un data center, il tempo medio di ripristino delle operazioni è di 134 minuti e il costo per l’azienda di queste oltre due ore di black-out è di oltre 475.000 euro (ovvero circa 680.000 dollari).

La situazione peggiora se si considerano le aziende con modelli di guadagno che dipendono dalla capacità dei data center di fornire servizi IT e di networking, come appunto i service provider e le società di e-commerce, per le quali un singolo donwtime può arrivare a costare anche fino ad 700.000 euro (1 milione di dollari), ossia quasi 8.000 euro al minuto.

Per calcolare il costo complessivo, i ricercatori del Ponemon Institute hanno utilizzato un sistema di Activity Based Costing, prendendo in considerazione i costi diretti, indiretti e il costo opportunità (cioè il valore a cui si rinuncia nel caso non si sfrutti un’opportunità). I dettagli nella figura in basso.

Mancano risorse
I dati indicano che i professionisti che gestiscono i data center lamentano la carenza di risorse per una gestione ottimale delle infrastrutture: quasi il 60% sostiene che sarebbe stato possibile prevenire i guasti mentre solo il 37% ritiene di avere a disposizione tutte le risorse necessarie per ripristinare il corretto funzionamento del data center in caso di problemi.

Perché si guasta un datacenter?
In base ai dati forniti dai rispondenti, nel 29% dei casi l’indiziato numero uno è l’UPS. Al secondo posto l’errore umano (citato nel 24% dei casi) e a seguire problemi energetici e nel condizionamento. In figura le primarie cause di guasto.

fonte: searchCIO.it

I datacenter? Sicuri solo sulla carta

Secondo uno studio di Gabriel Consulting Group su 147 responsabili di datacenter, c’è un divario fra percezione e realtà. Perché la sicurezza virtuale non è uguale a quella fisica.

McAfee ha rilasciato i risultati di un’indagine condotta da Gabriel Consulting Group che riporta un divario tra la percezione della sicurezza e la realtà tra i responsabili della sicurezza It aziendale.

Lo studio Datacenter Security Survey 2011 si è focalizzato sulle problematiche e sulle soluzioni di sicurezza e ha coinvolto 147 responsabili di data center aziendali.

La maggior parte degli intervistati (60%) dichiara che la direzione ritiene che la sicurezza sia più solida di quanto non lo sia effettivamente, mentre solo il 22% riporta che la direzione è a conoscenza della reale situazione della sicurezza della propria azienda.

Lo studio ha rilevato che, sebbene quasi la metà degli intervistati ritenga che la virtualizzazione e i cloud privati rappresentino una sfida di sicurezza, la maggior parte degli intervistati utilizza gli stessi strumenti per proteggere i sistemi fisici e quelli virtualizzati.
In sostanza, mentre le aziende continuano ad adottare virtualizzazione e cloud, la tecnologia di sicurezza utilizzata spesso è una replica della sicurezza delle risorse fisiche, e questo si traduce in ostacoli, come policy di rete incoerenti e falle nella sicurezza.

Difatti, quasi la metà degli intervistati ha riferito di essere costantemente alla ricerca di nuove falle di sicurezza, più del 40% ritiene che lo stato della sicurezza della propria azienda non sia al passo con le minacce, circa il 70% ha mostrato scetticismo sulla sicurezza del cloud pubblico e il 40% ha rivelato che la sicurezza nel quotidiano non è conforme agli standard richiesti dalle loro policy ufficiali.

da: searchcio.it

WarDriving, come viene compiuto

Documentario: WarDriving, come viene compiuto

Ecco quindi che oggi voglio proporvi questo lavoro portato a termine, sperando che possa essere il più esaustivo possibile sull’argomento.

Il software utilizzato all’interno del video è Vistumbler, un’applicazione che permette di mappare le reti WiFi e di esportarle successivamente all’interno di Google Earth.

Fonte: Luca Mercatanti’s Blog