Gruppi di continuità presi di mira dagli hacker! Ecco una serie di suggerimenti per la sicurezza

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...za_106015.html

I dispositivi UPS non dovrebbero normalmente essere esposti su Internet: la CISA degli Stati Uniti avvisa della possibilità di accessi indesiderati e suggerisce una serie di pratiche di sicurezza

Click sul link per visualizzare la notizia.

[zappy]

perchè mai un gruppo di continuità dovrebbe essere connesso ad internet o anche solo alla LAN?

[Thinkslow]

Quote:

Originariamente inviato da zappy

perchè mai un gruppo di continuità dovrebbe essere connesso ad internet o anche solo alla LAN?

Che sia connesso alla rete è assolutamente normale, gli ups posono inviare messaggi di diagnostica e sono monitorabili da remoto, ma che sia raggiungibile da internet è un errore grossolano, mi meraviglio che nel 2022 debbano diramare avvisi in merito

[Piedone1113]

Quote:

Originariamente inviato da zappy

perchè mai un gruppo di continuità dovrebbe essere connesso ad internet o anche solo alla LAN?

Per monitorare l'usura batterie?
Per monitorare il consumo energetico, che se fatto con cognizione di causa ti può rivelare diverse cose sul corretto funzionamento dell'infrastruttura ?
Ma anche è spesso utile per effettuare shutdown in sicurezza dei sistemi in caso di blackout particolarmente lunghi ed attivare il wakeonlan al ripristino di una carica sufficiente delle batterie.
Avere gli ups in lan torna utile per un sacco di motivi, usarne le funzioni è un'altro paio di maniche

[zappy]

Quote:

Originariamente inviato da Thinkslow

Che sia connesso alla rete è assolutamente normale, gli ups posono inviare messaggi di diagnostica e sono monitorabili da remoto, ma che sia raggiungibile da internet è un errore grossolano, mi meraviglio che nel 2022 debbano diramare avvisi in merito

Quote:

Originariamente inviato da Piedone1113

Per monitorare l'usura batterie?
Per monitorare il consumo energetico, che se fatto con cognizione di causa ti può rivelare diverse cose sul corretto funzionamento dell'infrastruttura ?
Ma anche è spesso utile per effettuare shutdown in sicurezza dei sistemi in caso di blackout particolarmente lunghi ed attivare il wakeonlan al ripristino di una carica sufficiente delle batterie.
Avere gli ups in lan torna utile per un sacco di motivi, usarne le funzioni è un'altro paio di maniche

se parliamo di datacenter, ci può stare, ma mi aspetto che chi gestisce 'ste robe sappia fare il suo lavoro (evidentemente no...)
se parliamo del piccolo gruppo SOHO o casalingo, è più che sufficiente che faccia un bip, senza bisogno di pippe mentali, collegamenti, e cazzabubbole varie.

[bancodeipugni]

io ho la caldaia online

Spoiler:

e anche collegata con cavo cat 6a

[Piedone1113]

Quote:

Originariamente inviato da zappy

se parliamo di datacenter, ci può stare, ma mi aspetto che chi gestisce 'ste robe sappia fare il suo lavoro (evidentemente no...)
se parliamo del piccolo gruppo SOHO o casalingo, è più che sufficiente che faccia un bip, senza bisogno di pippe mentali, collegamenti, e cazzabubbole varie.

e se invece è un piccolo ufficio con 3 pc, un server in uno stanzino con gestionale consultabile anche dall'esterno ( praticamente ogni piccolissimo commercialista d'italia e non solo) credi che si sentirebbe il bit o che possa permettersi un responsabile it in sede ?

[Darkon]

Quote:

Originariamente inviato da Piedone1113

e se invece è un piccolo ufficio con 3 pc, un server in uno stanzino con gestionale consultabile anche dall'esterno ( praticamente ogni piccolissimo commercialista d'italia e non solo) credi che si sentirebbe il bit o che possa permettersi un responsabile it in sede ?

Per casistiche come questa semplicemente gli direi al di là del gruppo di continuità che i rischi superano i benefici di decine di volte e che non ha proprio senso tenere in piedi un sistema del genere.

Che poi voglio dire tutto ciò per far cosa da remoto? Con il rischio che se in qualsiasi modo ti fregano le credenziali di accesso perdi tutto compreso dati sensibili dei clienti e che tenere un sistema del genere a norma GDPR ti costa un'esagerazione!?

