Perchè a volte su internet i prezzi sono così bassi?

Molto spesso ci troviamo a combattere una guerra persa in partenza, dove su internet assistiamo a prezzi al pubblico che sono a volte decisamente inferiori ai prezzi d'acquisto di un system integrator.

Nel corso del tempo ho cercato di fare chiarezza ed ho cercato di capire quali sono i giochi che si celano dietro, ascoltando anche chi vende a prezzi così bassi. 

Ecco, quindi, le motivazioni che spesso (non sempre) si possono celare dietro ad un prezzo anomalo:

• Azienda Farlocca

Può accadere che, nel più banale degli scenari, l'azienda non esista o il sito sia un sito truffa. Questo è lo scenario più elementare, il materiale non arriverà mai. Ma questo accade sempre più di rado.

• Evasione IVA

Uno scenario assai più frequente è invece quello di aziende che nascono e muoiono nell'arco normalmente di un periodo temporale molto breve. Tramite una lettera di intenti dichiarano di vendere il materiale a paesi esteri. In linea di massima, se il trasporto/spedizione dei beni nel Paese comunitario di destinazione avviene “a cura o a nome del cedente”, la cessione interna si considera non imponibile ai sensi dell’art. 58 del D.L. n. 331/1993. Ma poi il bene viene venduto su internet in Italia e l'azienda chiude prima che il giochino venga scoperto. Ed il 22% viene evaso. Con i microscopici margini nell'informatica consumer, il 22% è un abisso.

• Prodotti refurbished venduti per nuovi

Può accadere (soprattutto per dischi e RAM), che materiale ricondizionato venga venduto per nuovo. Distinguere un banco di RAM ricondizionato direttamente dalla casa madre da uno nuovo è praticamente impossibile, e le differenze in termini economici non sono da poco.
 

• Licenze "usate" e ESD ad uso specifico

La nuova frontiera dell'office a 9 euro (invece di 200) o del windows server a 50 (invece di 800) è la licenza usata. La comunità Europea ha reso possibile la rivendita delle multilicenze perpetue (con una sentenza del 3 luglio 2012), pertanto distributori a fuoco su questa tematica si sono specializzati nell'acquisto e nella rivendita di codici di licenza usati. Intendiamoci, nonostante la questione sia controversa, attualmente non c'è nulla di illegale (quando questo viene dichiarato...) [edit: c'è molta confusione sull'argomento in quanto sembra che la sentenza sia valida solo in Germania]. Ma non è un office nuovo e la cui licenza viene scartata per la prima volta, e l'utente va informato che si tratta di un software rivenduto il cui oggetto è un semplice trasferimento di proprietà.
Diverso è il discorso delle licenze ESD, ovvero software senza scatola nè supporto, riservate a sviluppatori o produttori. In quest'ultimo caso esse possono essere legalmente, ad esempio, vendute unitamente ad un nuovo PC, ma non ne è consentita la vendita in maniera disgiunta. Stessa cosa per le licenze ESD per il mercato educational o per gli sviluppatori, fuori da questo contesto ne è vietato l'utilizzo.

• Mercati paralleli

Di recente sta prendendo sempre più piede il materiale importato dai Paesi dell'Est. Non è dato sapere la provenienza, spesso non vi sono certezze circa l'origine del prodotto, ma sta di fatto che i prezzi sono molto aggressivi. Con questo non voglio dire che parte del materiale "non vendibile" venga rimesso sul mercato tramite questo canale, ma di certo è un mercato parallelo a tassazione agevolata ed incontrollato spesso persino dalle case madri.
 

• Grandi quantità

Nulla di illegale, se compro 10.000 pezzi di un notebook, accedo ad un prezzo inferiore. Questo è il caso dei grandi gruppi di vendita al pubblico. Tutto normale, ma non si può pretendere da un System Integrator di avere gli stessi prezzi.

