L’altro giorno ero da Marcello, un cliente che ha scelto, saggiamente, di proteggere nel migliore dei modi la sua attività da attacchi informatici. Non si tratta di una multinazionale, ma semplicemente di un Architetto che ha ben chiaro il valore dei dati, il sudore versato per produrli e i danni economici che deriverebbero da un’eventuale perdita o indisponibilità. Un illuminato in un contesto, quello italiano, dove “queste cose a me non succedono, perché sto attento”.
(Mi accorgo solo ora che non ha un profilo LinkedIn, quindi domani verrà cazziato dal sottoscritto)
Oltre all’installazione di un antivirus gestito da noi, ho proposto a Marcello l’installazione di un firewall WatchGuard, sempre gestito da noi. Nessun acquisto, quindi, ma semplicemente un canone mensile di servizio che copre entrambi i prodotti oltre che l’assistenza sui computer.
L’introduzione dei firewall ha reso necessario cambiare la configurazione della rete, poiché non è stato possibile cambiare quella del router, controllato dal provider, che gestisce anche la linea telefonica su VoIP.
Attivazione di una nuova rete wireless e cambio IP dei computer e del plotter. Tutto procede per il meglio, e l’intervento si preannuncia di durata breve.
Ma c’è un ma…
Nello studio di Marcello è presente un dispositivo multifunzione con funzione di scanner di rete, utile per inviare scansioni di documenti o disegni a eventuali destinatari email, a una chiavetta USB o direttamente al computer. Ma Marcello, al computer, non è mai riuscito ad inviare nulla. Si è sempre dovuto appoggiare all’USB, poiché il venditore del dispositivo non ha configurato la funzione scan-to-PC.
Che strano, penso…
“Beh, Marcello, te la configuro io. Dover dipendere dalla chiavetta USB è una roba che va contro il mio status di pigro. Sto male per te, solo a pensarci…”
E via, che mi metto a smanettare sul dispositivo per capire come configurarlo. In un attimo cambio l’IP e metto i computer in grado di stampare. Si tratta quindi solo di gestire le scansioni verso l’iMac di Marcello, e poi è fatta.
Creo una cartella dedicata alle scansioni sul desktop del Mac, per comodità, e decido di dire al multifunzione di utilizzarla come destinazione. E qui inizia il cinema.
Il multifunzione (a marchio UTAX, ma in pratica una Kyocera ribrandizzata) può inviare le scansioni tramite due protocolli: SMB e FTP. Scelgo il primo, ma dopo una serie di tentativi falliti capisco che la macchina non è in grado di gestirlo quando la destinazione è un Mac. Passo a FTP, ma continuo a non avere successo.
Decido di chiamare il venditore del multifunzione per avere qualche delucidazione in merito alla configurazione, ma mi risponde che loro non sono mai riusciti a configurarla su Mac e che probabilmente non è compatibile.
Mi dice che sui PC Windows loro hanno sempre creato la cartella, condivisa con i permessi “Everyone – Full Control” e poi ha sempre funzionato tutto
Ormai è una questione di principio, e chi mi conosce sa che il mio rapporto con le questioni di principio è pessimo. Probabilmente morirò per una questione di principio, quindi immagina cosa posso fare di fronte a un multifunzione. Di certo non gliela lascio vinta.
Dopo un’ora di tentativi capisco come Kyocera vuole che venga inserito il percorso della cartella FTP e le scansioni iniziano ad arrivare al Mac.
Marcello fa i salti di gioia.
Io mi gongolo.
Ma torniamo alla frase del venditore di multifunzione.
Loro hanno sempre condiviso la cartella con i permessi “Everyone – Full Control”
Ogni volta che un permesso viene fissato su Everyone – Full Control, un tecnico con competenze di sicurezza informatica muore. Qualche settimana dopo il decesso, un cliente con quel permesso settato viene sodomizzato da un cryptovirus.
Se hai letto il mio ebook “CRYPTOSTOP – Ransomware e Cryptovirus: sei armi per difendersi”, avrai constatato che una di queste armi è proprio l’assegnazione dei permessi di accesso a file e cartelle gestita con criterio logico.
“Everyone – Full Control” è tutto tranne che logico. Anzi, se devo essere sincero, è proprio da coglione.
Ti dico a cosa corrisponde questa impostazione in un contesto non informatico, così magari ci capiamo.
