Leggi vigenti e tecnici, come non commettere (gravi) errori legali

Sistemisti e tecnici informatici spesso sottovalutano le leggi che regolamentano il nostro mestiere. Quanti prendono alla leggera il far eseguire un software di teleassistenza ad un Cliente che non ha siglato esplicitamente il consenso? Non è difficile, in questo campo, commettere un illecito penale e ritrovarsi nei guai. Capiamo insieme quali sono i limiti e quali le precauzioni attraverso le quali tutelare un mestiere che si muove sempre su una sottile linea di demarcazione tracciata tra etica, legalità e necessità tecniche.

Il padre di ogni articolo è il 615ter. C.P., ovvero:

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da uno a cinque anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.

Fin qui è evidente, non si scherza, ed è ben chiaro il campo di applicazione. Ma proviamo a fare degli esempi pratici:

• Il ragazzetto che incautamente per arrotondare la paghetta si scrive 2 righe di VB e crea un ransomware, incorre nel comma 3 con l'aggravante di distruzione di dati, che prevede la reclusione da 1 a 5 anni. Sicuramente a questo articolo si aggiungerà il fine estorsivo (da 5 a 10 anni di reclusione nella variante più leggera).

• Il tecnico che, per eseguire un intervento occasionale richiesto verbalmente, fa scaricare all'Utente Finale di un Cliente un software di teleassistenza, si espone alla possibilità che il responsabile IT o l'AD del Cliente stesso possano ritenere questo un accesso non autorizzato, con le conseguenze del caso. Per non incorrere in problemi, il consiglio è quello di avere sempre per iscritto, da parte di un responsabile o dell'Amministratore, la richiesta di intervento tecnico. Gli interventi in regime manutentivo esulano da questa dinamica in quanto regolamentati da un contratto di manutenzione che, a sua volta, dovrebbe prevedere la nomina della figura correttamente inquadrata all'interno del contesto del GDPR.

Qui c'è un risvolto estremamente interessante. La Corte di Cassazione (27/10/2011 n.4694 Sez. U) ha sancito il campo di applicazione del 615ter anche quando qualcuno, pur munito legittimamente di password, utilizzi quest'ultima per ragioni diverse da quelle proprie del suo incarico. E si aprono scenari estremamente interessanti che vediamo con degli esempi:

• Il tecnico configura un FileServer ma, erroneamente, all'account del magazziniere ha dato privilegi per accedere all'area dell'amministrazione. Questo non solleva il magazziniere dalla responsabilità di non accedere ad aree a lui non concesse. L'abilitazione del proprio account, sostanzialmente, non è un giustificativo valido ad eccedere ed abusare dei propri privilegi.

• Il tecnico che si deve occupare esclusivamente delle stampanti ha ottenuto la password di un utente amministrativo del dominio Active Directory affinchè il dispositivo di stampa possa collegarsi con quest'ultimo per ricevere l'elenco degli utenti. Il tecnico che utilizzi queste credenziali per altri fini, pur avendole ottenute legittimamente, sta commettendo l'illecito penale di cui sopra.

• Il tecnico curioso che trova su un monitor di servizio in un aeroporto ID e password di un teamviewer e tenta di accedervi, anch'esso incorre nel 615ter. (il possedere le credenziali non lo autorizza ad accedere al sistema).

In sostanza la Cassazione ha sancito che, colui che pur essendo abilitato, acceda o si mantenga in un sistema informatico o telematico violando le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne l'impiego, commette un illecito correlato al 615ter. indipendentemente dalla materiale possibilità di accedere indiscriminatamente a tutti i dati (anche nel privato).

Art. 615 quater, detenzione di codici di accesso:

Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a cinquemilacentosessantaquattro euro.

La pena è della reclusione da uno a due anni e della multa da cinquemilacentosessantaquattro euro a diecimilatrecentoventinove euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617quater.

Qui c'è poco da commentare: le password dei nostri Clienti sono sacre. Diffonderle arbitrariamente ottenendo un vantaggio significa compiere un illecito.

Art. 617 quater, un altro interessante articolo:

Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni.

Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso:

1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità;

2) da un pubblico ufficiale o da un incaricato di un pubblico servizio con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema;

3) da chi esercita anche abusivamente la professione di investigatore privato.

Facciamo qualche esempio:

• Abbiamo acceso uno sniffer e stiamo facendo un Man In The Middle intercettando il traffico.

