The network hole

Come ripromessomi, rieccomi qui a prendere nota di come tappare un buco di cui ero consapevole ma che finora ho ignorato visto i rischi relativamente bassi.

Poi è arrivato KeRanger. Gli “espertoni” dicono che non dobbiamo preoccuparci, tanto al massimo sono stati infettati 6500 Mac, e loro – solo per questione fortuita – non erano tra gli sfigati: che peccato!

In realtà dovremmo cominciare a farlo perché là fuori c’è qualcuno intenzionato a colpire la fascia di utenti smaliziata: è un po’ strano, perché colpire utonti di solito è economicamente molto più fattibile, ma è successo. Cioè: a scaricare Transmission dal sito di Transmission e lanciarlo sul Mac avrei potuto anche essere io. Il passo successivo, quello di controllare l’hash dei file per ogni applicazione da installare, è roba da Snowden.

Aspetti negativi: gli antivirus per questo tipo di attacchi basati sulla tempestività SONO INUTILI.

Come mitigare:

  1. installare ed usare qualcosa come QUBE OS, ma anche questo è roba da Snowden.
  2. backup: funziona solo se il backup supporta la history dei file, funzionalità abbastanza comune (lo fa CrashPlan e il backup server di Windows Home Server). Perché se il backup mantiene solo l’ultima copia, potrebbe essere quella già criptata

Un altro aspetto collegato è il fatto che ormai da sempre tutti i miei contenuti, documenti/multimedia/ecc., sono depositati su un server NAS centralizzato, e questi sono accessibili con le stesse credenziali che uso quotidianamente. Da questa riflessione sviluppatasi nel forum è venuto fuori che avere permessi di scrittura su un NAS usando le stesse credenziali è altrettanto pericoloso: un’applicazione malevola potrebbe cancellare tutte le mie foto, criptarle o distruggerle in qualsiasi altra maniera irreparabile. Per questo tipo di evenienza, che copre anche il guasto hardware degli hard-disk, c’è la copertura di CrashPlan online, ma dover scaricare TB di dati non è il massimo della convenienza.

Ieri sono arrivato alla conclusione che avere un unico set di credenziali con permessi di scrittura è nocivo, sbagliato e va risolto: prima meglio che poi. E ieri ho risolto: rimossi i permessi di scrittura a tutti gli utenti interattivi di casa, ovvero gli umani, e assegnati permessi di scrittura solo ad amministratori e bot protetti da password diverse. C’era solo un piccolo problema da superare: Windows non permette di usare due credenziali diverse quando si accede a due share diverse di uno stesso server.

In poche parole, non si può usare Topolino per accedere a \\SERVER\topolino ed usare Paperino per accedere a \\SERVER\paperino. Ora se solo fosse possibile avere due “nomi” per lo stesso “SERVER”, visto che le credenziali sono legate al nome del server, si sarebbe a cavallo.

Questo per fortuna è possibile in un paio di modi:

  • se sul server si usa SAMBA, intesa come l’implementazione Linux/Unix del protocollo SMB, allora è semplicissimo. Basta aggiungere una riga in cima al file di configurazione (smb.conf). Esempio:
    netbios aliases = SERVER TOPOLINO PAPERINO
    Una volta riavviato il servizio nmbd, si può raggiungere il server usando uno qualsiasi dei nomi indicati. Per Windows sembreranno server diversi, quanto basta per assicurarsi la possibilità di usare appunto credenziali diverse.
  • se si tratta di un server Windows o altra roba e se il server Windows ha un indirizzo IP statico, allora basta aggiungere la coppia “indirizzo_IP aliasserver” al file in \WINDOWS\SYSTEM32\etc\drivers\hosts e risolvere la questione (sfortunatamente sul lato client)
  • in ogni altro caso, il consiglio è di passare ad Ubuntu Server 16.04: supporta ZFS nativamente e a tanta bell’altra roba (dieci anni fa, altri tempi)

A questo punto si tratta solo di creare le share con diversi permessi ed il gioco è fatto.