Immagina di abitare in una villa di lusso. Se non devi immaginare e ci abiti davvero sei fortunato, ma non è questo il punto. La villa rappresenta il tuo server.
Hai un giardiniere che, una volta alla settimana, viene a fare la manutenzione del parco (stai in una villa di lusso, vuoi non avere un bel parco?), e per farlo deve accedere alla rimessa degli attrezzi.
Il problema è che il giardiniere ha diversi dipendenti, e sono in 3 o 4 ad alternarsi per i lavori di manutenzione. La chiave della rimessa è una sola, e spesso l’operaio che viene per i lavori non l’ha con se, essendo rimasta in tasca a quello della settimana precedente.
Come risolvere il problema?
Il sistema più semplice sarebbe fare 4 copie delle chiavi, in modo che ognuno possa avere sempre con se quella a lui destinata.
L’approccio Everyone – Full Control, invece, prevede di togliere la porta dalla rimessa e lasciarla sempre spalancata.
Entrambe le soluzioni risolvono il problema del giardiniere, ma con la seconda, in breve tempo, il contenuto della rimessa sparirà per essere rivenduto al miglior offerente al mercato della ricettazione. Il locale subirà furti continui e tu, per risolvere il problema del giardiniere, continuerai a riacquistare le attrezzature necessarie alla tua manutenzione, molte delle quali molto costose.
Ti sentiresti un po’ coglione, in un contesto del genere? Io credo di sì.
Condividere una cartella in rete, senza limitarne l’accesso ai soggetti che lo necessitano davvero, corrisponde proprio alla scelta fatta per agevolare il giardiniere. Le ragioni per cui ci si trova con il server simile a un colabrodo, solitamente sono due:
- Pigrizia: non hai voglia di ragionare su chi deve accedere a cosa, e quindi l’unica strada possibile per il tecnico che ti sta installando il sistema è quella di lasciare aperto tutto a cani e porci, per evitare mille chiamate di operatori “chiusi fuori”;
- Dabbenaggine del tecnico che non ha idea dei rischi a cui si espongono in dati con quel tipo di configurazione sui permessi di accesso.
Chi dovrebbe avere i diritti di Full Control su una cartella?
Basta una parola per rispondere a questa domanda: NESSUNO.
O meglio, nessuno degli utenti utilizzati per accedere ai tuoi PC in azienda. Nessun dipendente. Nessun manager. Nessun amministratore delegato. Neanche tu, e il fatto che sei quello che paga gli stipendi e le mie fatture non cambia di una virgola la situazione. Non devi avere il permesso Full Control. Punto.
Full Control lo devo avere solo io quando accedo come amministratore per le attività di configurazione e di manutenzione. Non serve a nessun altro.
Tendenzialmente, cerca di limitare l’accesso concedendo diritti più restrittivi invece del contrario.
Andrea deve poter accedere alla cartella XXX? Non lo so, quindi nel dubbio facciamo che no.
Sono sicuro che Andrea deve poter leggere i documenti nella cartella YYY. Deve anche poterli modificare? Nel dubbio facciamo ancora che no.
Con questa tecnica sicuramente erogherai i diritti minimi. In pratica stai dicendo ai giardinieri che non darai loro nemmeno 4 copie delle chiavi. Se qualcuno è senza deve citofonare e farsi aprire dal domestico.
Un controllo ulteriore, perché il domestico annoterà su un taccuino quando ha aperto, quando ha chiuso e a chi. Se dovesse sparire un rastrello sarà più facile capire chi è il responsabile.
Spero di averti passato qualche concetto utile per la sicurezza del tuo server (e magari della tua rimessa degli attrezzi). Ora ti lascio, dicendoti 3 cose:
- Se hai un multifunzione e non riesci a mandare le scansioni a un Mac, contattami. Ormai sono un esperto in materia!
- Se non sei sicuro di avere i permessi di accesso del server configurati come si deve, contattami. Ti darò una mano (aggratis!!) a sistemarli. E’ uno dei bonus che ho riservato a chi ha letto il mio ebook “CRYPTOSTOP – Ransomware e Cryptovirus: sei armi per difendersi”, ma oggi mi sento buono e lo estendo a te, anche se non lo hai letto.
- Comunque, se non lo hai letto, il fatto che ti regali un bonus non è un buon motivo per non leggerlo, visto che al suo interno ce ne sono altri. E si, è aggratis pure il libro e lo trovi cliccando qui!
Leave a Reply