La dissonanza dell’effetto Zeigarnik nello spezzatino del tempo

Ogni strategia di business richiede un programma di attuazione che abbina la flessibilità alla chiarezza degli obiettivi da raggiungere, sia in termini di mercato che di profitto. Ciò implica che una fetta, più o meno consistente, della nostra azienda si organizza per concretizzare il programma stesso e far si che esso sia sempre coerente con la Vision e Mission aziendale, contribuendo a raggiungerla.

A livello operativo è nomarle creare appositi gruppi di lavoro che pianificano, gestiscono e reagiscono alla risposta del mercato e che sono spesso dedicati in modo quasi esclusivo all’obiettivo complessivo, ritenuto troppo complesso da poter essere gestito in concorrenza. Questo focus diventa fondamentale per permettere al gruppo di tenere sempre presente l’obiettivo generale da raggiungere, andando a contestualizzare il tutto rispetto alla propria organizzazione e al mercato di riferimento. Questi ultimi, come è noto, si influenzano a vicenda.

Nel mondo dell’IT, il focus e la concentrazione su poche attività specifiche, chissà perché, è quasi sempre visto come un limite o una incapacità, se non addirittura una scarsa attitudine al lavoro. Spesso le Persone sono considerate alla stregua di automi da poter allocare su attività multiple per percentuali ridicole di tempo senza neanche rendere chiaro il senso del loro stesso lavoro.

the multitasking myth

Tutti voi condividete con me quanto sia tristemente comune imbattersi in pianificazioni che creano il fantomatico “spezzatino del tempo”: “durante le prossime settimane, Tizio sarà alloca per il 10% sul progetto A, il 25% su quello B, il 50% su quell’altro e il 20 a supporto del precedente”.. ovviamente non ci si accontenta del 100%, ma si abbonda sempre un po’, cosa che ricorda l’esilarante scena in cui Totò diceva a Peppino De Filippo di non risparmiare sull’uso della punteggiatura: “…ma sì, fai vedere che abbondiamo... Abbondandis in abbondandum” (dettatura della lettera in Totò Peppino e la Malafemmena).

La domanda è: serve a qualcosa questo tipo di pianificazione? Si, a far impazzire le Persone e a ridurre drammaticamente la loro Produttività!

crazy productive people

Ma come si può anche solo minimante pensare che una Persona possa esprimersi professionalmente al meglio se la sua attività viene trasformata in una sorta di “zapping” su task disconnessi, costringendolo continuamente a cambiare focus operativo, sia rispetto al prodotto che rispetto alle relazioni che caratterizzano l’ambiente con cui operare.

È empiricamente dimostrato che una persona può seguire al massimo due progetti in contemporanea (non lo dico io, ma diversi studi antropologici): uno principale e uno secondario che serve anche come “distrazione”. Se si comincia a saltellare da un progetto all’altro, aumenta solo l’entropia, incrementando il costo del cambiamento di contesto, e acuendo il poco noto, ma estremamente significativo, effetto Zeigarnik.

Tale effetto (osservato e formalizzato dalla psicologa lituana Bluma Zeigarnik) evidenzia come, tipicamente, quando si lascia incompiuto un compito a cui ci si è dedicati, si sperimentano pensieri intrusivi che rendono difficile concentrarsi su altro: in soldoni ci ricordiamo più facilmente delle cose che non abbiamo portato a termine rispetto a quelle completate.
Questo perché, sembra essere nella natura umana l’indole di finire quanto avviato e, se non riusciamo a farlo, tendiamo a sperimentare una dissonanza.

Quindi, più cose lasciamo in sospeso più la nostra mente cerca di ricordarcele, impedendoci di concentraci su altro.

Morale della favola: diamo alle Persone la possibilità di portare a termine, al meglio, le proprie attività, evitando di impegnarle in decine di progetti differenti solo perché “così si utilizza al meglio la risorsa”: avvaliamoci della professionalità dei nostri collaboratori senza avere la presunzione di volerne gestire il tempo.

Stay tuned J

News dal Citrix Synergy 2017

Anche quest’anno Citrix raduna clienti, partner e sponsor al Citrix Synergy che si tiene ad Orlando. Vediamo assieme alcune delle principali novità presentate durante le keynote. 23 Maggio, ore 9.00 inizia l’evento con Tim Minaha che dopo una breve introduzione passa la parola a Krill Tatarino (CEO). LA prima novità (non tecnologica) è lo sponsorship […]

Il meglio di due mondi: come l’integrazione fra le soluzioni VMware e Dell EMC accelererà la trasformazione della forza lavoro

Mentre i nostri clienti sono alle prese con il percorso di trasformazione della forza lavoro, anche noi intraprendiamo un viaggio in parallelo, alla scoperta di nuovi modi per supportarli.