• Il Cliente ci ha chiesto di fare un'analisi di rete, il consiglio è quello di avere sempre un'autorizzazione scritta ad effettuare qualsiasi operazione che comporti lo sniffing o il dump del traffico.

Considerazioni

Ovviamente non ho trattato volontariamente la frode informatica (Art. 640ter C.P.), atto volontario con scopi ben delineati. L'articolo ha un fine diverso (per quanto io non sia un giurista, mi perdonino i lettori specializzati ai quali invito e, anzi, chiedo eventuali correzioni), ovvero quello di sensibilizzare chi di mestiere fa questo e che, a volte, incautamente, ingenuamente o involontariamente incorre in azioni che potrebbero avere risvolti estremamente seri e complessi.

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

Plug, giunti ed errori comuni sul Layer 1

Il cablaggio, da sempre, è uno degli aspetti più sottovalutati delle telecomunicazioni. Tecnicamente è la strada fisica su cui le informazioni viaggiano, ma l'attenzione viene spesso spostata verso il server più potente o la postazione di lavoro più performante, dimenticandosi che, di fatto, il mezzo trasmissivo è la componente primaria mediante il quale il traffico viene veicolato. 

Ad aggravare questa noncuranza vi è un aspetto molto insidioso, ovvero che i problemi di un cablaggio fatto male sono spesso non tangibili. Rallentamenti inspiegabili, microdisconnessioni e performance mai piene quasi mai vengono attribuite ad un cablaggio fatto male. Questo perchè per identificare questi problemi servono strumenti certificatori che spesso costano più di un'autovettura e che chi si improvvisa cablatore non possiede. Parliamo di strumenti che ogni anno vanno inviati in taratura e che leggono parametri in grado di certificare la tratta secondo la categoria di appartenenza EIA/TIA, non certo del lantest con 8 led.

Lo strumento che abbiamo usato per queste prove è un Fluke DSX600 calibrato e tarato 3 mesi prima, con aggiunta di adattatori (o volgarmente "nasi") 6A.

La categoria

Parliamo innanzitutto di questo: cos'è una categoria? Una categoria è un riferimento ad una serie di parametri standardizzati che racchiudono, tra le altre cose, delle soglie elettromagnetiche entro le quali la tratta deve rientrare. Non solo, una categoria definisce anche delle regole che prescindono dalla misurazione. Ad esempio definiscono un massimo angolo di curvatura del cavo, una trazione massima, una vicinanza rispetto a motori elettromagnetici (ad esempio ascensori) e così via.

Ad esempio, queste sono delle regole che prescindono dalla certifica:

• Monomarca: nella categoria 5e è consentito il mix di marchi diversi, dalla 6 no, il frutto e la patch devono essere dello stesso produttore
• Plug: sono consentiti fino alla 5e, dalla 6 è vietato il plug crimpato e quindi la patch deve essere realizzata in fabbrica dal produttore
• Giunti: sono consentiti fino alla categoria 3 compresa e assolutamente vietati oltre. Nella categoria 5e è consentito un giunto a norma (non certo saldato) e nulla vieta di fare un connection point passivo, ovvero frutto-patch-frutto perfettamente a norma.

Purtroppo non è semplice reperire materiale, ma il consiglio è quello di consultare esclusivamente lo standard e non siti che lo interpretano.
EIA/TIA Standard

 

Il patentino rilasciato dal Ministero

Recentemente assisto sempre più spesso a pseudo-professionisti che non hanno mai fatto un corso sul layer 1 e non conoscono neanche le basi del cablaggio, tuttavia asseriscono che "funziona quindi va bene". Diciamoci la verità, questo è dovuto anche all'abrogazione del patentino. In passato un'azienda doveva essere certificata per effettuare questi lavori:

Gazzetta Ufficiale - Patentino Telecomunicazioni

a) primo    grado:    consente    l'installazione, l'ampliamento e l'allacciamento nonche' la manutenzione  di impianti interni di qualsiasi tipo e potenzialita';
b)  secondo grado: consente le stesse operazioni del 1 grado relativamente ad impianti interni con capacita'  fino a  400  terminazioni interne per voce e dati con esclusione di quelli realizzati con sistemi radio e/o fibra ottica;
c) terzo grado: consente le  operazioni  del  2  grado relativamente   ad  impianti  interni  per  sola  fonia  di capacita' fino a 120 derivati.