• Distributore furbetto che vende all'enduser

Questa tendenza c'è sempre stata, ma ora si sta diffondendo massivamente. Il canale di vendita è elementare: produttore - distributore - fornitore - utente finale. Il produttore in genere può vendere solo al distributore ed il distributore solo al system integrator e così via all'utente finale. Questione di competenze, di volumi, di fido, di pagamenti, di certifiche, di supporto erogato e di tutto il resto. Accade ogni tanto che qualche distributore, con diversa partita iva (per i più lodevoli), venda direttamente all'utente finale.
Così come accade sempre più spesso che il produttore contatti direttamente l'utente finale per i rinnovi di licenza e proponga condizioni persino più vantaggiose di quelle riservate al fornitore.
E' una scelta, così come è una scelta che i system integrator non acquistino più da questi distributori o questi prodotti. Ognuno fa la sua scelta.

Dunque

Intendiamoci, non sono tutti così, c'è chi decide di fare margini irrisori e lavorare a volume, è il caso dei "box movers", distributori senza valore aggiunto e che non hanno alcun supporto tecnico, ma smistano colli dal produttore al consumatore. Che sia uno spazzolino da denti o uno storage con disaster recovery remoto, poco importa.

Ma quando il prezzo di vendita al pubblico è inferiore di quello d'acquisto erogato da un distributore nazionale verso gli operatori del settore, qui è pura e semplice matematica. C'è qualcosa che non torna.

Morale della favola

Non demonizziamo chi acquista da canali sani, reali e legali (e che generano lavoro in Italia, ma qui si apre un capitolo etico altrettanto articolato) se poi il prezzo è più alto del negozio online che magari sta giocando con regole diverse (fortunatamente non sono tutti così). Perchè ad un prezzo d'acquisto più alto già in partenza, il system integrator deve anche aggiungere i costi di gestione (nel nostro caso, per dare dei numeri, l'8%), la pressione fiscale (nel 2018 al 61,2%) e per quanto possa essere una sola fornitura, deve anche rispondere alle richieste di assistenza tecnica del tipo "solo una domandina..." (e non mi risulta che il signor Internet dia il suo numero di cellulare). Senza contare le modalità di pagamento differite ed i problemi di incasso che non ha chi richiede il pagamento anticipato.

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

Ecosistema Google Home: analisi delle bande

Proseguendo nell'approfondimento iniziato con il precedente articolo focalizzato sulla privacy, oggi approfondirò la tecnologia Google Home, gli utilizzi di banda e le direttrici geolocalizzate.

Scenario

In una stessa abitazione coesistono due Google Home Mini, uno è stato mutato con il suo tasto, l'altro no. In entrambi i casi durante tutto il test, non sono stati utilizzati e non sono stati richiamati comandi vocali. All'interno dell'ecosistema coesistono dei dispositivi eMylo e dei Sonoff, con anche delle luci smart.

La rete è dedicata, la parte wifi risiede su una vlan 802.1q separata ed i dispositivi attraversano un firewall L7 in grado di ispezionare a livello applicativo il traffico. L'access point utilizzato è anch'esso un L7, in grado di effettuare la medesima ispezione (seppur con scala temporale diversa, per cui la lettura dei grafici potrebbe trarre in inganno, ma non è un problema perchè viene spiegato nelle didascalie).

Bande utilizzate

 

Google Home con microfono attivo

Ci interessa la linea blu. Circa 1,24MByte/minuto (il taglio è da 1 minuto), ovvero circa 16Kbit/s. I più attenti assoceranno questo valore al valore tipico di un canale audio, i più esperti di VoIP ricorderanno il protocollo G726, G727, G728, tutti impostati su uno stream a 16Kbit/s. Magari è una coincidenza, non lo possiamo sapere.

Google Home con microfono spento

Inizialmente quasi 8MB di picco all'atto di spostare l'interruttore su off, poi a regime oltre 400Kbyte al minuto, davvero tanto.