Le aziende cercano soluzioni che le aiutino ad accelerare la trasformazione digitale sia dal punto di vista dell’IT che della forza lavoro, trasformazione che oggi non può prescindere dall’adozione di tecnologie e processi capaci di garantire che il lavoro possa essere svolto con modalità nuove, in qualunque luogo e in qualsiasi momento. Abilitare tutto questo è fondamentale, ma desideriamo farlo senza dover aggiungere un ulteriore strato di complessità a costi eccessivi.

Ecco perché, nel nostro viaggio, stiamo collaborando con Dell EMC per migliorare le soluzioni di End-User Computing. Saremo in grado di aiutare i clienti a realizzare i vantaggi della trasformazione del posto di lavoro tramite tecnologie mobili, desktop e cloud. Insieme, supporteremo quelle aziende che si sentono ostacolate e stanche di gestire molteplici contratti di fornitori, SLA e console di gestione delle soluzioni, che contribuiscono tutti ad accrescere il TCO.

Cosa stiamo facendo esattamente?

In primo luogo, abbiamo integrato VMware AirWatch con Dell Client Command – gli strumenti di gestione dei sistemi client Dell – per estendere le funzionalità di gestione remota per le caratteristiche chiave del sistema hardware di Dell e migliorare AirWatch Unified Endpoint Management (UEM). Questa integrazione aiuta l’IT a valutare la sicurezza del BIOS e a intraprendere azioni per migliorare l’allineamento con i requisiti di conformità.

In secondo luogo, abbiamo voluto fornire un modo economico, chiaro e semplice per implementare soluzioni di virtualizzazione client con VDI Dell EMC powered by VMware Horizon, che offre una soluzione completa per la virtualizzazione desktop e delle applicazioni con un’infrastruttura ottimizzata di carico, software integrato e thin client Dell Wyse. I clienti possono sfruttare una sola soluzione pronta per essere implementata con tutti i componenti necessari per fornire desktop e applicazioni virtuali in metà dei passaggi e dei tempi rispetto alla distribuzione delle singole soluzioni.

In entrambi i casi, volevamo ridurre i costi; lo stiamo facendo agendo sul costo totale di gestione dei PC e riducendo per questi ultimi i costi di implementazione del software VDI. Ma non si tratta solo di costi, il nostro obiettivo è abbattere le barriere della gestione di software e hardware dei nostri clienti, supportando così le organizzazioni nel loro processo di trasformazione della forza lavoro.

 

VeeamON 2017 annunciati i nuovi prodotti

VeeamON 2017 annunciati i nuovi prodotti

veeamon2017neworleans01

Durante il recente VeeamON 2017 in New Orleans, Veeam ha annunciato diversi nuovi prodotti e rilasci focalizzando l’attenzione dei numerosi partecipanti.

Veeam Availability Suite v10, Veeam Backup for Office 365 1.5, Veeam Availability for AWS sono alcune delle anticipazioni rivelate durante il VeeamON 2017.

VeeamON è un evento di 3 giornate di Veeam dove vengono annunciati i prodotti nuovi e di imminente uscita supportati da più di 85 sessioni di presentazione, includendo gli approfondimenti tecnici tenuti dai massimi esperti del settore.

 

Veeam Availability Suite v10

L’annuncio principale è stata la presentazione della prossima Veeam Availability Suite v10 che introduce nuove funzionalità ed importanti miglioramenti.

 

Veeam CDP

Veeam CDP è probabilmente la funzione più interessante che fornisce una protezione continua dei dati. La nuova soluzione non utilizza le snapshot (quindi non ha impatto sui carichi protetti) ma si affida alla nuova tecnologia VMware vSphere API for I/O filtering (VAIO) per intercettare i flussi di dati che continuamente invia alle repliche pronte per essere avviate con un RPO di default pari a 15 secondi.

veeamon2017neworleans02

 

Supporto per i backup di file sharing e dei network attached storage (NAS)

La versione 10 è in grado di proteggere le condivisioni SMB (CIFS) ed NFS con un backup scalabile disk to disk con varie opzioni di restore e il pieno supporto del versioning.