Ripeto se si parla di grandi uffici o datacenter e/o cose simili allora ha senso. Il piccolo ufficio con il mini-server online semplicemente è stato consigliato male e corre rischi immensi.

[Cappej]

Quote:

Originariamente inviato da bancodeipugni

io ho la caldaia online

Vorrei vedere, minimo sindacale! comunicare a 10Gbe non ha prezzo!

[Piedone1113]

Quote:

Originariamente inviato da Darkon

Per casistiche come questa semplicemente gli direi al di là del gruppo di continuità che i rischi superano i benefici di decine di volte e che non ha proprio senso tenere in piedi un sistema del genere.

Che poi voglio dire tutto ciò per far cosa da remoto? Con il rischio che se in qualsiasi modo ti fregano le credenziali di accesso perdi tutto compreso dati sensibili dei clienti e che tenere un sistema del genere a norma GDPR ti costa un'esagerazione!?

Ripeto se si parla di grandi uffici o datacenter e/o cose simili allora ha senso. Il piccolo ufficio con il mini-server online semplicemente è stato consigliato male e corre rischi immensi.

Da quando una vpn è un rischio?
Da quando si espone una porta verso l'esterno e gli si permette l'accesso da utenti privilegiati?
Postazione tipo:
server con gestionale-vpn-accesso esterno limitato ad user ( quindi non accesso admin o superiore) che problemi di sicurezza ti comporta?
Idem per gli ups: se l'accesso lan è limitato al solo guest e l'amministrazione dello stesso è abilitato su com o ssh che problemi ti creano?
Purtroppo si va a vedere il caso limite quando nessuno si pone il problema di videosorvaglianza cloud o voip cloud che sono si un rischio immenso.

[Darkon]

Quote:

Originariamente inviato da Piedone1113

Da quando una vpn è un rischio?
Da quando si espone una porta verso l'esterno e gli si permette l'accesso da utenti privilegiati?
Postazione tipo:
server con gestionale-vpn-accesso esterno limitato ad user ( quindi non accesso admin o superiore) che problemi di sicurezza ti comporta?
Idem per gli ups: se l'accesso lan è limitato al solo guest e l'amministrazione dello stesso è abilitato su com o ssh che problemi ti creano?
Purtroppo si va a vedere il caso limite quando nessuno si pone il problema di videosorvaglianza cloud o voip cloud che sono si un rischio immenso.

Chi ha un mini-server sarei pronto a scommettere che non sa nemmeno cosa sia una VPN e comunque ripeto ha senso metter su una VPN per un ufficio di piccole dimensioni?!

Come sopra... nel 99% dei casi di piccole realtà trovo tutto e dico tutto con l'username standard "admin" o "administrator", con pieni poteri e se va bene (ma non sempre) cambiano giusto la password. Ripeto non va confuso quella che è la conoscenza media qua dentro e quella che è la conoscenza media di un mini-ufficio di una piccola attività.

Piedone io capisco il tuo punto di vista e sì... in un mondo in cui la gente sa quello che fa sarebbe come dici. Ma per farti un esempio mio padre, imprenditore, se non gli avessi configurato tutto io avrebbe continuato a usare tutto con username e password di fabbrica senza contare che funziona? si... quindi non si tocca la configurazione qualunque essa sia.

E ripeto... io di aziende ne vedo tante e son tutte pressappoco come mio padre salvo andare in realtà industriali con una struttura professionale.

Poi oh... che la cyber sicurezza in Italia sia praticamente inesistente non è che lo dico io eh. C'è una infinità di report che lo ribadiscono.

Chiudo con... anche con tutta la sicurezza di questo mondo ha veramente poco senso per piccole attività di tenere i sistemi online. Il rischio di hacking per quanto remoto se implementi una buona sicurezza rimane sempre e tutto questo per cosa? Spesso sistemi superflui che facilitano l'attività lavorativa in maniera del tutto trascurabile ma che ti espongono a inutili rischi e ribadisco un punto estremamente sottovalutato: se nel server ci sono dati sensibili anche se, teoricamente sono inaccessibili, dev'essere a norma GDPR e ci metterei la mano sul fuoco almeno più della metà non lo sono.

Si torna sempre allo stesso discorso... mettere online è utile quando ha un impatto sensibile ed è funzionale. La moda di mettere tutto online anche se di fatto serve a poco e niente ma fa "fashion" è una sciocchezza immensa figlia di un marketing pazzesco.

