Dal sito di OpenSSH:

OpenSSH è una versione libera del protocollo SSH, suite dei tool per la connettività di rete…. Molti utenti che utilizzano telnet, rlogin, ftp e altri programmi simili forse non sanno che la loro password viene trasmessa attraverso la rete non criptata. OpenSSH cripta tutto il traffico (password compresa) per eliminare a tutti gli effetti l’ascolto passivo, l’hijacking della connessione e altri attacchi a livello di rete. In più, OpenSSH fornisce una miriade di possibilità di tunneling sicuro, così come una varietà di metodi di autenticazione.

Di questo ottimo prodotto open source ne esiste una versione per Win32, che installa il server OpenSSH, senza il bisogno di installare tutto il pacchetto Cygwin. Fornisce i servizi di SSH/SCP/SFTP, e l’accesso via terminale SSH presenta una shell del Prompt dei comandi.
E’ molto semplice installare il pacchetto e creare tunnel sicuri verso la macchina server, vediamo il solito esempio della connessione al desktop remoto(*). Funziona su tutte le versioni di Win32, tranne 95 e 98.
Procuratevi il pacchetto da installare sul server qui, e lanciate l’installazione. Accettate tutti i defaults e procedete fino alla fine. Aprite un prompt dei comandi e portatevi nella cartella di installazione (dovrebbe essere c:\Programmi\OpenSSH). Dovete decidere per quali utenti abilitare l’accesso, di solito è meglio per il solo amministratore. Fate un cd bin, e usate mkgroup e mkpasswd per assegnare i diritti, seguendo la sintassi che trovate nel file quickstart.txt. Terminate facendo partire il servizio: net start opensshd. Ricordate di aprire la porta TCP/22 sul router e/o firewall. Su XP SP2 aggiungete il servizio e la porta al firewall. Inoltre se non usate l’utente administrator e siete su un controller di dominio, ricordate di modificare le Group Policies in modo da permettere l’accesso all’utente desiderato.
A questo punto passiamo al client: procuratevi PuTTY, il client SSH che vi servirà per la connessione e la creazione del tunnel.
Spostatevi sul client, lanciate PuTTY, inserite l’indirizzo IP o il nome del server e nella sezione SSH –> Tunnels —> source port: 3389, destination: 127.0.0.1:3389, tipo: local.
Cliccate su Open, cliccate su Yes, se appare una dialog box che chiede di aggiungere la chiave, inserite poi nome utente e password. Se tutto è andato a buon fine vedrete il prompt dei comandi della macchina remota, sul quale potete lavorare tranquillamente.
Per sfruttare il tunnel creato usiamo la Connessione a Desktop Remoto, modificata come ho scritto qui. Lanciate il programma ed effettuate la connessione verso 127.0.0.1. Ecco il vostro desktop remoto, tunnellato su di una connessione sicura!
Per creare tunnel verso altri servizi è sufficiente aggiungerli prima della connessione, e poi dal client puntare all’indirizzo 127.0.0.1.
OpenSSH installa anche un server sftp, una versione sicura di ftp che non manda le password in chiaro, potete usare diversi client per connettervi, io uso WinSCP, open source. Si usa come un client ftp normalissimo.
Qualora si volesse creare un tunnel verso un PC diverso dal server OpenSSH, ma da lui raggiungibile, basterà creare il tunnel specificando l’indirizzo IP locale della macchina di destinazione.
La cosa bella è che il tunnel viene creato “al volo” sul client ad ogni connessione, e non devo configurare nulla sul server, comodo no?

(*) Naturalmente la connessione a desktop remoto su Windows NT non esiste.