Data la centralizzazione del controllo, il primo metodo è preferibile al secondo, ma in ogni caso dal punto di vista operazionale sono identici.

Alla fine della giornata, se anche facessi girare il malware usando le mie credenziali, il danno sarebbe comunque limitato alla macchina su cui gira. Se anche questa è regolarmente backuppata possiamo veramente “smettere di preoccuparci”.

-quack

Pubblicato sabato 19 marzo 2016 alle 12:19 AM - 55 commenti so far
Archiviato in: Windows, Security, Linux

Wasting time

“Solo”due anni fa:

L’opposto è altrettanto valido: non appena si collega un mouse al tablet, l’esperienza diventa “solo” quella desktop, magari con una piccola eccezione e cioé poter far girare le applicazioni tablet in una finestra in modalità “emulazione” e possibilmente senza touch.

Oggi i rumor:

Users running Threshold on a desktop/laptop will get a SKU, or version, that puts the Windows Desktop (for running Win32/legacy apps) front and center. Two-in-one devices, like the Lenovo Yoga or Surface Pro, will support switching between the Metro-Style mode and the Windowed mode, based on whether or not keyboards are connected or disconnected.

Credo che se la direzione è questa, Windows 9 potrà essere finalmente usabile anche per chi usa il desktop come modalità primaria.

Perché accoglierlo prima questo feedback ed evitare il disastro che hanno combinato finora pareva proprio brutto.

-quack

Pubblicato martedì 1 luglio 2014 alle 12:06 AM - 19 commenti so far
Archiviato in: Windows

Too. Late.

Su segnalazione di Floo, Paul Thurrot ha due parole per Windows 8.2:

Maybe it's time for Windows 8.2. And I have a two-word recommendation for Microsoft for that release: "Start. Menu."

Le mie parole sono invece come da titolo.

Perché se non ci si rende conto che lo scopo primario di un PC è di attaccarlo al ‘device fantastico di prossima generazione’, Windows morirà molto in fretta (altra notizia di oggi: Microsoft ha smesso di vendere Windows 7; se me l’avessero detto ieri sarei passato al Company Store a prendere un paio di licenze…). Infatti questi ‘device fantastici di prossima generazione’ hanno driver per Linux…

La cosa buffa è che i soliti ‘giornalisti visionari’ che tanto mi piacerebbe vedere se scrivessero codice cosa combinerebbero, nel commentare la notizia del fatto che alcune app hanno cominciato a installare bitcoin miners (tempo fa si usava farlo con lo spyware), si auguravano la morte più veloce possibile del desktop. Utenti ed utonti tutti ad usare mirabolanti applicazioni 30” per cose semplici come può essere il calcolo del codice fiscale…

Credo che Windows deve al più presto tornare a fare Windows. Nessuno si sogna di collegare uno di questi device ad un telefono (guarda caso grazie al kernel di WP8 si può tecnicamente pure fare!) eppure questo è quello che MS vorrebbe venderci con Windows uno e trino.

Lo Start Menu ora non basta.

-quack

P.S. non sono un fan di bitcoin, l’esempio è puramente incidentale…

Pubblicato venerdì 6 dicembre 2013 alle 7:11 PM - 22 commenti so far
Archiviato in: Microsoft, Windows

Win8 vs Vista

Dicono che, leggendo tra le righe di questo articolo, si possa intravedere un sottotesto che dice che Win8 è il nuovo Vista (occhio: articolo scritto da quello schizofrenico di Paul Thurrott, che un giorno ci dice che siamo una massa di caproni incapaci di capire che Win8 è il futoro ed il giorno dopo che Win8 è un fiasco).

La butto lì: Windows 8 è molto peggio di Vista.