[Piedone1113]

Quote:

Originariamente inviato da Darkon

Chi ha un mini-server sarei pronto a scommettere che non sa nemmeno cosa sia una VPN e comunque ripeto ha senso metter su una VPN per un ufficio di piccole dimensioni?!

Come sopra... nel 99% dei casi di piccole realtà trovo tutto e dico tutto con l'username standard "admin" o "administrator", con pieni poteri e se va bene (ma non sempre) cambiano giusto la password. Ripeto non va confuso quella che è la conoscenza media qua dentro e quella che è la conoscenza media di un mini-ufficio di una piccola attività.

Piedone io capisco il tuo punto di vista e sì... in un mondo in cui la gente sa quello che fa sarebbe come dici. Ma per farti un esempio mio padre, imprenditore, se non gli avessi configurato tutto io avrebbe continuato a usare tutto con username e password di fabbrica senza contare che funziona? si... quindi non si tocca la configurazione qualunque essa sia.

E ripeto... io di aziende ne vedo tante e son tutte pressappoco come mio padre salvo andare in realtà industriali con una struttura professionale.

Poi oh... che la cyber sicurezza in Italia sia praticamente inesistente non è che lo dico io eh. C'è una infinità di report che lo ribadiscono.

Chiudo con... anche con tutta la sicurezza di questo mondo ha veramente poco senso per piccole attività di tenere i sistemi online. Il rischio di hacking per quanto remoto se implementi una buona sicurezza rimane sempre e tutto questo per cosa? Spesso sistemi superflui che facilitano l'attività lavorativa in maniera del tutto trascurabile ma che ti espongono a inutili rischi e ribadisco un punto estremamente sottovalutato: se nel server ci sono dati sensibili anche se, teoricamente sono inaccessibili, dev'essere a norma GDPR e ci metterei la mano sul fuoco almeno più della metà non lo sono.

Si torna sempre allo stesso discorso... mettere online è utile quando ha un impatto sensibile ed è funzionale. La moda di mettere tutto online anche se di fatto serve a poco e niente ma fa "fashion" è una sciocchezza immensa figlia di un marketing pazzesco.

Ma davvero credi che il commercialista/ragioniere si mette su il server da solo con il gestionale ed il backup dello stesso?
O che il fornitore del servizio ( che costa non poco) utilizza il ragazz<otto sotto casa per l'infrastruttura?
Per la maggiore la struttura è:
server linux con firewall/gestionale/vpn in dmz ( o solo con il redirect di alcune porte dipende dal fornitore) che funge anche da gateway per la rete locale.
SSH per la gestione da esterno.
App/script/programma (quello che più ti aggrada) sul desktop per il collegamento locale o per il remoto.
Il commercialista quandio va da cliente ( o da casa) lancia il "gestionale remoto" sul proprio notebook. Null'altro.
Per finire tutti i sistemi di contabilità/dichiarazione/buste paga ecc sono aderenti al gdpr e chi fornisce il servizio sicuramente ha sicuramente un'infrastruttura dietro non da poco ( praticamente tutti i sistemi ti permettono, dietro pagamento, il servizio di backup remoto e di recovery da remoto o il backup su nas del cliente)

[Darkon]

Quote:

Originariamente inviato da Piedone1113

Ma davvero credi che il commercialista/ragioniere si mette su il server da solo con il gestionale ed il backup dello stesso?

Non è che lo credo, l'ho visto accadere e nemmeno UNA volta ma diverse volte. Ti ricordo che ci sono commercialisti a vari livelli e il commercialista che gestisce piccoli negozi di paese e simili, che guadagna poco perché ha cliente da poco spesso compra gli strumenti di rete direttamente su amazon e se li monta da solo.
Devo aggiungere altro?

Quote:

O che il fornitore del servizio ( che costa non poco) utilizza il ragazz<otto sotto casa per l'infrastruttura?

Il fornitore?! Ma te veramente credi che vadano da un fornitore? Ne ho conosciuti a bizzeffe che comprano l'hardware su amazon o simili e se lo fanno montare da figli o se lo montano da soli.
Quando c'è un "fornitore" siamo già molto sopra la media e festeggio. MAGARI si affidassero sempre a un fornitore.

Quote:

Per la maggiore la struttura è:
server linux con firewall/gestionale/vpn in dmz ( o solo con il redirect di alcune porte dipende dal fornitore) che funge anche da gateway per la rete locale.
SSH per la gestione da esterno.
App/script/programma (quello che più ti aggrada) sul desktop per il collegamento locale o per il remoto.