Sonoff

 

eMylo

Luci RGB Bawoo

Onestamente gli altri dispositivi sviluppano poca roba, in linea con il polling che fanno.

Direttrici e geolocalizzazioni

Google Home con microfono attivo

Tutto in regola, tutto sommato deve connettersi per lavorare, anche se le connessioni persistenti non sono poche, ma ci sta.

Google Home con microfono spento

Qui il risultato è interessante: non cambia di una virgola. Microfono acceso o spento, le connessioni sono identiche. Certamente lui deve funzionare, comunque è visibile dall'app e può essere gestito. Fatto sta che tutto rimane invariato.

Sonoff

eMylo

Luci RGB Bawoo

Non ho motivo di aggiungere altro sui tre dispositivi elencati, è giusto e fanno ciò che devono. Giusto una riflessione: i server si trovano in Germania. Probabilmente è stato fatto per ridurre le latenze degli utilizzatori europei.

 

 

Approfondimento dei dump del google home a microfono spento

Questo è un dump di circa 30 secondi del traffico del dispositivo a microfono spento. E' evidente che continua a lavorare normalmente. Fa qualche ping, qualche risoluzione dns per capire se ha ancora connessione attiva, qualche scambio di dati, insomma... le solite cose.

A dispositivo mutato abbiamo provato a dire alcune frasi "interessanti", ed abbiamo visto del traffico verso direttive forse diverse (ma quello di google è comunque un pool enorme). Geolocalizzandole abbiamo definito alcuni ip appartenenti all'autonomus system Google, ed un altro IP verso l'operatore Telecom Italia. Onestamente non è semplice capire perchè o se si tratti di una coincidenza. Di sicuro non vedo motivo affinchè lui debba contattare un ip di Telecom, ma tutto sommato questo non significa nulla. Oltretutto fa parte del cosmo Akamai, quindi può significare tutto e niente. Necessiterebbe di un approfondimento certamente più accurato, ed ora non ho tempo di entrare così profondamente in questo dettaglio.

Conclusioni

Il test è durato un'ora abbondante, ma conto di mantenere questa configurazione per un paio di giorni. A breve un aggiornamento. Di sicuro lo spegnimento del microfono NON è paragonabile allo spegnimento elettrico: il dispositivo continua a comunicare normalmente. Non è detto che questo sia necessariamente sbagliato, tutto sommato il dispositivo è comunque visibile ed in grado di interagire con l'ecosistema attraverso l'app (basta dire "di a tutti" per coinvolgerlo comunque). Capire se e cosa sta inviando, è tutta un'altra storia. Le connessioni sono totalmente crittografate (https).

L'importante è non illudersi che il microfono spento ci salvaguardi, nel dubbio e qualora in un determinato momento si cerchi un po' di privacy extra, scollegare l'usb non è una cattiva idea. Laddove sia possibile e il dispositivo non abbia la batteria, come in alcune versioni.


Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

Google e la nostra privacy, qualche esempio hands on

Molto spesso sento dire "che mi importa se mi rubano la password, cosa vuoi che vedano?".

Oggi proviamo a fare un gioco di prestigio. Prendiamo il nostro account google, ci offre molti servizi, ma che vuoi ci sia al suo interno? Pronti a stupirvi?


https://www.google.com/maps/timeline

Qui trovate tutti i vostri spostamenti. Tutti. Nel mio caso, dal 2014 in poi. Divertitevi a cliccare sui puntini rossi, scoprirete che viene memorizzato proprio tutto, ogni percorso, sosta, persino se siete andati a piedi o in auto.




https://myaccount.google.com/activitycontrols

Facciamo una cosa, "tagliamo corto", clicchiamo su questo link. Scopriamo insieme cosa viene memorizzato.

Bhè, ovviamente le ricerche effettuate con chrome e youtube... che domande.

 

Vanno tanto di moda i dispositivi, quindi non volete memorizzare tutto ciò che avete detto con "ok google" ?