E’ presente inoltre l’opzione per specificare policy di retention brevi ed estese con la funzione di effettuare il restore dei file SMB/NFS verso qualsiasi target.

veeamon2017neworleans03

 

Integrazione degli Agenti Windows e Linux

La nuova versione presenta un’integrazione completa degli Agents for Windows e Linux con Veeam Backup & Replication. Questo include l’installazione automatica dell’agente e la gestione del job per le virtual machine nonchè le workstation fisiche, server e failover clusters.

veeamon2017neworleans04

 

Estensione del repository di backup Scale-Out

Il repository di backup Scale-Out attuale viene esteso con il nuovo Archive Tier che permette di spostare automaticamente i backup vecchi in storage economici implementati come device di data archiving (object storage).

Questa funzionalità permette l’utilizzo di qualsiasi sistema di storage inluso Amazon S3, Amazon Glacier e Microsoft Azure blob storage.

 

Extended Veeam “Always-On” Availability Platform

La piattaforma presenta il nuovo Universal Storage API framework che aggiunge IBM, Lenovo e INFINIDAT all’ecosistema di partner Veeam che già include HPE, Cisco, NetApp, Dell EMC, Nimble ed Exagrid.

veeamon2017neworleans05

 

Veeam Availability for AWS

Questa soluzione agentless per le applicazioni AWS permette la protezione dei dati AWS contro cancellazioni accidentali, attività maliziose ed interruzioni fornendo funzioni di backup e restore per le istanze AWS EC2 in cloud.

veeamon2017neworleans06

 

Veeam Backup for Office 365 1.5 e 2.0

Nella nuova versione Veeam Backup for Office 365 1.5 è stata aggiunta la possibilità di supportare una configurazione multi repository e multi tenant permettendo la protezione di grandi installazioni di Office 365.

Durante la presentazione, è stata annunciata anche la nuova versione 2.0 che introduce il tanto richiesto supporto per SharePoint e OneDrive for Business.

veeamon2017neworleans07

 

Veeam Agent for Windows 2.0

Il nuovo Veeam Agent for Windows 2.0 è stato ufficialmente lanciato ed include le nuove edizioni Workstation e Server con funzioni aggiuntive sviluppate per garantire la disponibilità dei carichi di lavoro di Windows:

  • Reduzione del costo e della complessità dei sistemi in esecuzione nei public cloud
  • Fornisce la protezione dei sistemi Windows che non possono essere virtualizzati
  • Raggiungimento di bassi RPO per il personale che utilizza dispositivi laptop

Il software Veeam Agent for Windows 2.0 è già disponibile per il download presso il sito web Veeam.

veeamon2017neworleans08

VeeamON Forums verrà ora presentato in alcune Ecittà Europee per connettere gli esperti IT per condividere ed imparare come garantire l’Availability per l’Always-On Enterprise.

Il prossimo VeeamON 2018 si terrà il  –  2018 in Chicago.

signature

Copyright Nolabnoparty. All Rights Reserved.

SQL Server 2017 CTP 2.1

E’ stata rilasciata la CTP 2.1 di SQL Server 2017, Microsoft ne parla anche attraverso il blog ufficiale con questo articolo..

SQL Server 2017 CTP 2.1 now available

Il rilascio più importante di questa CTP è sicuramente la possibilità di configurare le impostazioni di SQL Server attraverso variabili d’ambiente passate come parametri a docker run.

Trovate maggiori dettagli nei seguenti articoli:

Il download della CTP 2.1 di SQL Server 2017 è disponibile da SQL Server Evaluation Center.

Buon divertimento!

SID 2017

Il SID (Server Infrastructure Day) è la conferenza IT Pro Business organizzata da Inside Technologies e dalla community WindowServer.it, dedicata a tutte le aziende, che ti permette di conoscere le novità dei prodotti e le best-practice di implementazione. Tutte le aziende hanno bisogno di essere sempre operative e di ridurre i costi di gestione; scopo della conferenza è di mostrare quali sono gli strumenti giusti per la vostra azienda e di studiare una strategia vincente per il futuro. L’edizione 2017 (la sesta) del SID si terrà il 14 e 15 giugno 2017 presso il Palazzo Lombardia […]

The post SID 2017 appeared first on vInfrastructure Blog.

SQL Server 2016 Cumulative Updates (Maggio 2017)

Sono stati rilasciati i seguenti Cumulative Update per SQL Server 2016 (RTM e SP1).

