Non è certamente la soluzione migliore, però in certi casi può tornare davvero utile. Anche se la password in Windows non comporta di fatto nessuna sicurezza aggiuntiva, è sempre bene usarla. Io recentemente ho dovuto bypassarla perchè su un computer in cui risiedono svariate macchine virtuali, il mancato login comportava un'estrema lentezza nel trasferimento dati su rete LAN Gigabit ( circa 2MB/s ).

Windows Vista/7

Andate su esegui ( tasto Win + R ) e scrivete:

netplwiz

Ora vi basterà togliere la spunta dalla voce "Per utilizzare questo computer è necessario che l'utente immetta il nome e la password". Date Ok e il gioco è fatto!

Windows XP

Su Windows XP la cosa è molto simile, il comando per accedere al menù però è questo:

control userpasswords2

Anche in questo caso dovrete togliere la spunta alla voce "Per utilizzare questo computer è necessario che l'utente immetta il nome e la password".

Si Si, avete ragione, matrimonio perfetto è fin troppo esagerato. D'altro canto la cosa funziona perfettamente anche con altri servizi di hosting dinamico, come no-ip.org. Solitamente però DynDns è uno di quei servizi che ha di fatto il monopolio, lo si trova implementato in moltissime periferiche hardware, tra cui router e NAS. I QNAP solitamente offrono la possibilità di accedere a uno di questi servizi:

• http://www.no-ip.com/
• http://www.dyndns.org/
• http://update.ods.org/
• http://www.dhs.org/
• http://www.dyns.cx/
• http://www.3322.org/

Aprire la finestra che da sul Web è estremamente semplice. Basta infatti registrarsi a uno di questi servizi ed in seguito impostare l'aggiornamento dell'IP sul NAS o sul Router, la cosa è indifferente.

Per creare l'account free potete tranquillamente seguire questa guida, oppure questa ( QNAP wiki ). Potete scegliere tra vari domini di secondo livello, ad esempio dyndns.org, dyndns-free.com, dyndns-home.com, ecc.. Sceglietene uno, tanto uno vale l'altro.

Una volta terminato il procedimento di registrazione e attivazione dell'host entrate nel pannello di configurazione del vostro QNAP e andate in Amministrazione di sistema -> Impostazioni Rete -> DDNS. Mettete la spunta su Attiva servizio DNS dimanico, scegliete il servizio DynDNS e inserite il nome dell'account con la quale vi siete registrati, relativa password e il nome dell'host che avete scelto. Ad esempio casamia.dyndns-free.com. Infine mettete la spunta anche su Verifica automaticamente l'indirizzo IP esterno.

A questo punto il vostro QNAP sarà raggiungibile dall'host che avete scelto. Tuttavia se il NAS si trova dietro un router, questo fungerà da firerall e bloccherà tutte le richieste che provengono dall'esterno, rendendo il servizio inaccessibile. Per ovviare al problema dovrete effettuare un port forwarding. Entrate nel router e nella sezione che vi consente di effettuare questa operazione inserite le porte e i relativi servizi che volete aprire verso l'esterno. Solitamente i router vi chiedono come parametri: il nome della regola, l'indirizzo IP in cui effettuare il forward ( inserite l'IP del QNAP ), il numero della porta o un intervallo di porte e il protocollo ( voi usate il TCP ).

Questo è l'elenco delle porte utilizzate dal QNAP:

Ovviamente non serve che le aprite tutte, per motivi di sicurezza aprite solo quella che realmente andrete ad usare. Io ad esempio ho aperto solo FPT e la porta per pyLoad.
Sempre per ragioni di sicurezza vi consiglio di impostare una password di amministrazione bella tosta, con una lunghezza superiore agli 8-10 caratteri e contenente i classici caratteri speciali e numeri. Oltre a questo utilizzare il sistema anti-flooding integrato nel QNAP che bannerà automaticamente un indirizzo IP dopo n tentativi di login errati. Potete trovare le impostazioni in Amministrazione di sistema -> Protezione -> Protezione accesso alla rete.
Questo è tutto.

Faccio una piccola parentesi su come fare per "costruire" un proprio certificato SSL, che poi andremo a utilizzare sul QNAP. Io personalmente ho impostato il NAS per utilizzare solo connessioni https:// ( quindi sicure ).

Per creare il nostro certificato però dovremmo, seppur temporaneamente, disattivare questa funzionalità per motivi di sicurezza. Se ad esempio sbagliate a creare il certificato non potrete più accede al menù di amministrazione. Con questa opzione disattivata invece potrete comunque entrare nella WEBGUI non protetta ( http:// ) e ripristinare il certificato di default della QNAP.