Nel mio caso il termostato di casa aveva sufficienti elementi per denunciarmi per stalking.

Ovviamente non parliamo dei file, tramite google drive (ora backup e sync), sempre più aggressivo (basta inserire una chiavetta per allertarlo e domandarci se vogliamo fare il backup di quei file.

Vogliamo dimenticarci ovviamente dei contatti del telefono? E delle email su gmail e quindi di tutti gli account di registrazione fatti con la stessa email altrove?

Qualora fosse sfuggito qualcosa... bhè... ci sono sempre i DNS di google, il classico 8.8.8.8 e 8.8.4.4 che raccolgono tutto ciò che è (casomai) sfuggito...

A breve farò un esperimento. A tempo debito ci sarà da divertirsi. Avete presente quando cercate qualcosa e per una settimana tutte le pubblicità vi tartassano con prodotti correlati? Il fenomeno è diffuso e normato... ma...

Gare d'appalto, qualche proposta per migliorare la trasparenza.

Mi rendo conto, questo post è molto fuori contesto rispetto a tutti gli altri, ma ho comunque voluto esprimere un parere alla luce di oltre 15 anni di Gare impiantistiche.

Il nuovo codice degli appalti è valido, ma è (come ogni cosa) perfettibile. Ci sono aspetti che aprono dei varchi ad una possibile assenza di trasparenza. Personalmente, nel corso di questi anni, ho sviluppato un personale parere e delle personali proposte per migliorare le regole con cui le aziende giocano la propria partita nel mondo delle Gare che, ripeto, è stato migliorato comunque esponenzialmente nelle ultime revisioni.

La riparametrazione

La riparametrazione è un meccanismo con il quale la Stazione Appaltante (previa dichiarazione di voler adottare questa procedura in fase di bando) ridistribuisce in maniera lineare i punteggi della componente tecnica per portarli al massimo valore.

Esempio:

Punteggi: 80 al tecnico e 20 all'economico.

Azienda 1: prende 70 punti al tecnico.

Azienda 2: prende 60 punti al tecnico.

Azienda 3: prende 50 punti al tecnico.

Mediante il meccanismo della riparametrazione, l'Azienda 1 viene portata a 80 punti, l'Azienda 2 viene portata a 76 e l'azienda 3 a 60 (ho banalizzato, l'equazione è molto complessa, vi scongiuro, non mi fate fare i calcoli esatti).

Accade quindi che la classifica finale viene falsata in quanto il punteggio economico diviene ancor meno importante. Proporre un prodotto meno costoso fa parte di una strategia di libera concorrenza che, in questo caso, viene penalizzata.

Il ruolo del progettista

Il ruolo del progettista è troppo predominante in quanto un progettista può, di fatto, dare una linea progettuale troppo favorevole verso l'una o l'altra azienda semplicemente stringendo la selezione del prodotto sfavorendo la libera concorrenza.

Troppo spesso i prodotti da utilizzare richiesti in fase di progetto non sono ragionevolmente aperti ad una libera riflessione, ma hanno esattamente le caratteristiche tecniche di un solo marchio/modello. L'eccessiva specificità nella richiesta progettuale pone evidenti vantaggi nei confronti di chi ha rapporti commerciali particolareggiati con il marchio (di fatto) esplicitamente richiesto.

Facciamo un esempio:

Da progetto devo chiedere un link radio che collega A con B. Un conto è sviluppare una richiesta progettuale di questo tipo:

- Link radio a 5 Ghz

- Guadagno Antenne almeno 16 dbi

- Possibilità di gestire gli allarmi in maniera centralizzata

- Temperatura di esercizio da -10 a +60°C

- Banda nominale 450Mbit

- Certificazione CE

- Sincronizzazione GPS

Un conto è richiedere:

- Dimensions Radio Box 938.4 x 468.4 x 281.4 mm (36.94 x 18.44 x 11.08") 1042 x 573 x 502 mm (41.02 x 22.56 x 19.76") Weight Radio (Mount Included) Box 16 kg (35.27 lb) 26.5 kg (58.42 lb) 

- Max. Power Consumption 40W Power Supply 50V, 1.2A PoE GigE Adapter (Included) Power Method Passive Power over Ethernet Supported Voltage Range +42 to +58VDC, -48VDC 

- Automatic Transmit Power Control (ATPC) 

- Certifications CE, FCC, IC Mounting Pole Mount Kit (Included) Wind Loading 863 N @ 200 km/hr (194 lbf @ 125 mph) 

- Wind Survivability 200 km/hr (125 mph) 

- Operating Temperature -40 to 55° C (-40 to 131°F) 

- LEDs (12) Status LEDs: Data Port Link/Activity Data Port Speed Management Port Link/Activity Management Port Speed 

- GPS Synchronization Master/Slave Link Status Modulation Mode 0.25x to 4x, 6x, 8x, 10x (Unlabeled), Overload Remote and Local Displays (Calibrated Signal Strength) 

- Operating Frequency AF-5 FCC 15.247, 15.407, IC RSS-210 ETSI EN 301 893, EN 302 502 Other Regions 5470 - 5600 MHz, 5650 - 5850 MHz 5470 - 5875 MHz 5470 - 5950 MHz AF-5U FCC 15.247, IC RSS-210 ETSI EN 302 502 Other Regions 5725 - 5850 MHz 5725 - 5875 MHz 5725 - 6200 MHz 

- Interface Data Port (1) 10/100/1000 Ethernet Port Management Port (1) 10/100 Ethernet Port Auxiliary Port (1) RJ-12, 

- Alignment Tone Port System Maximum Throughput 1.2+ Gbps Maximum Range 100+ km (Dependent on Regulatory Region) Packets per Second 1+ Million Encryption 128-Bit AES Uplink/Downlink Ratio 50% Fixed Latency Full Duplex Mode Half Duplex Mode < 200 µs at Full Throughput < 2 ms at Full Throughput Radio Frame Synchronization GPS Dynamic Frequency Selection AF-5 AF-5U CE, FCC/IC CE (FCC/IC Not Applicable) MTU (Maximum Transmission Unit) Up to 9600

Dettagli totalmente insignificanti e non utili ai fini progettuali hanno come unico effetto limitare la libera concorrenza e favorire chi con il marchio palesemente richiesto a capitolato ha un rapporto commerciale di tutela.

Non basta la voce "o similare" (principio di equivalenza: http://www.sentenzeappalti.it/2016/11/20/principio-di-equivalenza-obbligo-di-valutazione-di-prodotti-con-specifiche-tecniche-analoghe-sussiste-onere-del-concorrente-dimostrare-lequivalenza-sin-dalla-presentazione-dellofferta-art/), bensì i dettagli non utili ai fini progettuali non devono essere motivo di esclusione, perchè qui si annida la maggior parte delle zona d'ombra, da sempre. 

E aggiungo: anche nelle voci rilevanti, le richieste devono essere ragionevoli. Una temperatura di esercizio di -70°C va bene al Polo Nord, ma in Lombardia direi che non è necessario, anzi inopportuno e deve richiedere come minimo un giustificativo.

Il progettista, inoltre, deve cercare sempre in primo luogo di favorire prodotti liberamente acquistabili e liberamente disponibili. Non è ammissibile, a titolo esemplificativo, che una gara contenga una specificità non reperibile liberamente sul mercato (come purtroppo recentemente sta accadendo sempre più spesso).

Requisiti del progettista

I requisiti affinchè un progettista partecipi ad una gara per la progettazione di un impianto spesso sono troppo stringenti, questo fa si che i nuovi progettisti non riescano ad inserirsi in contesti in cui potrebbero mostrare talento. Bisogna disincentivare in qualche modo, quindi, che i progetti vengano fatti sempre dagli stessi.