Cumulative Update 6 per SQL Server 2016 RTM

Cumulative Update 3 per SQL Server 2016 SP1

VeeamON 2017 Recap

Si è da poco conclusa la seconda Keynote del VeeamON 2017, che ha visto diversi annunci e novità presentate. Oltre 2500 professionisti IT sono presenti alla più importante conferenza dedicata all’Availability, con tantissimi partner presenti e sponsor di alto profilo, che hanno presentato le loro soluzioni per l’Always Connect. Ecco gli annunci più importanti presentati durante le due Keynote:

Veeam Agent for Microsoft Windows v2

Il prodotto era già stato rilasciato settimana scorsa ma da ieri il prodotto è ufficialmente sul mercato. La nuova versione consente di effettuare la protezione più avanzata delle proprie macchine fisiche e virtuali, rispetto al precedente Endpoint Backup. Confermati i tre livelli di licensing: Free, Workstation e Server, con diverse funzionalità ed integrazioni.

Veeam Availability for AWS

Grazie alla collaborazione con N2WS, la soluzione permette di proteggere applicazioni e dati presenti all’interno di Amazon Web Services, il tutto in modo agentless. Attualmente l’intera gestione è demandata al partner ma prossimamente si dovrebbero vedere dei cambiamenti.

Veeam Backup for Office 365 v1.5

Nuova build della soluzione dedicata alla protezione delle mailbox posizionate in Office 365. La v1.5 introduce le seguenti novità:

  • Multi-Tenant
  • Multi-Repository con retention differenziate
  • Supporto a RestAPI e PowerShell per automatizzare e creare script per backup e restore

Durante la seconda giornata è stato annunciato il supporto a SharePoint e OneDrive for Business a partire dalla versione 2.0. Un grande colpo che permette di mettere in sicurezza anche i dati aziendali e personali, soprattutto in ottica Ransomware.

Veeam Management Pack v8 Update 4

L’aggiornamento di MP v8 introdurrà nuove dashboard e strumenti per offrire informazioni sempre più dettagliate e utili agli amministratori IT, che utilizzato System Center Operations Manager, oltre al supporto per Hyper-V 2016 e VMware vSphere v6.5. La grande novità riguarda l’estensione delle informazioni all’interno di Microsoft Operations Management Suite, la piattaforma di monitoring basata sul cloud. Le dashboard attualmente disponibili saranno:

Veeam Disaster Recovery in Microsoft Azure

La soluzione si compone di due elementi: Direct Restore for Azure e Veeam Power Network. Quest’ultimo è un prodotto gratuito che si può attivare all’interno dell’Azure Marketplace che permette di creare VPN in modo facile e di rendere le operazioni di Disaster Recovery più semplici e rapide. Nel momento in cui effettuate il Failover di una vostra macchina locale su Azure, potete attivare la connessione VPN, tramite una console web presente on-premises, per fare in modo che i vostri utenti possano collegarsi sempre alle risorse aziendali. La configurazione globale delle varie VPN viene gestita tramite una console web e file XML.

Veeam PN for Microsoft Azure è già disponibile a questo link: https://www.veeam.com/cloud-disaster-recovery-azure-download.html

Il dettaglio della soluzione è disponibile a questo link: https://www.veeam.com/cloud-disaster-recovery-azure.html

Veeam Availability Console v2

Sbarca la versione 2.0 del VAC che introduce diverse funzionalità, tra cui la gestione remota delle console Veeam Backup & Replication, tramite Cloud Connect, ma anche di quelli che sono gli Agent Windows e Linux. Il prodotto nasce prevalentemente per i Service Provider ed è implementato all’interno di una soluzione Cloud (Azure o AWS) per poter garantire sempre la disponibilità del gateway primario. Tra le altre novità troviamo la possibilità di avere più report, poter gestire meglio gli storage tier dei vari clienti e nuove policy di configurazione.

Veeam Backup & Replication v10

Non poteva non esserci la presentazione ufficiale della versione 10 del software più famoso della casa di San Pietroburgo. Molte le novità introdotte, tra cui:

Built-in management for Veeam Agent

Finalmente sarà possibile distribuire gli Agent su macchine fisiche e virtuali dalla console di B&R, sia Windows che Linux, andando a creare le relative policy di retention, scegliendo se configurare l’agent per essere centralizzato o stand-alone. La discovery degli oggetti può essere fatta tramite IP Range, file .csv e tramite Active Directory.