  1. tra le qualità più discutibili di Vista c’era l’introduzione dell’UAC, un male necessario.
  2. tra le qualità più incomprese di Vista c’era il supporto dell’HDCP. C’era gente attivissima nel denigrare, dall’alto del proprio Mac che il supporto HDCP l’aveva introdotto di nascosto, il DRM come il prossimo pianoforte appeso sulle nostre teste alla stregua di una spada di Damocle. Siamo tutti ancora vivi, no?
  3. tra i problemi più imbarazzanti di Vista c’era lo scetticismo innaturale degli OEM che hanno cominciato a supportare l’OS con driver decenti solo con l’SP1
  4. Microsoft ha poi pensato di alleggerire il tutto con qualche debacle.

Nessuna di queste cose ha chiesto grosse manovre correttive, Windows 7 è semplicemente arrivato al momento giusto sfruttando, a tratti ingiustamente, un po’ di gloria rubata a Vista (per altri versi migliorie ce ne sono pure state).

Ma l’argomento più convincente è: MS Windows 7 non ce l’ha mica regalato. Sarà una differenza da poco?

-quack

Pubblicato martedì 9 luglio 2013 alle 6:41 PM - 23 commenti so far
Archiviato in: Microsoft, Windows

Il Windows che avrei voluto

Una serie di pensieri buttati alla rinfusa che non ho tempo di riordinare.

Separazione delle “responsabilità”: si possono unire più gadget in un unico dispositivo (media player, navigatore satellitare, telefono, ecc.) ma è stupido pensare che il fatto che un dispositivo sia multi-uso implichi la stessa interfaccia per tutte le operazioni. L’app telefono su iPhone è un app telefono e non usa l’interfaccia del GPS o per usare il media player non c’è bisogno di usare il T9.

Si può mettere in un unico dispositivo PC e Tablet? Certamente sì, hanno parecchie cose in comune. Ma questo non significa che per usare il PC si debba passare dalla modalità tablet o viceversa.

Il mio slate Windows l’avrei voluto così: un OS tablet che gira in una macchina virtuale e che diventa attivo nel momento in cui sfilo lo slate dal dock. Da quel momento in poi il desktop scompare completamente, non si può usare e le applicazioni sono quelle da tablet. Perché nel momento in cui sfilo lo slate ho le mani impegnate e l’interfaccia desktop non ha senso di esistere.

L’opposto è altrettanto valido: non appena si collega un mouse al tablet, l’esperienza diventa “solo” quella desktop, magari con una piccola eccezione e cioé poter far girare le applicazioni tablet in una finestra in modalità “emulazione” e possibilmente senza touch.

Stessa rigida separazione per le app: vuoi usare Excel? Attacca un mouse al PC! Vuoi usare l’apputtanata del tabaccaio dietro l’angolo? Possibilmente staccalo e l’esperienza sarà migliore.

Tutti i setting modificati in modalità tablet, rimangono e vivono solo in modalità tablet: se setto la luminosità a 10, collego il mouse la cambio a 5, nel momento in cui stacco il mouse e il dispositivo ritorna tablet, la luminosità torna a 10. Tutti i setting per la modalità tablet vivono solo nell’interfaccia tablet. Fanno eccezione pochissimi setting di sistema (magari solo l’impostazione di reti wireless e non). Tutti i setting per la modalità desktop vivono e vengono applicati SOLO nella modalità desktop.

Tutto questo è supportato dal fatto che le cosiddette APPUTTANATE si dividono più o meno in queste categorie: giochi (irrilevanti), applicazioni “utili” tipo produttività personale on the go o torcia tascabile (inutilissime sul desktop), applicazioni che rimpiazzano i siti Web (altrettanto inutili) e qualche altra categoria che ora non riesco ad immaginare.

Ho l’impressione che un dispositivo come questo farebbe gola all’enterprise molto più di Surface, che è solo una pallida imitazione di quello che davvero si può fare.

P.S. per me un PC è un dispositivo per creare contenuti e il processo creativo richiede l’uso di strumenti adatti; il tablet è un device passivo, pensato per il consumo. Non a caso per creare “contenuti” per Android/iOS oggi è richiesto l’uso di un PC.

Pubblicato venerdì 10 agosto 2012 alle 11:20 PM - 14 commenti so far
Archiviato in: Microsoft, Windows