Giusto per capirci, per essere di primo grado (e quindi mettere anche solo un metro di fibra ottica) un'azienda (ahinoi) doveva possedere questi requisiti:

1) primo grado:
1.1) personale tecnico dipendente:
-una unita' addetta alla progettazione degli impianti;
-una unita' addetta alla direzione dei lavori;
-otto  unita'  addette  all'esecuzione  dei lavori e/o alla manutenzione delle apparecchiature terminali;
1.2) strumenti di misura:
-dotazione individuale di strumentazione di  base  per ogni unita' addetta all'esecuzione dei lavori;
-misuratore   di   terra   e  multimetro  digitale  da laboratorio,   oscilloscopio    50    MHz,    impulsografo, analizzatore  di  spettro,  analizzatore  di protocollo per reti  locali,  un  reflettometro  per  reti  locali  ed  un personal  computer portatile con schede di accesso per reti locali;  la  strumentazione  deve  essere   conforme   alle specifiche tecniche dichiarate dal costruttore;
1.3) locali:
-uffici:  un  locale ad uso ufficio presso cui ha sede l'impresa;
-magazzino: un deposito di adeguate dimensioni ad  uso esclusivo   dell'impresa   che  possa  contenere  le  varie apparecchiature di telecomunicazioni,  le  attrezzature  di cantiere e di squadra;
1.4) automezzi:
-cinque automezzi di cui due autofurgoni;
1.5) assicurazione:
-copertura   assicurativa  di  responsabilita'  civile verso terzi;

E' evidente, non ci si poteva improvvisare e questo garantiva al cliente finale un minimo di professionalità. Dal 2013 il patentino non è più obbligatorio e questo ha portato, obiettivamente, aziende giovani a fare certamente prezzi molto competitivi, ma spesso a discapito del know-how e degli strumenti necessari per fare un lavoro di qualità. Non ultima, la non obbligatorietà della presenza di strumenti di certifica in grado di validare la corretta esecuzione dei lavori.

Nel concreto

Quotidianamente vengo interpellato da clienti per risolvere problemi che, spessissimo, sono molto meno "sistemistici" di quanto i miei predecessori hanno considerato. E altettanto quotidianamente mi trovo a parlare con tecnici installatori che commettono errori grossolani (un classico è quello di pluggare la categoria 6 direttamente nello switch senza passare da un patch panel). Con questo articolo voglio entrare nel dettaglio con considerazioni obiettive (tramite uno strumento di certifica) degli errori più comuni fatti perchè "tanto funziona".

Il test di riferimento

Questa è una tratta di 45mt (con cavo U/UTP di prima qualità, con crociera al centro) in categoria 6A, fatta con 2 frutti cat.6A (di prima qualità anche questi) e patch dello stesso produttore.

Vorrei essere molto chiaro su questo: la categoria che vediamo stampata sul cavo non vuol dire nulla. Un cavo economico si vede: mi è capitato di assistere a certifiche che non passavano al superamento di 15 metri di tratta!! Il trittico cavo-frutti-patch deve prevedere materiale prodotto da produttori di comprovata affidabilità, perchè altrimenti è inutile anche parlarne. Ultimamente sta girando un cavo davvero imbarazzante la cui installazione è decisamente sotto qualsiasi soglia deontologicamente accettabile.

Come si leggono le certifiche? 

Senza entrare troppo nel dettaglio, se anche un trefolo supera la soglia rossa, la tratta è fuori certifica. E questo significherà ritrasmissioni, errori e rallentamenti perlopiù silenti e la cui colpa ricadrà su "quelli dei server" o "quelli del gestionale" in maniera immotivata.

Il primo errore comune: il famigerato "frutto sguainato"

Tipico di alcuni installatori di altra estrazione è il lavorare comodi, ovvero sguainando molto il cavo e rimuovendo la twistatura. Qui siamo stati gentili, ho visto di peggio (anche perchè poi, ripiegati i cavi nelle scatole di alloggiamento, la situazione diventa drammatica). Inoltre abbiamo usato, come al solito, dei frutti ottimi (la situazione peggiora con i plug diretti e ovviamente con cavi e frutti economici).

La normativa dice di non "stwistare" (passatemi il termine) i cavi oltre i 12mm... e c'è un motivo: il risultato è impietoso.

Con questo cavo non possiamo nemmeno stenderci i panni, non passa la 6A, non passa la 6 e non passa la 5e. Avete visto che differenza con il test di riferimento e quanto quest'ultimo sia abbondantemente sopra la linea di soglia?