NAS backup support for SMB and NFS shares

Uno dei tasselli mancanti di Backup & Replication era la possibilità di proteggere share di rete presenti all’interno dei NAS, sia SMB che NFS. Con la versione 10 questo sarà possibile, grazie all’utilizzo di un File Proxy, una macchina Windows che ha il compito di recuperare i file dal NAS e spostarli dentro il Repository di destinazione. Molto utile la possibilità di effettuare una doppia retention e di poter creare delle shadow copies delle copie a retention lunga, per evitare la corruzione del dato (sempre in ottica CryptoLocker).

Scale-Out Backup Repository Archive Tier

Sarà possibile andare ad estendere il proprio Scale-Out Repository con uno storage posizionato su cloud, ad esempio Azure Blob Storage o Amazon S3, per ridurre i costi di gestione interna e spostare esternamente tutto quello che può essere definito “vecchio”. Questa funzionalità è molto utile per quelle aziende che non hanno una tape library ma che vogliono avere un sito di disastro con un costo più limitato.

Veeam CDP (Continuous Data Protection)

Il Continuous Data Protection è una modalità che consente di replicare una macchina virtuale all’interno di un altro sito, anche di un partner, con un tempo di RTO ed RPO bassissimi. Questo significa avere una consistenza del dato e dell’applicazione praticamente in realtime, garantendo appunto la Business Continuity. Vista la complessità dell’architettura, Veeam CDP è attualmente disponibile solo per ambienti VMware e la buona notizia è che non vengono utilizzate le snapshot.

Universal Storage Integration API

IBM, Lenovo e Infinidat, queste sono le tre nuove aziende partner di Veeam per la parte di storage. Proprio per invogliare le aziende ad offrire soluzioni integrate con Backup & Replication, è stato creato un nuovo framework chiamato Universal Storage Integration API. La validazione finale di tutto il processo rimane sempre in carico a Veeam e quindi non c’è il rischio che un vendor rilasci una soluzione non supportata.

La Technical Preview dovrebbe essere rilasciata a breve, mentre la RTM è attesa per la fine dell’anno.

Veeam Availability Orchestrator

Annunciata una nuova Preview di VAO, che in questo momento ha ancora dei limiti tecnici, tra cui il fatto di poter gestire solo ambienti VMware. Per chi non lo conoscesse, Orchestrator è la soluzione di gestione DR tra due siti in modo di tenere allineate le varie macchine virtuali e ridurre al minimo l’interruzione di servizio. La logica è quella già presente in Microsoft Azure Site Recovery.

Ransomware WannaCry: Protezione e Best Practices

WannaCry, anche noto come WCry, WanaCrypt0r o Wana Decrypt0r 2.0, è un ransomware che si diffonde sfruttando gli exploit denominati EternalBlue e DoublePulsar.

L’exploit EternalBlue sfrutta una vulnerabilità del protocollo SMB v1 implementato nei sistemi Windows (CVE-2017-0145) risolta nel bollettino di sicurezza MS17-010 pubblicato il 14 marzo 2017 (per informazioni sull’SMB si veda la KB204279 Direct hosting of SMB over TCP/IP).

WannaCry sfrutta la vulnerabilità per diffondersi su reti pubbliche e private con modalità simili a quelle di un worm. Nella fase dell’infezione viene condotta una scansione della rete sulla porta TCP 445 (SMB) alla ricerca di sistemi Windows vulnerabili che poi vengono infettati con la backdoor DoublePulsar per ottenere l’accesso alla una macchina, quindi il malware crea una copia di sé stesso sul sistema e la esegue.

Di seguito una cronostoria sommaria degli eventi che hanno portato alla creazione e alla diffusione di WannaCry:

Da questa breve cronostoria di questo questo ransomware possiamo trarre le seguenti conclusioni:

  • Da quanto è stato reso pubblico lo zero day a quanto è stato resa disponibile una correzione per impedirne l’utilizzo e mettere in sicurezza il sistema sono trascorsi 87 giorni (ovvero 2 mesi e 27 giorni).
  • Da quanto è stato reso pubblico lo zero day a quando il ransomware è stato diffuso sono trascorsi 115 giorni (ovvero 3 mesi e 25 giorni)
  • Da quanto è stato resa disponibile una correzione per impedirne l’utilizzo e mettere in sicurezza il sistema a quando il ransomware è stato diffuso sono trascorsi 28 giorni.
  • C’è una completa e tempestiva informazione sull’argomento sia da parte di fonti private che governative comprese le istituzioni italiane.