Mi è capitato di dover accedere remotamente ad un PC collegato tramite la rete Fastweb. A causa dell’architettura Fastweb è impossibile o costoso pubblicare porte TCP relative a servizi che “girano” sul proprio PC. Non potendo accedere dall’esterno alla porta TCP/5900, il controllo remoto tramite Ultr@VNC è impossibile, nella modalità tradizionale.
Ma esiste una soluzione, nel caso in cui il PC “controllore” possa aprire la porta TCP/5500.
Installate Ultr@VNC sul PC fastweb e configuratelo come server. E’ molto semplice, basta installare e scegliere una password, dopodichè lanciare il server. Sull’altro PC installate il programma, lanciate il visualizzatore in “listen mode” (c’è un’apposita voce nel menu programmi), e assicuratevi che la porta 5500 sia raggiungibile dall’esterno. A questo punto, sul PC fastweb, cliccate con il destro sull’icona nella systray (vicino all’orologio n.d.r.) e scegliete “Add New Client. Nel campo “Host Name” inserite l’indirizzo IP del PC “controllore”, e la connessione verrà stabilita.
Unica limitazione: in questa modalità sembra impossibile usare il plugin MSRC4, per crittare la tramissione dei dati

Riprendo questo interessante post di Hyle, che vi spiega come avere un blog “evoluto” con pochi semplici passi.
Vorrei proporre una variazione sul tema: fermo restando che Altervista vi serve per ospitare il vostro blog, potete utilizzare anche Blogger, specie adesso che è stato tradotto in italiano.
E’ sufficiente registrarsi, e, nel pannello delle preferenze, specificare che il blog risiede su un server esterno. A questo punto vi vengono richiesti i parametri per l’accesso FTP ad Altervista (che ve li ha mandati via mail), ed il gioco è fatto.
Addirittura potrete eliminare la barra che appare in alto in tutti i blog di Blogger e non è obbligatorio nessun “adesivo” o riferimento alla piattaforma.
Il vantaggio di questa soluzione: unisce la semplicità di una piattaforma “pronta” (che non necessita di alcuna installazione) alla “pulizia” di un blog ospitato su uno spazio personale. Naturalmente non avete bisogno di alcun database.
Il giochino funziona bene anche se avete un dominio con uno spazio in hosting, tipo Aruba o WebPerTe o RegisterIT, tanto per citare tre esempi.

(Via RedRain)

Ho riscontrato la sua presenza solo su Windows XP, per adesso.
Purtroppo, per ora non esiste un tool per la rimozione, che va fatta manualmente. La cosa richiede una certa pratica e non credo sia alla portata di tutti, spero comunque di poter aiutare il maggior numero di persone. Per trovare questa procedura ci ho messo giorni e non è detto che sia risolutiva, fate attenzione a ciò che cancellate e controllate bene tutto.

Accertatevi di avere fatto tutto quello che è descritto qui.

Sintomi: apparizione di finestre di IE, senza menu, con contenuti commerciali tipici della categoria: suonerie, logi, sfondi, ecc, ecc. Apparizione di una finestra simile ad una applicazione antivirus, chiamata SuperScan, che invita a premere un pulsante per iniziare una scansione. Saturazione della banda di rete a causa delle innumerevoli connessioni in uscita verso la porta 445 dirette ad indirizzi IP casuali ed anche della subnet. Quest’ultimo comportamento è peculiare: anzitutto sembra che lo spyware cerchi di replicarsi alla maniera di un virus, inoltre la banda consumata è tale da bloccare anche le connessioni delle altre macchine, anche se pulite. Sono portato a pensare che si possa replicare perchè “l’infezione” si è propagata come un virus su tutta una subnet.
Nella lista dei processi attivi vengono inserite diverse voci: le più ricorrenti sono: msa, kalv*.exe, powerscan.
La cosa fastidiosa è che se anche cancellate i processi e li rimuovete dall’avvio e dal registro, si ripresentano puntualmente all’avvio successivo!
Norton Antivirus non lo considera neppure ed i normali strumenti, che trovate descritti qui, non funzionano senza procedure particolari che vedremo.
Questa schifezza viene individuata come una serie di spyware con i nomi di: SuperScan, EliteToolbar, SideFind, Optimizer, WebRebates, ed alcuni altri, tutti assieme o a gruppi di essi.