(test di riferimento con tratta a regola d'arte)

 

Il secondo errore comune: "ci metto un plug e risparmio il frutto"

Nella categoria 5e potrebbe andar bene (per quanto statisticamente i plug crimpati hanno sempre delle criticità meccaniche e non siano minimamente paragonabili a una patch fatta dal produttore). Dalla 6 è esplicitamente vietato (nonostante si vendano degli inspiegabili plug cat6). Quindi già questo ci fa capire che il test è abbastanza relativo, perchè la tratta non sarà di categoria 6 neanche a test passato. Tuttavia noi siamo zelanti ed il test lo abbiamo fatto comunque.

Di poco, ma non è passata la categoria 6. A questo si aggiunge che, nel corso del tempo, la tratta degraderà molto a causa di una bassa resistenza meccanica.

Questo non significa che non funzionerà, ma significa che la colpa la daremo a "quelli del gestionale" o a "quelli del server". Il problema è sempre questo: il cablaggio genera problemi spesso silenti, si pensa che vada tutto bene anche quando non è così.

Il terzo errore comune: "io sono bravo e i giunti a me funzionano anche se non sono eleganti"

Probabilmente c'è un girone dell'inferno specifico per chi fa giunti, questo è abbastanza indubbio. Ma sono certo che le pene corporali nella dannazione eterna debbano subire un incremento per chi se ne vanta anche.

Questo è un giunto fatto molto bene, sguainamento minimo, frutti e cavi di qualità. Non contenti, abbiamo anche fatto una prova con il saldatore (terribile, si crea una palla di stagno che fa attenuazione) essendo una credenza comune quella di considerare il saldatore come il risolutore di ogni male.

Anche qui: la normativa EIA/TIA lo vieta quindi il test è molto relativo. Ad ogni modo, il cavo scende ai valori di NEXT e il test non passa in entrambi i casi.

Conclusioni

Il lettore sopravvissuto mi perdonerà la lungaggine, ma questo articolo nasce da una spontanea e sana esigenza di "evangelizzazione informatica". Troppi pseudoprofessionisti sono convinti che vada bene tutto perchè "tanto funziona", ignorando che nell'informatica il "come funziona" è ancor più importante. I Clienti spesso investono cifre considerevoli su server sovradimensionati, ignorando totalmente il budget dedicato al mezzo trasmissivo. Questo comporta sovente la vanificazione dell'investimento.

Il dato di fatto è che, sul cablaggio, i problemi sono certamente meno evidenti e misurabili solo con strumenti molto costosi. Ma questo non significa che quest'ultimo non possa essere (anzi...) oggetto di problemi, rallentamenti e microdisconnessioni! 

Se avete dubbi, certificate i punti e scoprirete che probabilmente il motivo per cui avete tanto dannato i tecnici dei layer superiori erano immotivati!

Ovviamente potremmo parlare di tratte FTP schermate male che causano più danno che beneficio, potremmo parlare di cavi da esterno con guaina supplementare con i plug crimpati sopra, e così via, ma avremmo certamente annoiato ulteriormente il lettore.

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

La crociata anti Huawei

Recentemente abbiamo letto tutti sui giornali (anche generalisti e non solo di settore) dei "paletti" che gli Stati Uniti stanno mettendo sul brand Huawei. Con questo articolo voglio approfondire cosa sta accadendo con un occhio un po' più smaliziato del solito.

Faccio una doverosa premessa, io vendo Huawei, ma vendo anche HP ed IBM. Non sono "sposato" con nessuno e di volta in volta scelgo il brand che più si adatta al progetto che devo sviluppare. Questo articolo non entrerà nello specifico della bontà di uno o dell'altro brand, ma analizzerà solo i fatti accaduti.

Scenario Globale

Huawei è un brand in grado di fare tutto ciò che concerne il mondo della tecnologia. Ha un potere finanziario pressochè infinito e se decide di aggredire un settore, lo fa in grande ed in breve tempo arriva a giocarsi la partita con i top player. Le aree dove questa partita è stata chiaramente vinta sono diverse. Nel networking Cisco è stata spodestata e dal quasi monopolio che deteneva un decennio fa, ora raccoglie (soprattutto nelle infrastrutture dei provider) quote meno significative. Sui dispositivi mobili ha sorpassato Apple meno di un anno fa e sui Server e Storage è arrivata a giocarsela con HP sorpassando persino Lenovo/IBM (in basso il magic quadrant di Gartner di settembre 2018).

Insomma, il fatturato di Huawei è mostruoso, 100 miliardi di dollari con numeri vicino al +40% annuo. Fuori dal mondo, hanno appena aperto un nuovo R&D da 2500 persone.