Vi ricordo che per disattivare la forzatura delle connessioni in SSL dovrete andare in Amministrazione di sistema -> Impostazioni generali e togliere la spunta da Forzare soltanto la connessione sicura (SSL).

Fatto questo potremmo procedere tranquillamente. Da questo sito scaricate la versione di OpenSSL che più preferite, 32 o 64 bit. Per quello che dovrete fare la versione Light vi sarà più che sufficiente. Per l'installazione avrete bisogno del Visual C++ 2008 Redistributables, scaricabile dal sito. Tutti coloro che utilizzano sistemi Linux invece avranno OpenSSL già installato di default, al massimo lo trovate sui vostri repository.

Installato OpenSSL aprite un prompt e dirigetevi in C:\OpenSSL\bin ( il path potrebbe cambiare a seconda della versione installata ). A questo punto scrivete:

openssl genrsa -out priv.key 1024

Questo creerà la chiave, mentre questo comando creerà il certificato:

openssl req -new -key priv.key -out server.crt -x509 -days 365

Qui il programma vi chiederà alcune informazioni di routine, ad esempio: stato, organizzazione, ecc. Alcune di esse possono essere tranquillamente lasciate in bianco.

Ora aprite i due file, anche in un semplice editor, e copiare i dati all'interno nel form che trovate nella WEBGUI del vostro QNAP: Amministrazione di sistema -> Protezione -> Importa Certificato Sicuro SSL ( la chiave nel form in basso e in certificato in quello sopra ). Premete su Upload ed attendete che l'operazione termini.

A questo punto sopra i due form compariranno tre pulsanti, uno per scaricare la chiave, uno per il certificato ed infine uno per ripristinare il certificato QNAP di default, nel caso qualcosa andasse storto. Voi scaricare il certificato che avrà la dicitura "SSLcertificate.crt". Non dovrete far altro che importarlo nel vostro browser. In molti browser basta un drag and drop in altri dovrete importarlo andando nelle impostazioni.

Ed ecco fatto, ora disporrete di un certificato personale per accedere al menù di amministrazione. I seguenti steps funzionano alla perfezione con la versione del firmware 3.4. La pagine ufficiale la trovate a questo indirizzo.

Come ultima cosa ricordatevi di riattivare la funzione Forzare soltanto la connessione sicura (SSL).

Poche ora fa è stata rilasciata la versione 6 di Avast antivirus ( 6.0.100 ). Io sono passato ad Avast già dalla versione 4 e poi non l'ho più abbandonato. Le prime versione avevano il brutto vizio di dare molti falsi positivi ma ora è tutto cambiato. Penso che Avast sia uno degli antivirus migliori sulla piazza. E' free ed è leggero, non credete a quelli che affermano che Avast è pesantissimo ( forse questi lo fanno girare su un 386 ), per un computer moderno far girare Avast è dispendioso quanto far girare Messenger.

Probabilmente non ci crederete ma io ho perfino la licenza pro... so che sembra strano, ma tempo fa sono incappato in un'offerta particolarmente vantaggiosa: 2 anni di licenza per 20€, allora lo ho comperato

Comunque anche la versione free è più che valida e ora la versione 6 implementa ( anche per la versione gratuita ) l'autosandbox. Questa particolare funzionalità esegue i programmi sospetti in un area di memoria isolata dal resto del sistema, il sistema dovrebbe quindi andare ad inibire il malware che si ha avviato.

Qui trovate la versione free, pro e internet security.

Il 7 febbraio il team di sviluppo WordPress ha rilasciato una minor release: la 3.0.5. Stando al post nel blog ufficiale si tratterebbe di una security release che va "rattoppare" alcuni problemi di sicurezza legati ai livelli "Autore" e "Collaboratore". Tramite un exploit utenti con diritti di questo livello potevano incrementare i propri diritti d'accesso fino a controllare il sito.

Potete trovare tutti i dettagli all'indirizzo riportato sopra.

Si consiglia l'aggiornamento della piattaforma, tramite auto-update o update manuale.

Oggi Opera incassa un brutto colpo, il "gancio destro" arriva da VUPEN Security, il bug, scoperto e confermato, è considerato critical ( critico ). Tale bug affigge sia la versione 11, sia al 10.63 e precedenti installate su Windows XP Sp3 e Windows 7.

Il bug, come detto, è critico e permette ad un malintenzionato di eseguire codice malevolo e di conseguenza prendere il controllo del pc attacco; il tutto tramite una pagina preconfezionata ad-hoc. Il problema riguarderebbe il file "opera.dll". Al momento non esiste nessuna patch per risolvere il problema. Da Opera non si sa niente, ma con tutta probabilità la società è al lavoro per risolvere il problema. Per ora la miglior difesa è prestare la massima attenzione. C'è però da dire che in questo caso la poca fetta di mercato di Opera aiuta, infatti sarà abbastanza difficile imbattersi in qualche exploit che sfrutta questo bug.