La Commissione di gara

La commissione di gara deve essere realmente sorteggiata ed ogni componente deve provenire da aree geografiche differenti e con competenze specifiche sull'oggetto di gara. E' inammissibile che la Commissione sia composta, come a volte accade, da tre persone provenienti dello stesso ufficio. Così come è chiaramente un'anomalia che un ingegnere idraulico valuti un progetto di una gara di videosorveglianza cittadina.
A mio avviso, inoltre, la Commissione dovrebbe rimanere segreta fino alla pubblicazione dei punteggi tecnici ed ogni componente non deve aver valutato più di una gara all'anno. Sono metodologie restrittive, mi rendo conto, ma non c'è altro modo. Se in commissione capitano sempre gli stessi (nonostante vi sia un "principio di rotazione" nell'art. 77, co. 3 del D.Lgs. 50/2016, seppur applicato ad appalti inferiori alla soglia introdotta dall'1 gennaio 2018), non solo perderanno di obiettività nella valutazione dei progetti, inevitabilmente condizionati da gare similari precedenti, ma il rischio di paventare simpatie verso alcune soluzioni o aziende diventa esponenzialmente più rilevante.

I criteri discrezionali

Ultimamente si assiste a Gare dal punteggio tecnico stratosferico. Un tempo 70-30 (tecnico-economico) era considerato anche troppo sbilanciato. Ora assistiamo a punteggi 80-20 o addirittura 90-10. Con la riparametrazione di cui abbiamo parlato prima, inoltre, il punteggio viene ancor più sbilanciato. Non è sempre un male, è semplicemente effetto dei fondi preassegnati. Se una Stazione Appaltante ha ottenuto un finanziamento, l'interesse non sarà quello di risparmiare, bensì sarà quello di avere un livello qualitativo alto.

Da qui però appare evidente un problema, se il punteggio tecnico fa giocare integralmente (o quasi) una partita, esso dev'essere quanto più obiettivo possibile. I sottopunteggi discrezionali vanno limitati al massimo o addirittura eliminati.

Esempio:

voce 1: banda di un ponte radio (per tornare all'esempio di prima), 10 punti max.

- 0 punti se offri 1Gbit

- 5 punti se offri 2.5Gbit

- 10 punti se offri oltre 2.5Gbit

Questo è un punteggio obiettivo, un dato tecnico non soggettivo.

voce 2: qualità del software di videosorveglianza, 30 punti max.

Questo è un punteggio discrezionale, soggettivo, insindacabile in cui una Commissione può spostare pesantemente la valutazione ma senza alcun contraddittorio e senza alcun dato oggettivo. A me piace il giallo, tu mi hai proposto un software con lo sfondo giallo, bene: ti do 30 punti. Incontestabili. L'altro software aveva 1000 funzionalità in più, ma a me piace il giallo, stop.

Appare evidente, quindi, che nei punteggi discrezionali si potrebbe annidare una zona grigia.

Cronoprogrammi e tempi di intervento

Troppo spesso i tempi di realizzazione ed i tempi di intervento sono oggetto di punteggi totalmente inutili in quanto dichiarazioni troppo ottimistiche comunque generano l'ottenimento di punteggi. 

L'aggiunta di penali al superamento dei tempi di consegna dichiarati e al superamento dei tempi di SLA non deve essere più discrezionale, ma obbligatoria o comunque fortemente incentivata. Questo accade troppo poco spesso in Gare impiantistiche, a differenza di quelle, ad esempio, edili.

Valutazioni su progetti e impianti

Ogni azienda per partecipare ad una gara, deve aver mostrato di aver effettuato impianti similari e di aver sviluppato un fatturato tale da consentire l'accesso alla gara. La SOA con le sue classifiche, le varie ISO come requisito pena esclusione, il recente rating di legalità ed ogni richiesta della stazione appaltante mira a fare una cernita delle aziende che possono partecipare. 