Strumenti necessari: AdAware, Spyware Blaster, Security Task Manager (consigliato, ma non strettamente necessario), SpyBot, XP Process Explorer

Rimozione: La prima, indispensabile operazione è disattivare il Ripristino configurazione di sistema.
Controllate tramite il comando netstat -ano (non ridete), se il computer sta tentando una quantità di connessioni verso indirizzi IP random sulla porta 445, ed eventualmente killate il processo che le produce, tramite il task manager. (Gaspar Torriero vi spiega come fare).
Tramite XP Process Explorer e/o Security Task Manager, terminate quanti più processi potete, cominciando da quelli sospetti, fino a lasciare solo quelli di cui siete assolutamente sicuri.
Adesso installate ed aggiornate Spyware Blaster, che aggiunge i siti pericolosi nella zona rossa di IE, impedendo l’esecuzione di codice sospetto dai suddetti siti. Questo programma ha il vantaggio di non essere residente e quindi non consuma risorse; di contro la versione gratuita non prevede il “live update”, quindi l’aggiornamento va fatto a mano.
Installate, aggiornate e fate girare sia AdAware che SpyBot, avendo cura di selezionare “full system scan” per il primo e per il secondo attivare la modalità avanzata e attivare la visualizzazione dei pulsanti avanzati.
Dopo aver ripulito quanto possibile con questi strumenti, aggiornate all’ultimo service pack e fate tutti gli aggiornamenti di sicurezza sul Windows Update (*).
Adesso controllate che l’antivirus sia aggiornato e riavviate il PC in modalità provvisoria.
Una volta in modalità provvisoria, attivate la visualizzazione dei file nascosti, di quelli di sistema e delle estensioni dei files.
Usate il find per trovate tutte le cartelle Temp e Temporary Internet Files e svuotatele tutte. Cercate anche tutte i seguenti files e cancellateli tutti: elite*.*, kal*.exe, sidefind*.*, msa*.exe, powerscan*.*, optimize*.*, sah*.*, doolsav.dat.
Cancellate, se esiste C:\Documents and Settings\All User\Dati Applicazioni\SecTaskMan.
Adesso fate girare nuovamente AdAware, SpyBot ed anche l’antivirus (ve lo avevo detto che era lungo e noioso?).
Se SpyBot vi segnala che non riesce a togliere qualcosa, controllate, probabilmente sono solo chiavi di registro, che potete togliere a mano immediatamente.
Cercate di non dimenticare nulla, pena la reinfezione completa del PC.
Potete far ripartire il PC, incrociando le dita e controllate tramite XP Process Explorer e/o Security Task Manager di non avere più i processi spyware/malware/adware.
Se l’operazione non avesse successo (mi è capitato), ripetete tutta la procedura da capo (nooooo!).

(*)Se qualcosa dovesse andare storto lo stack TCP potrebbe corrompersi, usate WinsockXPFix per risolvere il problema.

Aggiornamento: Giancarlo mi segnala questo tool di rimozione della Elite Toolbar creato da lui. E’ gratuito e lo potete scaricare qui. Appena lo provo vi faccio sapere.

The Open CD è una raccolta dei migliori programmi open source. Traduco liberamente dal sito:

Il progetto OpenCD è teso ad offrire anche agli utenti Windows i benefici del Software Libero ed Open Source. Abbiamo incluso solo i programmi della migliore qualità, che sono stati attentamente testati e che noi consideriamo adeguati per un ampio bacino di utenti. Forniamo una descrizione ed alcuni screenshot, in modo che possiate farvi un’idea di cosa fanno i programmi, prima di installarli. Tutte queste applicazioni si installano e disinstallano agevolmente senza lasciare tracce indesiderate nel vostro computer. Avrete così la sicurezza di poterli provare senza danneggiare il vostro sistema. Tutti i programmi sul disco sono distribuiti sotto una licenza Open Source, la quale vi permette di usarli e distribuirli liberamente. Potrete perfino modificare il codice sorgente, pubblicamente disponibile, e distribuire la vostra versione, a patto che venga distribuito anche il vostro codice e che gli autori originali siano sempre citati.