In tutto questo si sta giocando una partita fondamentale: quella del 5G. Fondamentale da un punto di vista di controllo delle comunicazioni. Ma ne parleremo più avanti.

Cronologia

• Nel 2018 partono i dazi verso tutte le aziende Cinesi, inizia una battaglia generica che in realtà porterà più danni che benefici per i fautori, ovvero gli Stati Uniti. Il must è ridurre il deficit commerciale con Pechino del 25%, ma questo ha prodotto sanzioni inverse per un valore di 50 miliardi di dollari.
• A Maggio la guerra commerciale con Pechino entra nel vivo, Huawei entrò in quotazione ma gli USA bandirono i prodotti Huawei per gli enti militari (NB: non è la prima volta, questo è accaduto anche con Kaspersky di origine Russa). Il botta e risposta si traduce in dazi che porteranno i due paesi a confrontarsi al G20 e all'Organizzazione Mondiale del Commercio.
• Il 30 novembre 2018 parte la guerra di Trump verso Huawei: il presidente rivolge l'invito di non avvalersi di reti Huawei per le infrastrutture poichè considerate non sicure ed a rischio di spionaggio industriale.
• Il 6 dicembre 2018 viene arrestata in Canada Meng Wanzhou, figlia del fondatore e direttrice finanziaria di Huawei. L'accusa è di violazione delle sanzioni all'Iran, a Cuba, alla Siria e al Sudan (che coincidenza, sopo dolo una settimana). Il 10 la Cina ha fermato due cittadini Canadesi accusati di spionaggio (anche qui, per par condicio non crediamo alle coincidenze) come rappresaglia.
• Il 28 gennaio gli USA hanno rincarato la dose contestando 23 reati tra cui il furto di segreti commerciali.
• Il tira e molla arriva ai giorni nostri, fa crollare (tutti) i mercati e scatena un'emergenza nazionale invocata da Trump a cui aderisce Google che dichiara che non fornirà più Android a Huawei (questo comporta che i dispositivi dovranno utilizzare la versione Open Source, in realtà non è un grosso problema e va detto che Huawei è già all'opera per lo sviluppo di un proprio OS)
• A ruota si aggiunge Intel, Qualcomm e Broadcom. La faccenda è troppo fresca per capire se si tratta di un bluff (come personalmente credo) o meno, fatto sta che Huawei ha dichiarato di avere scorte importanti e di poter garantire pienamente l'assistenza sui suoi server (i pezzi dedicati alle assistenze in genere sono pre-accantonati, poi onestamente i guasti sulle CPU sono più unici che rari)

L'accusa del Governo Americano è sostanzialmente di spionaggio industriale. Intravedono nel brand, che di fatto si è costruito la leadership nelle comunicazioni (nelle infrastrutture e nei device utente), un chiaro pericolo. Azienda non americana equivale ad azienda non controllabile.

Il dietro le quinte

Da che pulpito arriva la predica? Questa è la parte interessante. Le collaborazioni tra l'NSA Americana e le aziende del proprio territorio nel controllo delle comunicazioni globali sono conclamate. Il Patriot Act ha sdoganato la violazione della privacy in ogni dove.

Le infrastrutture che prima erano made in USA, ora sono huawei, e questo non è solo un danno verso una delle aziende americane più importanti. Il dato di fatto va contestualizzato.

Svariate rivelazioni di Snowden hanno portato alla luce delle backdoor dell'NSA nei dispositivi USA:

https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backdoors-in-cisco-products.html

https://www.tomshardware.com/news/cisco-backdoor-hardcoded-accounts-software,37480.html

https://www.csoonline.com/article/2136221/cisco-confirms-undocumented-backdoor.html 

Vero o meno (la fonte è certamente attendibile), è evidente che questo diviene possibile con aziende Americane, ma non certo con brand Cinesi. Del resto, stando al The Guardian che ha avuto rapporti diretti con Snowden, già da molti anni si sa di collaborazioni tra l'NSA e Microsoft, Google, Yahoo!, Facebook, Apple, Skype, etc. (ovviamente puntualmente smentiti dagli interessati).

https://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data 

https://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data 

E' un parere personale, intendiamoci. E come tale può essere condiviso o meno. Ma per un disilluso come me che opera in ambito security da molti anni, è totalmente ridicolo pensare, oggi, che esista un dispositivo qualsiasi che non contenga al proprio interno backdoor in grado di raccogliere informazioni più o meno dettagliate ed invasive. E chi pensa che questo sia eccessivo, semplicemente non si è mai occupato seriamente di security. Basti pensare a:

https://blog.cloudflare.com/how-the-nsa-may-have-put-a-backdoor-in-rsas-cryptography-a-technical-primer/

https://blog.cryptographyengineering.com/2013/12/03/how-does-nsa-break-ssl/ 

https://www.theregister.co.uk/2013/09/19/linux_backdoor_intrigue/ 

https://it.wikipedia.org/wiki/Hacking_Team

https://it.wikipedia.org/wiki/Divulgazioni_sulla_sorveglianza_di_massa_del_2013 

ma giusto per citare qualcosa (ad ampio spettro).

