L’altro giorno ero da Marcello, un cliente che ha scelto, saggiamente, di proteggere nel migliore dei modi la sua attività da attacchi informatici. Non si tratta di una multinazionale, ma semplicemente di un Architetto che ha ben chiaro il valore dei dati, il sudore versato per produrli e i danni economici che deriverebbero da un’eventuale perdita o indisponibilità. Un illuminato in un contesto, quello italiano, dove “queste cose a me non succedono, perché sto attento”.
(Mi accorgo solo ora che non ha un profilo LinkedIn, quindi domani verrà cazziato dal sottoscritto)
Oltre all’installazione di un antivirus gestito da noi, ho proposto a Marcello l’installazione di un firewall WatchGuard, sempre gestito da noi. Nessun acquisto, quindi, ma semplicemente un canone mensile di servizio che copre entrambi i prodotti oltre che l’assistenza sui computer.
L’introduzione dei firewall ha reso necessario cambiare la configurazione della rete, poiché non è stato possibile cambiare quella del router, controllato dal provider, che gestisce anche la linea telefonica su VoIP.
Attivazione di una nuova rete wireless e cambio IP dei computer e del plotter. Tutto procede per il meglio, e l’intervento si preannuncia di durata breve.
Ma c’è un ma…
Nello studio di Marcello è presente un dispositivo multifunzione con funzione di scanner di rete, utile per inviare scansioni di documenti o disegni a eventuali destinatari email, a una chiavetta USB o direttamente al computer. Ma Marcello, al computer, non è mai riuscito ad inviare nulla. Si è sempre dovuto appoggiare all’USB, poiché il venditore del dispositivo non ha configurato la funzione scan-to-PC.
Che strano, penso…
“Beh, Marcello, te la configuro io. Dover dipendere dalla chiavetta USB è una roba che va contro il mio status di pigro. Sto male per te, solo a pensarci…”
E via, che mi metto a smanettare sul dispositivo per capire come configurarlo. In un attimo cambio l’IP e metto i computer in grado di stampare. Si tratta quindi solo di gestire le scansioni verso l’iMac di Marcello, e poi è fatta.
Creo una cartella dedicata alle scansioni sul desktop del Mac, per comodità, e decido di dire al multifunzione di utilizzarla come destinazione. E qui inizia il cinema.
Il multifunzione (a marchio UTAX, ma in pratica una Kyocera ribrandizzata) può inviare le scansioni tramite due protocolli: SMB e FTP. Scelgo il primo, ma dopo una serie di tentativi falliti capisco che la macchina non è in grado di gestirlo quando la destinazione è un Mac. Passo a FTP, ma continuo a non avere successo.
Decido di chiamare il venditore del multifunzione per avere qualche delucidazione in merito alla configurazione, ma mi risponde che loro non sono mai riusciti a configurarla su Mac e che probabilmente non è compatibile.
Mi dice che sui PC Windows loro hanno sempre creato la cartella, condivisa con i permessi “Everyone – Full Control” e poi ha sempre funzionato tutto
Ormai è una questione di principio, e chi mi conosce sa che il mio rapporto con le questioni di principio è pessimo. Probabilmente morirò per una questione di principio, quindi immagina cosa posso fare di fronte a un multifunzione. Di certo non gliela lascio vinta.
Dopo un’ora di tentativi capisco come Kyocera vuole che venga inserito il percorso della cartella FTP e le scansioni iniziano ad arrivare al Mac.
Marcello fa i salti di gioia.
Io mi gongolo.
Ma torniamo alla frase del venditore di multifunzione.
Loro hanno sempre condiviso la cartella con i permessi “Everyone – Full Control”
Ogni volta che un permesso viene fissato su Everyone – Full Control, un tecnico con competenze di sicurezza informatica muore. Qualche settimana dopo il decesso, un cliente con quel permesso settato viene sodomizzato da un cryptovirus.
Se hai letto il mio ebook “CRYPTOSTOP – Ransomware e Cryptovirus: sei armi per difendersi”, avrai constatato che una di queste armi è proprio l’assegnazione dei permessi di accesso a file e cartelle gestita con criterio logico.