Che dire, mi sembra chiarissimo. Scaricate l’immagine ISO e provate i programmi, vi assicuro che ne vale la pena.

Negli ultimi due anni mi è capitato sovente di dover aggiornare un dominio NT4 ad uno Active Directory Windows 2000 o 2003, e nell’ultimo periodo anche i ritardatari si sono decisi ad effettuare la migrazione. Oltre alle ben note caratteristiche introdotte dalla piattaforma, va segnalato che tra un mese circa MS cesserà di fornire supporto per NT, e l’assenza di aggiornamenti è un fattore critico. Inoltre ci sono problemi con le nuove normative sulla sicurezza e la privacy che dovrebbero entrare in vigore tra breve.
Dopo diverse migrazioni ho trovato un metodo abbastanza sicuro e veloce per effettuare l’aggiornamento.

Intanto tutte le migrazioni che ho fatto sono state effettuate in occasione dell’acquisto di un nuovo server, dato che, come ho già avuto modo di dire, un server che funziona non si tocca, ma si sostituisce quando è vecchio.
In un dominio NT, l’aggiornamento fa fatto partendo dal Primary Domain Cantroller (PDC), seguito poi dai Backup Domain Controller (BDC), se ci sono.
Naturalmente il server in attività è troppo vecchio per essere aggiornato, ed inoltre non lo vogliamo assolutamente toccare finchè non siamo sicuri del successo dell’operazione. D’altronde non voglio che il nuovo server abbia un s.o. “sporco” che è stato caricato da un aggiornamento. Ultima cosa: voglio assolutamente un backup del database di dominio, se qualcosa andasse storto.
Per fare tutto questo ho bisogno di due PC abbastanza recenti da usare rispettivamente come backup e “ponte” per l’aggiornamento, li chiameremo A e B (*). Si procede così:
Come prima cosa fate un backup completo del server, non si sa mai. Intallate NT4 server su A, rendendolo BDC del dominio, e sincronizzate il database da “gestione server”. Controllate sui log l’avvenuta sincronia, dopodichè scollegate A dalla rete e mettetelo da parte: è il backup del database del dominio, che vi permette di ritirare su la struttura se qualcosa va male.
Installate NT4 Server anche su B, rendendolo PDC, questa volta. Sincronizzate il dominio come avete fatto prima.
Adesso inizia la migrazione vera e propria. Aggiornate B da Windows NT 4 Server a Windows Server 2000/2003.
Al termine dell’aggiornamento, se tutto è andato a buon fine il dominio è già migrato, ed è in modalità mista. Durante l’aggiornamento la rete continua a funzionare, tranne che per un breve periodo durante il riavvio dei servizi di rete sul server.
Adesso potete preparare il vostro nuovo server con Windows 200x. Rendetelo Domain Controller (DC) tramite un dcpromo. Il vostro dominio AD al momento ha 2 DC. Configurate molto attentamente il servizio DNS. Controllate lo stato del dominio e della sua replicazione tramite dcdiag. Tornate sulla macchina B e abbassatela a server membro, usando sempre dcpromo. Ricontrollate dcdiag, spegnete la macchina B e rimuovetela dal dominio e dall’elenco dei DC. Spegnete e rimuovete dal dominio anche il vecchio server, che a questo punto non serve più.
Ecco fatto: il dominio è migrato. Se avete anche dei BDC potete tenerli così, oppure sostituirli.
Adesso terminate l’installazione dei servizi di cui avete bisogno. (Una guida qui.)
Se qualcosa andasse storto, in qualunque momento potrete ripristinare il database del dominio staccando i server sui quali state lavorando, riattaccando la macchia A e promuovendola PDC.
Sui client non va fatta nessuna operazione.

(*) In alternativa va bene una unica macchina e due dischi fissi da alternare.

