L’altro giorno ero da Marcello, un cliente che ha scelto – saggiamente – di proteggere nel migliore dei modi la sua attività da attacchi informatici. Non è a capo di una multinazionale: si tratta semplicemente di un architetto che ha ben chiaro il valore dei dati, il sudore versato per produrli e i danni economici che deriverebbero da un’eventuale perdita o indisponibilità. Un vero e proprio “illuminato” in un contesto – quello italiano – dove “queste cose a me non succedono perché sto attento”.
Oltre all’installazione di un antivirus gestito da noi, ho proposto a Marcello l’installazione di un firewall WatchGuard. Nessun acquisto, quindi, ma semplicemente un canone mensile di servizio che copre entrambi i prodotti (oltre che l’assistenza sui computer).
L’introduzione dei firewall ha reso necessario modificare anche la configurazione della rete, poiché non è stato possibile cambiare quella del router, controllato dal provider, che gestisce anche la linea telefonica su VoIP.
Dunque: attivazione di una nuova rete wireless e cambio IP dei computer e del plotter. Tutto procede per il meglio e l’intervento si preannuncia di breve durata.
Ma c’è un ma…
Nello studio di Marcello è presente un dispositivo multifunzione con funzione di scanner di rete, utile per inviare scansioni di documenti o disegni a eventuali destinatari e-mail, a una chiavetta USB o direttamente al computer. Marcello, però, non è mai riuscito a inviare niente al computer. Si è sempre dovuto appoggiare all’USB, poiché il venditore del dispositivo non ha configurato la funzione scan-to-PC.
“Che strano”, penso…
“Beh, Marcello, te la configuro io. Dover dipendere dalla chiavetta USB è una roba che va contro il mio status di pigro. Sto male per te solo a pensarci…”
E via, mi metto a smanettare sul dispositivo per capire come configurarlo. In un attimo cambio l’IP e metto i computer in grado di stampare. Si tratta quindi solo di gestire le scansioni verso l’iMac di Marcello, e poi è fatta.
Creo una cartella dedicata alle scansioni sul desktop del Mac, per comodità, e decido di dire al multifunzione di utilizzarla come destinazione. E qui inizia lo spettacolo.
Il multifunzione (a marchio UTAX, ma praticamente una Kyocera ribrandizzata) può inviare le scansioni tramite due protocolli: SMB e FTP. Scelgo il primo, ma dopo una serie di tentativi falliti capisco che la macchina non è in grado di gestirlo quando la destinazione è un Mac.
Passo a FTP, ma continuo a non avere successo.
Decido quindi di chiamare il venditore del multifunzione per avere qualche delucidazione in merito alla configurazione, ma mi risponde che loro non sono mai riusciti a configurare il dispositivo su Mac e che probabilmente non è compatibile.
Mi dice che sui PC Windows hanno sempre creato la cartella condivisa con i permessi “Everyone – Full Control” e poi ha sempre funzionato tutto.
Ormai è una questione di principio, e chi mi conosce sa che il mio rapporto con le questioni di principio è pessimo. Probabilmente morirò per una questione di principio, quindi immagina cosa possa fare di fronte a un multifunzione. Di certo non gliela lascio vinta.
Dopo un’ora di tentativi capisco come Kyocera vuole che venga inserito il percorso della cartella FTP, e le scansioni iniziano ad arrivare al Mac.
Marcello fa i salti di gioia. Io gongolo.
Ma torniamo alla frase del venditore di multifunzione.
Loro hanno sempre condiviso la cartella con i permessi “Everyone – Full Control”.
Ogni volta che un permesso viene fissato su “Everyone – Full Control”, un tecnico con competenze di sicurezza informatica muore. Qualche settimana dopo il decesso, un cliente con quel permesso settato viene attaccato senza pietà da un cryptovirus.
Se hai letto il mio e-book “CRYPTOSTOP – Ransomware e Cryptovirus: sei armi per difendersi”, avrai constatato che una di queste armi è proprio l’assegnazione dei permessi di accesso a file e cartelle secondo un criterio logico.
“Everyone – Full Control” è tutto fuorché logico. Anzi, se devo essere sincero, è proprio da coglioni.
Ti faccio un esempio che ti aiuterà a inquadrare meglio la questione.
Immagina di abitare in una villa di lusso (se non devi immaginarlo e ci abiti davvero sei fortunato, ma non è questo il punto). La villa rappresenta il tuo server.