Perchè, dunque, non lasciare alla Stazione Appaltante la possibilità di valutare, in forma totalmente anonima, dopo 1 anno dal collaudo:

- la qualità del progetto (il progettista è stato in grado di ingegnerizzare un impianto realmente efficace che ha risposto alle esigenze della SA? Quante gare rimangono arenate a causa di problemi progettuali?)

- l'aderenza della soluzione proposta a quella realmente adottata in campo (ho dichiarato 2h di SLA di intervento, sistematicamente ci metto 16h, è una non conformità)

- la percentuale di disservizio e di malfunzionamento degli apparati

ed una serie di altre voci che vanno a comporre un quadro valutativo complessivo. Ogni azienda potrebbe aver accesso al proprio punteggio, pesato per importo a base d'asta, ma non alla Stazione Appaltante che ha rilasciato il punteggio (che rimarrebbe totalmente anonima). L'accesso ad una gara d'appalto, quindi, potrebbe essere discriminato anche in base alla valutazione delle altre SA. Nel giro di pochissimo tempo, le aziende "mordi e fuggi" che hanno dato un servizio di bassa qualità sarebbero correttamente penalizzate. 

Stessa cosa per i progettisti che non sono stati in grado di pensare ad un'opera funzionale. Avremmo in breve tempo ridotto di molto il numero di scenari bloccati e congelati in un terribile arrocco in cui "il progetto è scritto male, quindi non è colpa mia".

Questo sistema valutativo non è forse l'aspetto più importante di cui si dovrebbe preoccupare la SA? Quante volte sentiamo dire "quell'azienda in quel Comune ha fatto solo danni!"?

Procedure d'urgenza

Quello delle procedure d'urgenza è un vero problema. Vanno limitate al massimo, devono essere ampiamente giustificate e un ente terzo, esterno, deve autorizzare le suddette procedure. Va detto tuttavia che in parte questi accorgimenti sono stati attenzionati nel corso degli ultimi anni.

Inutilità del giustificativo del ribasso anomalo

Quella che doveva essere una punta di diamante verso la lotta alle offerte anomale, è diventata una vera e propria barzelletta. Qualcuno è stato mai escluso per ribasso anomalo? Se le Stazioni Appaltanti accettano come giustificazione dell'azienda proponente che "l'acquisizione della Commessa è motivo di pregio e quindi la proponente è disposta ad accettare una perdita economica", tutto questo non ha senso. Accordare un appalto con dichiarazioni di questo tipo è deleterio ai fini della qualità dell'opera.

Accesso agli atti

L'accesso agli atti spesso viene negato in quanto coperto da non meglio specificati "segreti industriali". L'accesso è una garanzia di trasparenza, esso va tutelato quanto più possibile. Se effettivamente vi è un motivo per cui l'accesso agli atti viene negato, questo deve essere debitamente e abbondantemente giustificato.


Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

Mettere in sicurezza WordPress

Un tempo realizzare un sito web non era così semplice, la figura del webmaster era fortemente specializzata ed aveva padronanza del linguaggio che decideva di utilizzare. Adesso, per fortuna direi, molti strumenti vengono in aiuto. Questo tuttavia spesso (non sempre) si traduce in figure professionali meno attente sul profilo tecnico (per non dire a volte completamente a secco delle più basilari norme di sicurezza). 

Per un periodo Drupal è stato un must, per poi essere sorpassato da Joomla ed infine da WordPress che ormai detiene il predominio dei CMS. Da un punto di vista di sicurezza questo predominio ha comportato, ovviamente, l'accensione dei riflettori mediante tool automatizzati ed in grado di scovare vulnerabilità, plugin pericolosi ed errori di configurazione.

Nel corso di un paio di decenni nella sicurezza e di oltre 10 anni di WP, ho adottato una serie di accorgimenti che condivido volentieri con il lettore di questo blog.