DynDNS è un servizio gratuito che permette di associare un dominio di terzo livello al vostro indirizzo IP. Funziona anche e soprattutto per chi ha IP dinamico, come la maggior parte dei navigatori casalinghi.
Scenario: avete una connessione ad internet via modem o ADSL, il vostro provider vi assegna un indirizzo IP dinamico, cioè che cambia ad ogni collegamento. Malgrado ciò volete rendere accessibile un servizio che “gira” sul vostro PC, ad esempio un blog che avete in locale, un server FTP, oppure un sito web: ad ogni connessione sarete costretti a comunicare al mondo l’indirizzo IP, sempre diverso.
E qui il servizio Dynamic DNS vi soccorre, basta registrarsi e scegliere il proprio dominio di terzo livello, tra le 40 e passa scelte che avete a disposizione.

Dopo che avrete effettuato la registrazione, scegliete Add Host, e create il vostro dominio. Al momento non è importante l’indirizzo IP mostrato. Lasciate tutte le altre opzioni come sono e confermate.
Nella sezione Clients troverete una serie di programmi che fanno tutti la stessa cosa: automatizzano il processo di login e aggiornano l’indirizzo IP. Sceglietene uno (io uso e vi consiglio DynDNS Updater), configuratelo e lanciatelo, comunicherà a DynDNS che l’indirizzo IP dinamico che vi è stato assegnato in questo momento corrisponde al nome a dominio da voi scelto.
In questo modo il vostro PC sarà sempre raggiungibile tramite il nome.
Ricordate di configurare il vostro firewall personale oppure il Windows Firewall, se lo avete, in modo da rendere disponibile all’esterno il servizio scelto. Fate attenzione alle eventuali falle di sicurezza e disattivate il tutto se non lo utilizzate.
Se utilizzate un router per la connessione controllate bene: molti dispositivi includono già il supporto per questo tipo di servizi.
Naturalmente esistono anche altri che offrono questo servizio, ma DynDNS è il più utilizzato e soprattutto funziona molto bene.

P.S. Questo servizio non funziona con l’utenza FastWeb, a causa della particolare implementazione dell’accesso ad internet fornito da questo provider.

La mia opinione è diametralmente opposta: per me è una delle cose migliori che abbia fatto Microsoft.

Spesso a questa tecnologia vengono imputati problemi che non sono i suoi, i più comuni sono l’errata installazione delle periferiche e i problemi di alimentazione della porte USB.
Plug and Play, per i dispositivi esterni, vuole dire che la periferica funziona nel momento in cui io la connetto, che la connessione può avvenire anche “a caldo”, cioè a computer acceso, e che il sistema alloca automaticamente le risorse adeguate.
Nel caso di schede interne significa che la configurazione di IRQ e indirizzo I/O base vengono fatti dal sistema e non a manina da me. Non sapete cosa sono? Appunto, non lo sapete perchè non avete più bisogno di saperlo. Nessuno si ricorda che 10/15 anni fa se si installava una Sound Blaster, la porta parallela (stampante) smetteva di funzionare perchè occupavano lo stesso IRQ?
Plug and Play non significa che non devo fare l’installazione. Prima faccio una corretta installazione, dopo posso utilizzare Plug and Play.
Il fatto che molte volte i driver della periferica siano già nel database di Windows è incidentale, e contribuisce a semplificare ancora di più le operazioni, ma non è la regola, specie con periferiche molto recenti.
I motivi per i quali Plug and Play non funziona possono essere diversi, tra gli altri:

