Essere attaccati non fa fare bella figura, ma capita. Far scoprire al mondo che nei dati esfiltrati c’è un file Excel con tutte le password e i dati per accedere a casa di tutti i clienti è molto peggio di una brutta figura. Siamo nel 2025, non nel 1990 e certe cose non sono più accettabili.
Per leggere lo script fai click su questo testo
Spesso mi sembra di ripetere sempre le stesse cose.
Poi leggo le notizie e un po’ mi cadono le braccia, perché penso che certe cose non vengono dette mai abbastanza.
Se questo podcast avesse la diffusione da radio nazionale, magari, qualche testa in più potrebbe cambiare.
Ma io non mi arrendo e persevero nel ricordare alcune buone regole per gestire alcuni tipi di dati, per evitare di fare le figure barbine che fanno certe aziende quando vengono attaccate con successo.
Questa puntata è stata realizzata grazie alle indispensabili donazioni di generosi ascoltatori
Gli abbonati
Andrea
E le donazioni spot
Andrea
Matteo
Per sapere come far parte di questo elenco vi rimando al capitolo un po’ più in là nella puntata.
Ricordatevi che nella busta dei gadget trovate un simpatico dado con numero di facce e colori casuali, in un blister da staccare e da montare.
Prima di iniziare, vi ricordo che potete contattarmi in mille modi, su Bluesky sono francesco.iltucci.com, su Mastodon sono cesco_78 su mastodon.social o pillole dibit su hackyderm.io o via mail a [email protected], trovate tutti i link comodi comodi sull’app dalla quale state ascoltando la puntata o sul sito, rispondo sempre. Il metodo migliore però è il gruppo telegram attivo durante tutta la settimana, dove si parla delle puntate e di tecnologia in generale, siamo davvero tanti, lo trovate a pilloledib.it/telegram
Andiamo per gradi e partiamo dall’evento.
Cosa è successo?
Hanno attaccato un’azienda, come ormai succede tutti i giorni. L’azienda attaccata è una società di vigilanza che ha installato centinaia di sistemi di videocamere da centinaia di clienti.
Le cose iniziano a farsi interessanti quando, come al solito, la banda di criminali inizia a pubblicare parte dei dati che ha sottratto. Si parla di un furto di 300GB di dati e ne pubblicano poco più di 1GB.
Oltre ai nomi dei clienti c’è un file, formato excel, con una tabella che riporta nome del cliente, indirizzo IP, utente e password di accesso al sistema di videosorveglianza.
Questo file è ormai di dominio pubblico.
E le password sono di una banalità estrema.
In questi pochi secondi di puntata abbiamo raccolto una quantità esorbitante di problemi, preoccupazioni e motivi per i quali essere spaventati.
Direi che a occhio ci sono anche grosse implicazioni legali, ma io non mi occupo di queste cose e lascio questa parte agli esperti del settore.
Adesso vi racconto cosa è successo dove lavoravo prima.
La mia mansione era la classica del system administrator, gestivo dalle viti dei PC alle applicazioni dei server, tutto.
Hardware, software, sistemi operativi, rete, sicurezza.
Passava corrente, aveva una scheda elettronica? Passava da me. Anche se era a casa del Presidente.
Non è una battuta, è tristemente vero.
Tra tutte le cose avevo anche la gestione della sala server, che reputavo di medie dimensioni.
Illuso. Tre rack.
I datacenter dove lavoro adesso sono piccoli e la quantità di rack è oltre 100 volte di più, ma questo è un altro discorso.
Un giorno arrivo in ufficio più tardi del solito e vedo che c’è gente che armeggia in sala server.
Sala dove avevo chiesto espressamente di non far entrare nessuno.
Entro e vedo che gente sconosciuta sta installando un server sconosciuto in una posizione libera a caso in un rack a caso, cercando di collegarsi a una presa di corrente a caso e a una porta dello switch a caso.
Il capo di allora, su richiesta di un altro servizio, li aveva fatti entrare.
Ho messo da parte la gentilezza e li butto fuori.
Ho chiesto informazioni e sono anche stato molto sgridato per aver interrotto un progetto importante.
In certe aziende alcuni progetti o le persone che li propongono, sono più importanti del rischio di far cadere tutta la produzione perché si fanno entrare persone a caso in sala server che toccano dove non sanno.