Il punto diventa, quindi, chi può controllare cosa: è evidente, la paternità di un'azienda sancisce un potere per la Nazione che ne ha le redini.

Dobbiamo preoccuparci? Personalmente ritengo di no, trovo che questo sia tutto un bluff che finirà nel giro di poco. Lo scopo, secondo me, è di danneggiare il brand, ma nessuno si può permettere di interrompere veramente le forniture con un colosso simile. 

Molti mi chiedono: "le assistenze saranno garantite?". Direi di si, le scorte di CPU sono alte ed i dispositivi per le assistenze sono pre-allocati e già nei centri di supporto. Broadcom non vuole fornire schede di rete? Metteremo le PCIe HP o le compreremo direttamente da qualsiasi altro produttore, funzionano ugualmente. Onestamente su Server e Storage non vedo davvero alcun motivo di allarmarsi.

Per la parte di infrastruttura 5G, invece, la questione pare essere diversa. Il mercato è nuovo, lo scopo è proprio quello di far entrare nuovi player che ora sono chiaramente in ritardo. Il giochino è lo stesso, lo abbiamo visto spesso ed è un "vizietto" delle aziende americane. E qui è evidente che uno degli ideatori del 5G sia stato barbaramente estromesso dopo aver sostanzialmente creato questa tecnologia.

Per la parte device android, penso che avremo un periodo di transizione con la versione open source, e poi vedrà la luce il sistema operativo Huawei. E onestamente non ho dubbi che sarà assolutamente competitivo con Apple e Google, Huawei ci ha abituati a fare le cose in grande.

A mio avviso alla fine tutto tornerà nella normalità, ma il consumatore acquisterà meno volentieri Huawei. Lo scopo ultimo è creare allarmismo e scetticismo per ridimensionare un brand scomodo. Lo stesso temo di non poter dire per l'infrastruttura 5G su cui l'attacco è stato non solo devastante, ma anche supportato da altri Governi.

EDIT: Come volevasi dimostrare, il blocco è stato sospeso, è bastato che il Presidente cinese andasse in visita all'azienda "Rare Earth Co"... che detiene in pratica la quasi totalità dell'estrazione dei minerali rari, indispensabili alla produzione dei prodotti tecnologici. Questo, si, metterebbe in ginocchio l'intera industria.

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

NAS e SAN con dischi SSD: come commettere facili errori

I dischi SSD ormai hanno costi accessibili e capienze accettabili, non è inusuale che vengano preferiti ai dischi magnetici. Anche se nella maggioranza dei casi questa preferenza è sempre conveniente, quando dobbiamo dimensionare un NAS o una SAN esterna, è facile vanificare la spesa commettendo errori banali sulla parte di interconnessione. Come dire, possiamo anche avere una Ferrari, ma se la mia destinazione si raggiunge solo percorrendo una polverosa strada di campagna, avrò solo speso soldi senza aumentare la mia velocità effettiva.

Mi sono imbattuto casualmente in una discussione in cui si elogiavano le performance dei dischi SSD su un NAS, andiamo a capire perchè questo non può essere vero, e lo facciamo con dei numeri.

NAS o SAN?

Tanto per iniziare, capiamo le differenze. Una SAN presenta le LUN direttamente al sistema operativo, in maniera trasparente.

Un NAS invece si fa carico di strutturare un file system e lo presenta in maniera organizzata, meno immediata, tramite un protocollo applicativo, ovvero ad un livello decisamente superiore.

Ho preparato un breve schemino per renderlo più digeribile pur non avendo enzimi specifici:

A cosa ci serve? Parliamo di performance, quindi ogni aspetto è importante. Appare evidente che un NAS deve elaborare, e questo non va molto d'accordo con l'economicità dei prodotti spesso in circolazione. Le CPU dei piccoli NAS in giro (tipicamente fino a 4 baie) sono spesso totalmente insufficienti a non creare un collo di bottiglia proprio in questo punto. Posso mettere i dischi più veloci del mondo, ma la CPU deve stare al passo.