“Everyone – Full Control” è tutto tranne che logico. Anzi, se devo essere sincero, è proprio da coglione.
Ti dico a cosa corrisponde questa impostazione in un contesto non informatico, così magari ci capiamo.
Immagina di abitare in una villa di lusso. Se non devi immaginare e ci abiti davvero sei fortunato, ma non è questo il punto. La villa rappresenta il tuo server.
Hai un giardiniere che, una volta alla settimana, viene a fare la manutenzione del parco (stai in una villa di lusso, vuoi non avere un bel parco?), e per farlo deve accedere alla rimessa degli attrezzi.
Il problema è che il giardiniere ha diversi dipendenti, e sono in 3 o 4 ad alternarsi per i lavori di manutenzione. La chiave della rimessa è una sola, e spesso l’operaio che viene per i lavori non l’ha con se, essendo rimasta in tasca a quello della settimana precedente.
Come risolvere il problema?
Il sistema più semplice sarebbe fare 4 copie delle chiavi, in modo che ognuno possa avere sempre con se quella a lui destinata.
L’approccio Everyone – Full Control, invece, prevede di togliere la porta dalla rimessa e lasciarla sempre spalancata.
Entrambe le soluzioni risolvono il problema del giardiniere, ma con la seconda, in breve tempo, il contenuto della rimessa sparirà per essere rivenduto al miglior offerente al mercato della ricettazione. Il locale subirà furti continui e tu, per risolvere il problema del giardiniere, continuerai a riacquistare le attrezzature necessarie alla tua manutenzione, molte delle quali molto costose.
Ti sentiresti un po’ coglione, in un contesto del genere? Io credo di sì.
Condividere una cartella in rete, senza limitarne l’accesso ai soggetti che lo necessitano davvero, corrisponde proprio alla scelta fatta per agevolare il giardiniere. Le ragioni per cui ci si trova con il server simile a un colabrodo, solitamente sono due:
- Pigrizia: non hai voglia di ragionare su chi deve accedere a cosa, e quindi l’unica strada possibile per il tecnico che ti sta installando il sistema è quella di lasciare aperto tutto a cani e porci, per evitare mille chiamate di operatori “chiusi fuori”;
- Dabbenaggine del tecnico che non ha idea dei rischi a cui si espongono in dati con quel tipo di configurazione sui permessi di accesso.
Chi dovrebbe avere i diritti di Full Control su una cartella?
Basta una parola per rispondere a questa domanda: NESSUNO.
O meglio, nessuno degli utenti utilizzati per accedere ai tuoi PC in azienda. Nessun dipendente. Nessun manager. Nessun amministratore delegato. Neanche tu, e il fatto che sei quello che paga gli stipendi e le mie fatture non cambia di una virgola la situazione. Non devi avere il permesso Full Control. Punto.
Full Control lo devo avere solo io quando accedo come amministratore per le attività di configurazione e di manutenzione. Non serve a nessun altro.
Tendenzialmente, cerca di limitare l’accesso concedendo diritti più restrittivi invece del contrario.
Andrea deve poter accedere alla cartella XXX? Non lo so, quindi nel dubbio facciamo che no.
Sono sicuro che Andrea deve poter leggere i documenti nella cartella YYY. Deve anche poterli modificare? Nel dubbio facciamo ancora che no.
Con questa tecnica sicuramente erogherai i diritti minimi. In pratica stai dicendo ai giardinieri che non darai loro nemmeno 4 copie delle chiavi. Se qualcuno è senza deve citofonare e farsi aprire dal domestico.
Un controllo ulteriore, perché il domestico annoterà su un taccuino quando ha aperto, quando ha chiuso e a chi. Se dovesse sparire un rastrello sarà più facile capire chi è il responsabile.
Spero di averti passato qualche concetto utile per la sicurezza del tuo server (e magari della tua rimessa degli attrezzi). Ora ti lascio, dicendoti 3 cose:
- Se hai un multifunzione e non riesci a mandare le scansioni a un Mac, contattami. Ormai sono un esperto in materia!