Hai un giardiniere che, una volta alla settimana, viene a fare la manutenzione del parco (stai in una villa di lusso, vuoi non avere un bel parco?), e per farlo deve accedere alla rimessa degli attrezzi.
Il problema è che il giardiniere ha diversi dipendenti, e sono in tre o quattro ad alternarsi per i lavori di manutenzione. La chiave della rimessa è una sola, e spesso l’operaio che viene per i lavori non l’ha con sé, visto che è rimasta a chi è venuto prima di lui.
Come risolvere il problema?
Il sistema più semplice sarebbe fare quattro copie delle chiavi, in modo che ognuno possa avere sempre quella a lui destinata.
L’approccio “Everyone – Full Control”, invece, prevede di togliere la porta dalla rimessa e lasciarla sempre spalancata.
Entrambe le soluzioni risolvono il problema del giardiniere, ma con la seconda, in breve tempo, il contenuto della rimessa sparirà per essere rivenduto al miglior offerente sul mercato della ricettazione. Il locale subirà furti continui e tu, per risolvere il problema del giardiniere, continuerai a riacquistare le attrezzature necessarie alla tua manutenzione, molte delle quali estremamente costose.
Ti sentiresti un po’ idiota in una situazione del genere? Io credo di sì.
- Pigrizia. Non hai voglia di ragionare su chi deve accedere a cosa, e quindi l’unica strada possibile per il tecnico che sta installando il sistema è lasciare tutto aperto a cani e porci, per evitare mille chiamate dagli operatori “chiusi fuori”;
- Dabbenaggine del tecnico, che non ha idea dei rischi a cui si espongono i dati con quel tipo di configurazione sui permessi di accesso.
Condividere una cartella in rete senza limitarne l’accesso esclusivamente ai soggetti che lo necessitano davvero corrisponde proprio alla seconda scelta fatta per agevolare il giardiniere. Le ragioni per cui ci si trova con il server simile a un colabrodo in genere sono due:
Chi dovrebbe avere i diritti di Full Control su una cartella?
Basta una parola per rispondere a questa domanda: NESSUNO.
O meglio, nessuno degli utenti utilizzati per accedere ai tuoi PC in azienda:
- Nessun dipendente;
- Nessun manager;
- Nessun amministratore delegato;
- Neanche tu, e il fatto che tu sia la persona che paga gli stipendi e le mie fatture non cambia di una virgola la situazione. Non devi avere il permesso Full Control. Punto.
Solo io devo avere Full Control quando accedo come amministratore per le attività di configurazione e manutenzione. Non serve a nessun altro.
Tendenzialmente, devi cercare di limitare l’accesso concedendo diritti più restrittivi invece di fare il contrario.
Andrea deve poter accedere alla cartella XXX? Non lo so, quindi nel dubbio facciamo che no.
O ancora:
“Sono sicuro che Andrea debba poter leggere i documenti nella cartella YYY. Deve anche poterli modificare? Nel dubbio facciamo ancora che no.”
Con questa tecnica sicuramente erogherai i diritti minimi. In pratica stai dicendo ai giardinieri che non darai loro nemmeno quattro copie delle chiavi. Se qualcuno è senza deve citofonare e farsi aprire dal domestico.
Un controllo ulteriore, perché il domestico annoterà su un taccuino quando ha aperto, quando ha chiuso e a chi. Se dovesse sparire un rastrello, sarà più facile capire chi è il responsabile.
Spero di averti dato un consiglio utile per la sicurezza del tuo server (e magari chissà, anche per la tua rimessa degli attrezzi).
Voglio concludere dicendoti tre cose:
- Se hai un multifunzione e non riesci a mandare le scansioni a un Mac, contattami. Ormai sono un esperto in materia! 🙂
- Se non sei sicuro che i tuoi permessi di accesso al server siano configurati come si deve, contattami. Ti darò una mano (aggratis!!!) a sistemarli. È uno dei bonus che ho riservato a chi ha letto il mio e-book “CRYPTOSTOP – Ransomware e Cryptovirus: sei armi per difendersi”, ma oggi mi sento buono e lo estendo a te, anche se non lo hai letto.
- Comunque, se non lo hai letto, il fatto che ti regali un bonus non è un buon motivo per non farlo, visto che al suo interno ce ne sono altri. E sì, è aggratis pure il libro e lo trovi cliccando qui!
A presto,
Andrea Monguzzi