Interconnessione

Qui c'è l'aspetto più importante. Nel mio storage, SAN o NAS che sia, posso fare un array anche full SSD, ma poi la parte di accesso riuscirà a garantirne il troughput? Ed è qui che casca spesso l'asino.

Nell'architettura NAS, utilizzerò le schede di rete in dotazione all'apparato e chi avrà accesso allo stesso, farà la medesima cosa. Molto spesso non è dedicata una NIC alla parte storage, ma questa viene condivisa anche con la parte network (peggiorando la situazione).

Nell'architettura SAN, invece, ho più scelta. Posso utilizzare la parte network, ma potrei farlo acquistando una scheda di rete con supporto iSCSI TOE che accelera a livello hardware tutta la parte SCSI over IP. Ma ho anche un'altra alternativa, utilizzare un'interfaccia FibreChannel, per sua natura estremamente veloce (e che introduce meno latenza del rame, ma non voglio spingermi oltre anche con questo aspetto che comunque è importantissimo nel dimensionamento della parte storage).

Qualche numero per capirci

Il dimensionamento di uno storage è uno degli esercizi sistemistici più complessi, ed è mia prassi effettuare, prima di consegnare ogni SAN che vado a dimensionare, accurati test (non meno di 1 giorno) di performance per capire cosa può essere migliorato ed in che maniera. Il risultato è che questi numeri (che qui sono stati barbaramente banalizzati) sono il frutto di dati reali, raccolti in molteplici anni di accurate verifiche.

Dischi:

I dischi vanno misurati in IOPS, tuttavia per rendere un dato più intelleggibile con la componente network, mi concederò una licenza ed esprimerò dei numeri in MB/s di lettura sequenziale senza cache, che certamente faranno sobbalzare i puristi.

• 1 disco SATA 7400rpm: circa 80MB/s
• 1 disco SAS 10k: circa 120MB/s
• 1 disco SAS 15k: circa 140MB/s
• 1 disco SSD: circa 600MB/s 
• 4 dischi SATA in RAID5: Circa 320MB/s in lettura
• 4 dischi SAS 10k in RAID5: Circa 480MB/s in lettura
• 4 dischi SAS 15k in RAID5: Circa 560MB/s in lettura
• 4 dischi SSD in RAID5: Circa 2400MB/s in lettura

Numeri estremamente imprecisi, che variano da disco a disco, da raid a raid, da file system a filesystem... ma è solo per avere un'idea molto di massima. NB: Con il raid5 abbiamo un penalty di 4 nella scrittura, all'aumentare delle meccaniche aumentano anche ovviamente le performance (ma anche qui, ci spingeremmo troppo oltre).

Interconnessione:

Prendiamo come esempio solo l'architettura più veloce, ovvero immaginiamo di avere una SAN. Con un NAS le cose peggiorano drammaticamente, ma non è questo il punto.

• iSCSI 1Gbit senza TOE 1500MTU: 97MB/s
• iSCSI 1Gbit con TOE 1500MTU: 117MB/s
• iSCSI 10Gbit senza TOE 1500MTU: 560MB/s
• iSCSI 10Gbit con TOE 1500MTU: 720MB/s
• iSCSI 2x10Gbit in RoundRobin con TOE 1500MTU: 1046MB/s
• FibreChannel 1x8Gbit: 790MB/s
• FibreChannel 2x8Gbit in RoundRobin: 1220MB/s
• FibreChannel 1x16Gbit: 1380MB/s
• FibreChannel 2x16Gbit in RoundRobin: 1900MB/s

Purtroppo non ho ancora dati sul nuovo FC a 32Gbit.

Anche qui, numeri condizionati dai sistemi su cui ho effettuato le misurazioni, in anni diversi e in situazioni diverse. Inoltre sono numeri ottimistici, fatti sempre su macchine che avevano come costo minimo 35-40.000 euro, non certo sui nas da 160 euro . Ma è solo per capirci.

Morale della favola

Il morale della favola è semplice e si evince facilmente. Mettere dischi SSD su un NAS da 400 euro non serve a niente. Se poi l'accesso avviene in maniera diretta dai client con una misera NIC in gigabit, serve ancor meno. Per sfruttare i dischi SSD su uno storage esterno, avrò bisogno come minimo di collegarmi in FibreChannel a 16Gbit (o con due da 8). Architettura, questa, tipica di un'infrastruttura virtuale ben dimensionata.