Il server era anche montato in pendenza, dietro lo avevano attaccato una rack unit più in basso.
Questi signori erano quelli della sicurezza perimetrale, il server era della videosorveglianza e doveva essere installato per gestire le 50 telecamere nuove che sarebbero state installate di lì a poco.
Mi hanno detto che l’azienda della videosorveglianza avrebbe avuto necessità di raggiungerlo dall’esterno.
Io, candido come una rosa “non c’è problema, facciamo come tutti i fornitori e forniamo loro una VPN”.
No, la VPN era fuori discussione. Loro volevano la pubblicazione della porta 3389 del servizio RDP su IP pubblico per poter accedere.
La cosa violava ogni standard di sicurezza, anche i più bassi.
Se chiedi a uno qualsiasi dei Sette Nani “è furbo pubblicare la porta 3389 del protocollo RDP su IP pubblico?” ti risponde “ma sei scemo?” e poi torna in miniera a lavorare.
La pubblicazione della porta del protocollo RDP esposta è stato, nel tempo, uno dei modi più usati per veicolare attacchi anche importanti con gravi ricadute sulla produzione di intere reti.
Ho dovuto litigare per settimane per ottenere un livello di sicurezza decente, bloccando di conseguenza tutto il progetto.
Il server in questione, che non gestivo direttamente io, è stato messo su una VLAN separata, in modo che non potesse in alcun modo raggiungere la rete aziendale, ma solo Internet.
A questo punto la porta 3389 è stata esposta, come chiedevano loro, ma con accesso ai soli IP pubblici dell’azienda di sicurezza.
Non vi dico la fatica per ottenerli questi indirizzi.
La loro parte sistemistica e di rete era a dir poco imbarazzante.
Ho anche chiesto e ottenuto che la password di accesso, che sarebbe dovuta essere il nome dell’azienda dove lavoravo, 4 lettere tutte minuscole, fosse cambiata in qualcosa di serio.
La battaglia è stata dura, faticosa e fatta contro persone che continuavano a dirmi che sarebbe stato tutto inutile e superfluo, tanto, cosa vuoi che succeda.
Succede che bucano una società di sicurezza, prendono tutti gli IP dei clienti, le porte, le credenziali, entrano e da lì sono nelle reti dei clienti.
Questo succede.
Adesso mettiamoci per un attimo nei panni della società che si deve collegare a tanti clienti per gestire dispositivi che installa a casa loro, quali sono le cose di base, a livello tecnico, che si dovrebbero fare?
Come detto prima la parte legale non mi compete.
Usate un password manager. Siete un’azienda, mettete a budget un password manager con accesso per le varie persone, un account a testa e profilate le credenziali.
La persona se ne va, chiudete l’account e non ha più accesso alle password.
Vi attaccano, vi portano via il file crittografato del password manager, è sempre una violazione di dati, ma per poterlo sbloccare ci va molto lavoro in più rispetto ad avere tutte le password subito in chiaro per tutto il mondo. Avete il tempo di avvisare i clienti ed eventualmente di cambiarle tutte.
Pare scontato, ma, davvero, usate password serie e tutte diverse per ogni cliente, in modo che non riconducano al cliente.
Mettete un endpoint VPN a casa del cliente, i router GL-Inet costano 50€, vi fate un VPN server a casa vostra ed ecco che non dovete più chiedere nessuna apertura di porte, viaggia tutto sicuro.
E se ci mettiamo nei panni del cliente che vede il suo fornitore attaccato?
Partiamo dal prima, quando si installa.
Fate una VLAN dedicata all’impianto di videosorveglianza, se non sapete come fare, fatevi aiutare.
Fatevi dire qual è la password, provatela regolarmente, giusto per verificare che non la cambino con una semplice.
Limitate l’accesso alla porta esterna agli IP dell’azienda della videosorveglianza, anche qui, se non sapete come fare, fatevi aiutare.
Chiedete report mensili sullo stato del software, sugli aggiornamenti installati e se il sistema è ancora supportato dal produttore. Se vi dicono che non lo è più, deve essere cambiato, perché esposto.
Chiedete con veemenza che si attrezzino per accedere con una VPN.
Se scoprite che sono stati attaccati, staccatelo immediatamente da Internet fino a quando un tecnico non viene da voi a cambiare almeno la password.