Io non so che esperienza hai te ma io una infrastruttura del genere l'ho trovata solo ed esclusivamente in realtà di una certa dimensione.
Nella stragrande maggioranza dei casi io ho trovato normali PC lasciati accesi con su windows con sistemi più o meno folli di condivisione.
Anche qua... già solo il fatto di trovare un PC dedicato è motivo di festeggiamento mentre nella maggior parte dei casi il "server" è direttamente il PC dell'ufficio dell'imprenditore.

Quote:

Per finire tutti i sistemi di contabilità/dichiarazione/buste paga ecc sono aderenti al gdpr e chi fornisce il servizio sicuramente ha sicuramente un'infrastruttura dietro non da poco ( praticamente tutti i sistemi ti permettono, dietro pagamento, il servizio di backup remoto e di recovery da remoto o il backup su nas del cliente)

Se tutti si appoggiassero a un fornitore peccato che la realtà italiana è fatta di commercialisti che tutt'ora lavorano in gran parte via "carta" o fax o facendo archivi paralleli al gestionale "homemade" e poi mica ci son solo commercialisti... prova ad andare dal piccolo artigiano che utilizza ancora per la contabilità PC con windows 2000 schiaffati in rete come niente fosse.

Una volta un cliente che voleva mandarmi la contabilità e non riuscivo a capire che diamine volesse fare alla fine venne fuori che semplicemente aveva condiviso con chiunque si connettesse la cartella "contabilità" così a caso.

Ripeto un conto è la realtà di gruppi di un certo livello che hanno server dedicati, firewall e che in maniera più o meno complessa hanno una infrastruttura di rete gestita da un fornitore professionale.
Tutt'altra faccenda sono i milioni di micro-imprese che quando va bene hanno uno di famiglia che gli ha impostato un minimo di sicurezza informatica.

[Piedone1113]

Quote:

Originariamente inviato da Darkon

Non è che lo credo, l'ho visto accadere e nemmeno UNA volta ma diverse volte. Ti ricordo che ci sono commercialisti a vari livelli e il commercialista che gestisce piccoli negozi di paese e simili, che guadagna poco perché ha cliente da poco spesso compra gli strumenti di rete direttamente su amazon e se li monta da solo.
Devo aggiungere altro?



Il fornitore?! Ma te veramente credi che vadano da un fornitore? Ne ho conosciuti a bizzeffe che comprano l'hardware su amazon o simili e se lo fanno montare da figli o se lo montano da soli.
Quando c'è un "fornitore" siamo già molto sopra la media e festeggio. MAGARI si affidassero sempre a un fornitore.



Io non so che esperienza hai te ma io una infrastruttura del genere l'ho trovata solo ed esclusivamente in realtà di una certa dimensione.
Nella stragrande maggioranza dei casi io ho trovato normali PC lasciati accesi con su windows con sistemi più o meno folli di condivisione.
Anche qua... già solo il fatto di trovare un PC dedicato è motivo di festeggiamento mentre nella maggior parte dei casi il "server" è direttamente il PC dell'ufficio dell'imprenditore.



Se tutti si appoggiassero a un fornitore peccato che la realtà italiana è fatta di commercialisti che tutt'ora lavorano in gran parte via "carta" o fax o facendo archivi paralleli al gestionale "homemade" e poi mica ci son solo commercialisti... prova ad andare dal piccolo artigiano che utilizza ancora per la contabilità PC con windows 2000 schiaffati in rete come niente fosse.

Una volta un cliente che voleva mandarmi la contabilità e non riuscivo a capire che diamine volesse fare alla fine venne fuori che semplicemente aveva condiviso con chiunque si connettesse la cartella "contabilità" così a caso.

Ripeto un conto è la realtà di gruppi di un certo livello che hanno server dedicati, firewall e che in maniera più o meno complessa hanno una infrastruttura di rete gestita da un fornitore professionale.
Tutt'altra faccenda sono i milioni di micro-imprese che quando va bene hanno uno di famiglia che gli ha impostato un minimo di sicurezza informatica.

Io non so che commercialisti hai visto, ma tutti i software del settore ( team system, bpoint, ed altri) usano il sistema da me descritto con alcuni che paghi in anticipo pure il numero di stampe annuali concessi.
Forse ti riferisci a qualche ragioniere che usa ancora exel per la contabilità e che non hanno a che fare con la fatturazione elettronica?