Edit: Mi è stato fatto notare che ho omesso la tecnologia SAS. Vero: non ho sufficienti dati per citarli. Allo stato attuale personalmente ritengo sia più economico utilizzare iSCSI e più performante utilizzare FC, pertanto le interconnessioni SAS nel corso del tempo, nel mio caso specifico, hanno trovato sempre meno campi di applicazione.

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

Programmi di bugscouting: come guadagnare legalmente con l'hacking

Forse non tutti conoscono le piattaforme di bugscouting. Uno dei più famosi è HackerOne. La piattaforma mette in comunicazione le aziende e gli hacker. Le prime si impegnano a riconoscere ai secondi una ricompensa (un bounty) qualora questi identifichino un bug di sicurezza che rientri in determinati canoni.

Questo, ad esempio, è il bounty policy di NextCloud (https://hackerone.com/nextcloud):

Scorrendo nella sezione hacktivity è possibile vedere le ultime vulnerabilità scovate. Particolare interesse generano i servizi finanziari, ad esempio questa schermata è quella di Paypal. Alcuni casi sono ovviamente secretati, questo avviene spesso nel caso in cui la soluzione al problema richieda del tempo, ma è una politica aziendale (Intel, ad esempio, secreta tutto, a differenza proprio di NextCloud).

Bhè, non c'è che dire, i dati parlano chiaro, Paypal ha pagato quasi 1 milione di dollari in ricompense, e di recente i casi riportati hanno avuto in media dai 18.000 ai 23.000 dollari di bounty.

Cliccando sull'hacker che ha più contribuito verso Paypal, scopriamo che nell'ultimo biennio ha guadagnato quasi 40.000 dollari.

Intendiamoci, unità di misura nettamente inferiori rispetto a quanto avrebbero fruttato le stesse vulnerabilità se applicate per fini fraudolenti. Ma addormentarsi di sera sapendo di non aver commesso alcun reato e, anzi, aver aiutato l'intero mondo informatico rendendolo "un posto migliore" (come cita il motto di HackerOne) è una sensazione a cui un "hacker etico" o "White Hat" non rinuncia per nulla al mondo.

Per le aziende certamente è un segno di grandissima professionalità (oltre che un risparmio economico enorme) avere un programma di bounty pubblico. Insomma, da piattaforme di questo tipo ci guadagnano davvero tutti.

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

VMware KB55636 e vulnerabilità CVE2018-3646: cosa fare?

In merito al recente problema della CVE in oggetto (https://nvd.nist.gov/vuln/detail/CVE-2018-3646 meglio nota come l'evoluzione di Spectre e Meltdown, ma applicato alla cache L1 della CPU), vmware ha rilasciato due Knowledge Base:

https://kb.vmware.com/s/article/55636

https://kb.vmware.com/s/article/55806

Appena aggiorniamo un host alla 6.7, ci compare il warn.

Riassumo brevemente di cosa si tratta.

Rischi

La vulnerabilità scoperta riguarda le CPU Intel (tutte) ed intacca l'integrità delle macchine. In casi particolari è possibile eseguire codice arbitrario in grado di far leggere da una VM la cache L1 della CPU di un'altra VM. Va detto che non è proprio così semplice che questo avvenga e che si tratta di un accesso importante ma meno facile di quanto possa accadere con altri attacchi più semplici. Inoltre l'attaccante deve avere una vm con accessi root/administrator e poter eseguire liberamente codice (che, per inciso, ad oggi non è stato ancora scritto, si tratta di una vulnerabilità teorica, anche se per poco).

Soluzione

Applicare la patch non è indolore, le performance della CPU diminuiscono, i core si dimezzano (sostanzialmente viene disabilitato l'HT) e questo su sistemi con alto carico di elaborazione può comportare deglli abbassamenti di performance considerevoli.

Vmware dice in sostanza (nello schema sotto riportato):

- Te lo puoi permettere? Se no, tutte le tue vm sono più o meno sicure (ovvero, non sei un provider che vende macchine virtuali a sconosciuti)? Allora accetti a tuo rischio di tenerti la vulnerabilità. Altrimenti procedi con la patch (anche a costo di comprare nuove risorse hardware).

La scelta ricade sull'IT che deve valutare se tenersi la vulnerabilità avendo però maggiori performance, oppure applicare la patch e intaccare la velocità delle CPU.

In questo caso però il tool HTAwareMitigationAnalysis di vmware ci viene in soccorso estrapolando un report indicandoci se il nostro cluster potrebbe entrare in sofferenza.

Buon divertimento!

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.