• PC infestato da virus, malware e/o spyware.
• Mancato rispetto delle procedure di installazione: leggere sempre il manuale prima di fare qualunque cosa. Diversamente da quello che si potrebbe pensare, si installano prima i drivers e poi si collega la periferica, non il contrario.
• A volte la potenza fornita dalle porte USB non è sufficiente ad alimentare la periferica, se questa non è dotata di alimentazione autonoma. La potenza massima è indicata sul manuale del computer. Spesso i portatili hanno questo problema, oppure hardware di bassa qualità.
• L’installazione può richiedere qualche minuto, anche se sembra che non stia succedendo nulla, non provare a staccare e riattaccare la periferica, ma attendere che il sistema segnali l’avvenuta installazione.
• Per alcune periferiche è meglio seguire la procedura corretta di scollegamento prima di staccare la periferica.
• Se si tratta di una scheda, asicuratevi che sia bene inserita nello slot, e che lo slot sia attivo.
• Drivers non funzionanti e/o scritti malamente. Provate a cercare un aggiornamento.

In tutti questi anni non ho mai avuto un problema che si potesse veramente imputare al Plug and Play, è sempre stata colpa dell’utente, dei drivers, o dell’hardware di cattiva qualità.
Quindi, giusto per dare a Cesare quel che è di Cesare, prima di dire Plug and Pray è meglio controllare bene.

Aggiornamento: dimenticavo che oltre a IRQ e I/O base address, c’è anche il DMA.

Se volete provare Linux, ma non volete installarlo definitivamente sul vostro disco fisso, oppure utilizzate Linux saltuariamente e pensate non valga la pena installarlo, allora Knoppix fa per voi.
Knoppix è la creatura di un consulente tedesco, Klaus Knopper, ed è basato su Debian. La principale caratteristica di questa distribuzione è di essere caricata completamente da CD, senza alterare un bit del vostro disco fisso. Il suo punto di forza è il riconoscimento dell’hardware: difficilmente sbaglia un colpo e funziona sul 95% dei desktop e sul 75% dei portatili. Se ha problemi, spesso è a causa di hardware di scarsa qualità e/o senza supporto per Linux.
E’ sufficiente scaricare l’immagine ISO, e far partire il PC con il CD creato, si avrà a disposizione un sistema Linux completo e funzionante, con quasi 2GB di applicazioni installate, grazie alla compressione dei dati.
E’ impressionante la velocità di caricamento del sistema operativo, considerando che ogni volta deve fare il riconoscimento completo dell’hardware della macchina.
Molto utile anche per chi fa il mio mestiere, per recuperare dati da dischi che non avviano più il sistema operativo; legge le partizioni, anche NTFS, ed è in grado di connettersi a reti Micro$oft. Se volete mantenere i parametri di configurazione potete salvarli su di una chiave USB e rileggerli durante i successivi avvii.
L’ultima versione rilasciata, la 3.6 manca però di LinNeighborhood, utility che permette di montare le cartelle condivise di server Micro$oft. Probabilmente sono io che non ho ancora trovato lo strumento adeguato.
In definitiva un ottimo prodotto per avvicinarsi a Linux, per provarlo senza pasticciare con le partizioni e senza aver paura di danneggiare il proprio sistema. Infatti le partizioni del disco fisso vengono montate in sola lettura, a meno che non venga esplicitamente abilitata la scrittura.
Se non volete fare neppure la fatica di scaricare e masterizzare l’immagine, potete cercare in edicola: periodicamente le riviste del settore allegano Knoppix alle loro uscite.

Spesso mi capita di installare nuove reti “da zero", sia in uffici/dipartimenti di nuova costituzione, sia in aziende di piccole dimensioni che decidono di lavorare su di una nuova infrastruttura. Dopo anni che faccio questo mestiere ho sviluppato una specie di “configurazione standard” per l’mplementazione.

Inizialmente è nato anche per ottenere maggiore spazio a disposizione tramite lo “striping", cioè la “spalmatura” dei dati su più dischi, ma oggi, grazie ai nuovi tagli di capacità, viene utilizzato quasi esclusivamente per ragioni di sicurezza e continuità dei dati. Ecco la ragione del nome: “inexpensive” significa economico. Tempo fa i dischi costavano moltissimo e questa tecnologia permetteva di usare piccoli dischi SCSI, che erano più economici di quelli utilizzati all’epoca.