- Se non sei sicuro di avere i permessi di accesso del server configurati come si deve, contattami. Ti darò una mano (aggratis!!) a sistemarli. E’ uno dei bonus che ho riservato a chi ha letto il mio ebook “CRYPTOSTOP – Ransomware e Cryptovirus: sei armi per difendersi”, ma oggi mi sento buono e lo estendo a te, anche se non lo hai letto.
- Comunque, se non lo hai letto, il fatto che ti regali un bonus non è un buon motivo per non leggerlo, visto che al suo interno ce ne sono altri. E si, è aggratis pure il libro e lo trovi cliccando qui!
Ciao Andrea, dall’articolo – su cui sono in linea al 100%, si evince che Marcello abbia un Mac non aggiornato alla versione High Sierra che non supporta più il protocollo FTP in favore dell’SFTP. Il problema è che tantissimi aggiornano il sistema operativo ma non aggiornano le multifunzione, che in questo momento vedono pochi modelli in grado di supportare l’SFTP.
Ti ho scoperto oggi via linkedin, ed è stata una piacevole scoperta.
A presto, Diego
Sicuramente l’aggiornamento dei device all’interno della rete è un problema, ma forse lo è maggiormente il fatto che certi computer, ne è un esempio a mio giudizio l’Apple (in qualunque versione), utilizza standard aperti in modo un po’ oscuro. Nei 10+ anni nei quali ho amministrato reti miste Linux, Apple, Microsoft, ho potuto sempre puntualmente verificare come i sistemi operativi proprietari tendano a “condividere bene” i file solo con sistemi identici (e quindi ancora proprietari).
L’uso di FTP è poi una tragedia annunciata.
Non conoscendo il modello di multifunzione, avrei forse tentato per una soluzione con pull dal mac alla cartella condivisa della multifunzione piuttosto che il viceversa, ma dipende dal contesto applicativo.
Da morire questo articolo. é uno spasso ma sono uno spasso alcuni venditori di multifunzioni! In un ufficio gli hanno venduto una multifunzione, ero lí quando l’hanno portata perché stavo facendo alcune cose sull’armadio lan, il tipo chiede a me dato che il titolare gli ha detto cosí, mi chiede se deve mettere un ip fisso sulla multifunzione, gli dico, si mettilo ma fai attenzione non mettere ip in uso, guarda mettici questo, e glielo ho dato. Dopo circa 15 giorni mi chiama una delle impiegate, dicendomi che la sua laser non funzionava piu (qui si ride), dico boh che sará spesso manca il toner e non leggono nemmeno sul display dicono: non stampa! vado la, guardo e la laser era a posto, mi metto su di una postazione e lancio una stampa, nulla non esce nulla da li ! Ristampo ancora, e mi pare di sentire un rumore nella stanza adiacente, ci vado e che trovo? Che le stampe sono uscite nella multifuzione nuova che hanno portato! mi girano le cosidette perche’quando sei in certi posti iil venditore no ha mai colpa, ma la colpa cade su di te! Controllo quella benedetta multifunzione e il fenomeno dopo che mi aveva chiesto di mettere o meno un ip fisso, niente l’ha lasciata in dhcp ! Dentro ci sono altre 5 laser tutte con ip fisso, la multifunzione si é presa l’ip di una stampante giá configurata per cui se stampi su quella va a finire sull’altra! Roba da matti. Ho dovuto correggere pure le magagne altrui . E questo é niente, ce ne sono sempre delle belle, da quelli che nei router mettono admin e password bianca o password, a quelli che stampano l’elenco credenziali accessi del cloud o dei server remoti sulla porta di accesso stanza server (sai cosí non si perde…!), oppure i piú fighi che danno ai loro clienti le password wifi dell’ufficio cosí poi fanno tamtam in cittá e ti trovi nell’elenco dei dhcp una sfilza di dispositivi che non appartengono all’ufficio. Chi piú ne ha ne metta!