[!fazz]

la situazione che vedo io di solito è pc con su gestionale zucchetti et simila che fà sia da server che da client il tutto con schermo crt da 14 pollici d'annata e collegamento con cascata di 4 ciabatte prese dai cinesi vicino al negozio

[bancodeipugni]

Quote:

Originariamente inviato da !fazz

la situazione che vedo io di solito è pc con su gestionale zucchetti et simila che fà sia da server che da client il tutto con schermo crt da 14 pollici d'annata e collegamento con cascata di 4 ciabatte prese dai cinesi vicino al negozio

quelle coi pulsanti singoli illuminati che esplodono quando li tocchi immagino

la zucchetti non era fallita ?

[bancodeipugni]

Quote:

Originariamente inviato da Cappej

Vorrei vedere, minimo sindacale! comunicare a 10Gbe non ha prezzo!

...solo che il chip ethernet integrato è a 100 mbit

caldaia tedesca, 5 anni di contratto (controllo e ass da remoto 10€ l'anno),
severissima (ci sono volute 3 valvole di non ritorno sulla mandata altrimenti dava warning a ogni minimo ritorno...)
in uniforme

Spoiler:

...colpa dell'operaio... aveva il 5e per i citofoni, aveva paura che gliene rimanesse troppo...

[zappy]

Quote:

Originariamente inviato da bancodeipugni

io ho la caldaia online

sicuro come il fuoco che presto farà parte di una botnet

Quote:

Originariamente inviato da Darkon

Ripeto se si parla di grandi uffici o datacenter e/o cose simili allora ha senso. Il piccolo ufficio con il mini-server online semplicemente è stato consigliato male e corre rischi immensi.

Quote:

Originariamente inviato da Darkon

Chi ha un mini-server sarei pronto a scommettere che non sa nemmeno cosa sia una VPN e comunque ripeto ha senso metter su una VPN per un ufficio di piccole dimensioni?!

Come sopra... nel 99% dei casi di piccole realtà trovo tutto e dico tutto con l'username standard "admin" o "administrator", ...
Si torna sempre allo stesso discorso... mettere online è utile quando ha un impatto sensibile ed è funzionale. La moda di mettere tutto online anche se di fatto serve a poco e niente ma fa "fashion" è una sciocchezza immensa figlia di un marketing pazzesco.

[Piedone1113]

Quote:

Originariamente inviato da !fazz

la situazione che vedo io di solito è pc con su gestionale zucchetti et simila che fà sia da server che da client il tutto con schermo crt da 14 pollici d'annata e collegamento con cascata di 4 ciabatte prese dai cinesi vicino al negozio

Su 20 commercialisti che seguo ( da studi di 8 a ufficio con solo un tirocinante) nessuno usa Zucchetti.
Per la maggiore va Team system ( 12/3) poi Wolters Kluwer (4) il resto bpoint.
Uno solo usa poliedro cloud ( team system) e 2 usano Poliedro su client adattato a server ( non usata come postazione operativa).
Tutti gli altri hanno la configurazione sopraesposta e tutti hanno backup ( o in locale o remoto).
Sono messi molto peggio le farmacie ( la il server raramente lo usano) e la mia è una zona economicamente depressa tale da dover avere un raggio d'azione di 120km per lavoro ( la basilicata ha una popolazione inferiore ad un quartiere di milano)
Un solo cliente ha windows 2012r2 come server e firewall separato (team fire della teamsystem) gli altri hanno server linux su distro personalizzata dalla software house ( centos o debian).

Questa è la mia realtà, ed onestamente in piena fatturazione elettronica ( e relativi scarichi automatici delle fatture dal cassetto fiscale) far passare l'idea che si possa ancore gestire un ufficio speculando sul server ( con i costi delle licenze che vanno da 2000 fino a 10000€ annui ) da 1300/500€ una tantum ogni 5/6 anni ed interamente detraibili è dubbio.
Ps qualcuno ha anche un router di backup umts dopo che un furto di rame gli ha lasciati in disservizio per 3/4 giorni con il terrore di non poter inviare all'AE entro i termini.
Insomma si che siamo indietro, ma le agevolazioni e gli incentivi che il commercialista propone al cliente le usano anche loro con qualcuno che si è fornito pure di ups centralizzato per evitare altri guai.

[aqua84]

E io non ho ancora visto un commercialista che guadagna poco.