UPDATE 27 gennaio 2011:

Come ci si aspettava, Opera Software ha rilasciato un minor update, 11.01 che va a risolvere anche il problema di sicurezza citato sopra. Per le altre novità vi rimando al changelog.

Come molti di voi sanno, quando un file viene cancellato dal nostro hard disk ( o qualsiasi altro dispositivo ) l'operazione non va a modificare il file in questione, infatti il sistema operativo si limita solamente ad eliminare il puntatore a quel file presente nella MFT (Master File Table) nel caso di un file system NTFS. Questo significa che con software appositi si recupero è possibile recuperare i dati eliminati. Solitamente questo è bene, perchè se ad esempio i file vengono eliminati accidentalmente ( questo vale soprattutto, per quelli come me, che abusano di Shift-CANC ) possono essere recuperati facilmente se non vengono sovrascritti da qualcos'altro. Cosa succede però se dobbiamo cancellare dei dati personali? E se dobbiamo vendere il nostro PC ad un'altra persona?

In questi casi dobbiamo essere sicuri che determinati file vengano eliminati sul serio e non ci sia nessun modo per poterli recuperare. Per poter fare questo possiamo usare Eraser, un ottimo software open-source che applica diversi algoritmi di eliminazione e sovrascrittura. Forse il più conosciuto, e anche più complesso, è il metodo Gutmann (35 passi), che assicura l'eliminazione al 100%. Tuttavia già il metodo US DoD 5220.22-M a 3 passi assicura l'eliminazione. Il primo metodo infatti è un po' troppo over-kill e da paranoici

Provatelo

Nella giornata di ieri ho parlato di una vulnerabilità critica riguardante Adobe Flash Player e Adobe Reader. Adobe ha da poco rilasciato alcune informazioni sul rilascio delle patch che risolveranno i gravi bug.

La patch per Adobe Flash Player 10.x ( per Windows, Mac OS X e Linux ) arriverà il 10 giugno, dovranno invece aspettare gli utenti che utilizzano Solaris.

Per quanto riguarda Adobe Reader invece non ci sono buone notizia, infatti la patch non sarà disponibile ancora per un paio di settimane, si prevede infatti che la patch non sarà rilasciata prima del 29 giugno. Ricordiamo però che a questo indirizzo è presente un workaround che risolve il problema temporaneamente fino all'arrivo della patch.

Pochi giorni fa Adobe ha diramato un bolletino di sicurezza ( APSA10-01 ) riguardo ad una pericolosa vulnerabilità 0-day, classificata come critical.  Questa falla è già stata implementata con successo in alcuni exploit. Adobe, per il momento, non ha ancora rilasciano nessun aggiornamento.

La vulnerabilità in questione può essere usata in due modi: per mandare in crash l'applicazione o per prendere il controllo della macchina su cui si sferra l'attacco. Questa seconda modalità è stata confermata dalla stessa Adobe. I sistemi che possono essere colpiti da questo tipo di vulnerabilità sono:

• Adobe Flash Player 10.0.45.2, 9.0.262, e le precedenti versioni 10.0.x e 9.0.x per Windows, Macintosh, Linux e Solaris
• Adobe Reader e Acrobat 9.3.2 e le precedenti versioni 9.x per Windows, Macintosh and UNIX

Fortunatamente la falla non colpisce la versione 10.1 RC7 di Adobe Flash Player.  Al momento quindi la miglior cosa da fare è installare tale versione, immune al problema, o disattivare del tutto il Flash Player.

Mentre per quanto riguarda Adobe Reader e Acrobat può essere utilizzato un workaround per immunizzare il programma. Basta infatti rinominare uno ( o entrambi dei due file ) in aurhplay.dll.old.

• C:\Programmi\Adobe\Reader 9.0\Reader\authplay.dll
• C:\Programmi\Adobe\Acrobat 9.0\Acrobat\authplay.dl

Nella speranza che Adobe rilasci un fix nel più breve tempo possibile.

Thomas Mackenzie ha allertato il team di sviluppo su una grave falla di sicurezza presente in WordPress 2.9 che permetterebbe ad utenti loggati sulla proprio piattaforma di visionare tutti i post presenti nel cestino. La falla è stata prontamente tappata ed è già disponibile la versione 2.9.2 ( solo in inglese per il momento ).

Per maggiori dettagli potete visionare il post del team di sviluppatori.