Attaccare per difendere

Al termine della nostra installazione di WordPress, non è una cattiva idea provare proprio quei tool per simulare ciò che un attaccante avrebbe tipicamente fatto per scovare problemi sul nostro sito.

Senza entrare nei meandri dei payload di metasploit, uno dei tool più efficaci è certamente WPScan, incluso nativamente in Kali Linux.

 

(immagine: fonte hackercool)

Essendo un software fortemente specializzato, ci restituirà delle indicazioni puntuali su cosa mettere in sicurezza. Salvo, ovviamente, non abbiate commesso i più elementari errori come nell'esempio:

(immagine: fonte hackercool)

Mettere in sicurezza il sistema Linux

Nelle installazioni professionali di alto profilo, WordPress viene ospitato da un server Linux dedicato, a differenza di quanto accade con i provider che vendono uno "spazio wordpress" dove centinaia di installazioni convivono sullo stesso server. Se ci troviamo nella situazione di poter mettere agevolmente mano sulla macchina Linux che ospita il nostro WP, possiamo adottare certamente delle contromisure efficaci.

Giocare con le ACL

Nei casi più estremi è possibile abilitare gli attributi speciali ACL, così nessuno potrà scrivere file, salvo questi non vengano sbloccati esplicitamente. Questo comporta, ovviamente, che ogni modifica richieda l'avvio di uno script di sblocco direttamente in SSH sul sistema Linux.

Verificare gli MD5

Creare uno script che ogni X minuti verifichi gli MD5 dei file e ne segnali eventuali variazioni, restituisce immediatamente evidenza di problemi di sicurezza e file caricati abusivamente. L'attaccante, inoltre, nella maggior parte dei casi è del tutto all'oscuro di uno script simile ed anche in caso di escalation di permessi, il tempo necessario a rilevare lo script diventa certamente superiore rispetto all'allarme che lo script può aver inviato.

Bannare IP leggendo i log di apache

Uno script che richiami iptables leggendo i log si apache ci consente di reagire immediatamente a qualsiasi bruteforce.

 

Chroot Jail

Avviare apache in chroot jail è cosa buona e giusta, a maggior ragione se abbiamo deciso di implementare script sul sistema. Questa pratica normalmente garantisce l'integrità degli script che abbiamo deciso di far girare al livello superiore e fuori dalla jail.

 

(immagine: fonte linuxclass)

Altre tecniche

Bhè... qualcosa devo pur tenermela per me, altrimenti rischio di restituire un vantaggio eccessivo a chi invece utilizza queste informazioni non a fin di bene.

 

 

Farsi aiutare da un firewall di livello 7

Per sua natura, un firewall hardware di livello 7 è in grado di ispezionare il traffico e identificare attacchi di natura protocollare o pattern di attacchi noti. Abilitare questo tipo di controllo aiuta molto ad incrementare la sicurezza per portarla ad un livello più alto.

 

Firewall di questo tipo normalmente sono in grado di bloccare a prescindere anche determinate categorie di IP, per cui è buona norma (sempre se si può anteporre un firewall hardware) bloccare tutto ciò che non sia strettamente necessario, come ad esempio le reti anonime TOR o gli IP provenienti da nazioni la cui visualizzazione non produce alcun interesse.

Altri tool e plugin specifici

WP possiede una serie di plugin di sicurezza, come ad esempio il famoso Wordfence in grado di avvertirci per una serie di casistiche (file modificati, bruteforce, aggiornamenti necessari, etc.) anche nella sua versione gratuita.

Personalmente, tuttavia, ritengo che un plugin per quanto efficace possa essere, sia sempre un componente facente parte di un sistema di per se vulnerabile. Se il sistema viene corrotto, il plugin potrà essere manomesso, e questo lascia il tempo che trova. La prima regola della sicurezza è proprio l'indipendenza del sistema a garanzia della stessa. Se WP è compromesso, manomettere un suo plugin sarà quanto di più facile e prioritario possibile.

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.