Se scoprite che l’azienda tiene le password in chiaro, organizzatevi e cambiate fornitore.
Questo podcast vive perché io lo produco, lo registro e lo pubblico settimana dopo settimana o quasi. Ma continua ad andare avanti perché la soddisfazione di vedere le notifiche delle donazioni mi spinge a fare sempre nuove puntate, come ringraziamento e impegno nei vostri confronti. Se esce ogni settimana è grazie a voi.
E se donate, compilate il form, vi spedisco anche i gadget, così siamo tutti contenti.
Potete farlo con Satispay, SumUp o Paypal.
Potete partecipare anche usando i link sponsorizzati di Amazon o acquistare la connettività o uno degli altri servizi di Ehiweb, che sponsorizzo con molto piacere da tempo, un gestore di connettività come loro non lo trovate in giro.
Oltre alla connettività per casa FTTH o FTTC, hanno le SIM, posano fibra dedicata per le aziende, fanno servizio VoIP, hanno un supporto spaziale e tutti i loro dipendenti sono assunti a tempo indeterminato.
Provateli, non tornerete più indietro.
E se avete bisogno di un servizio di Hosting, andate da ThridEye, che ospita da anni il sito del podcast, ho fatto la mia scelta e anche qui il livello è altissimo, i contatti sono sul sito.
Se siete fortunati non avete mai avuto a che fare con il sistema delle licenze di Microsoft.
Se invece siete meno fortunati vi è capitato di dover capire che tipo di licenza comprare per un certo tipo di necessità.
La risposta è che capirlo è impossibile. Per ogni prodotto ci sono decine di tipi di licenza, leggermente diversi uno dall’altro, ma con differenze che sembrano impercettibili e poi invece cambia il mondo.
Vi lascio un link che non è da studiare o da imparare a memoria, ma da tenere lì, in caso di necessità.
Serve un’informazione sul complicato mondo delle licenze di Microsoft? C’è uno schema che mi aiuta.
Ed eccoci con il pezzo di attualità, questa volta breve.
Ma sarà ripetuto fino alla puntata del 26 maggio, solo perché il 2 giugno è festa e Pillole di Bit non esce.
Domenica 8 e lunedì 9 giugno si vota per i referendum.
Non sta a me approfondire gli argomenti e come mettere la croce sulle schede.
Ma il mio invito è perentorio.
Informatevi, decidete cosa votare e soprattutto alzatevi, prendete la scheda elettorale e andate a votare.
È importante.
Andate. A. Votare.
Questa puntata di Pillole di Bit è giunta al termine, vi ricordo che se ne può discutere nel gruppo telegram e che tutti i link e i riferimenti li trovate sull’app di ascolto podcast o sul sito, non serve prendere appunti.
Io sono Francesco e vi do appuntamento a lunedì prossimo per una nuova puntata del podcast che, se siete iscritti al feed o con una qualunque app di ascolto vi arriva automagicamente.
Se volete partecipare alla realizzazione della puntata speciale di Pillole di Bit Stories, andate su pilloledib.it/sostienimi e fate la vostra parte, se a fine mese il cerchio delle donazioni di riempie, realizzerò la puntata speciale.
Grazie per avermi ascoltato
Ciao!
Pillole di Bit (https://www.pilloledib.it/) è un podcast indipendente realizzato da Francesco Tucci, se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
– Telegram
– BlueSky
– Il mio blog personale ilTucci.com
– Il mio canale telegram personale Le Cose
– Mastodon personale
– Mastodon del podcast
– la mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio)
Rispondo sempre
Se questo podcast ti piace, puoi contribuire alla sue realizzazione!
Con una donazione diretta:
– Singola con Satispay
– Singola con SumUp
– Singola o ricorrente con Paypal
Usando i link sponsorizzati
– Con un acquisto su Amazon (accedi a questo link e metti le cose che vuoi nel carrello)
– Attivando uno dei servizi di Ehiweb
Se hai donato più di 5€ ricordati di compilare il form per ricevere i gadget!
Il sito è gentilmente hostato da ThirdEye (scrivete a domini AT thirdeye.it), un ottimo servizio che vi consiglio caldamente e il podcast è montato con gioia con PODucer, un software per Mac di Alex Raccuglia