Di conseguenza appare chiaro come siano di primaria importanza le seguenti attività al fine di gestire al meglio la sicurezza di un’infrastruttura informatica:

  • Informarsi sui canali istituzionali e/o privati dedicati alla sicurezza sulle minacce in corso.
  • Mantenere aggiornati i sistemi client e server con almeno cadenza settimanale.
  • Mantenere aggiornate le firme degli antivirus con una frequenza almeno giornaliera o se possibile ogni 6 ore.
  • Assicurarsi che i sistemi antimalware sui server di sposta siano attivi, funzionanti e aggiornati ed evitare lo scambio di allegati che possono contenere malware tramite mail.
  • Non esporre le porte utilizzate da SMB (TCP 139, TCP 445, UDP 137, UDP 138) tranne che agli host che ne hanno necessità,
  • Disabilitare o rimuovere dai sistemi le funzionalità non utilizzate (nel caso specifico il supporto a SMB v1) .
  • Assicurarsi che i backup siano funzionanti, aggiornati e protetti.
  • Assicurarsi che ogni utente abbia solo i privilegi strettamente necessari per contenere i danni di una eventuale infezione.
  • Monitorare l’infrastruttura per rilevare tempestivamente comportamenti sospetti in modo da bloccare rapidamente una una eventuale infezione (caso specifico una delle verifiche potrebbe essere quella di generare un alert se si rilevano file con estensioni .wcry tramite uno script che analizza le share più comunemente usate dagli utenti in base ad una schedulazione).

Inoltre per quanto riguarda le Pubbliche Amministrazioni le nuove Misure minime di sicurezza ICT per la PA oltre ad obbligare tutte le PA a seguire le precedenti indicazioni forniscono delle linee guida basate su SANS 2.0 (CIS Critical Security Controls for Effective Cyber Defense ) versione 6.0 di ottobre 2015 con fine di fornire un riferimento utile a stabilire se il livello di protezione offerto da un’infrastruttura risponde alle esigenze operative, individuando anche gli interventi idonei per il suo adeguamento.

Scendendo nel dettaglio di ciò che un amministratore di sistema deve fare per scongiurare un infezione la prima attività da eseguire è controllare l’aggiornamento dei sistemi per assicurarsi che le correzioni rilasciate col bollettino MS17-010 siano state installate e in caso contrario installarle per scongiurare che un sistema possa essere infettato tramite la rete.

Per verificare gli aggiornamenti di sicurezza installati filtrando in base al prefisso KB40 è possibile utilizzare il comando:

wmic qfe get hotfixid | Find “KB40”

Per verificare se la il bollettino MS17-010 è stato installato procedere come segue in base al sistema operativo da verificare:

Sebbene sia consigliabile aggiornare anche i sistemi Windows 10 nel post WannaCrypt ransomware worm targets out-of-date systems viene indicato che i sistemi con Windows 10 non sono affetti dalla vulnerabilità CVE-2017-0145 denominata EternalBlue e sfruttata da WannaCry:

“The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.

We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios that we believe are highly possible explanations for the spread of this ransomware:

  • Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
  • Infection through SMB exploit when an unpatched computer is addressable from other infected machines”

La seconda attività che che un amministratore di sistema dovrebbe fare è disabilitare l’SMB v1 come peraltro già raccomandato nel post Stop using SMB1 del 16 Settembre 2016 in seguito al rilascio del bollettino di sicurezza MS16-114, ovvero dopo la pubblicazione da parte di Shadow Brokers degli exploit trafugati ma molto prima che questi venissero utilizzati per creare e veicolare malware:

“The original SMB1 protocol is nearly 30 years old, and like much of the software made in the 80’s, it was designed for a world that no longer exists. A world without malicious actors, without vast sets of important data, without near-universal computer usage. Frankly, its naivete is staggering when viewed though modern eyes. I blame the West Coast hippy lifestyle.”

Vi sono ormai pochi scenari in cui può essere necessario utilizzare ancora SMB v1 sempre come descritto nel post Stop using SMB1 come l’utilizzo di Windows XP o Windows Server 2003 in quanto tali OS sono in grado di accedere e/o esporre share solo tramite SMB v1, altre ragioni possono essere software che fanno uso della funzionalità network neighborhood o ancora stampanti multifunzioni con firmware datati che utilizzano funzionalità di scan to share:

  • You’re still running XP or WS2003 under a custom support agreement.
  • You have some decrepit management software that demands admins browse via the ‘network neighborhood’ master browser list.
  • You run old multi-function printers with antique firmware in order to “scan to share”.

Per la disabilitazione dell’SMB v1 è possibile utilizzare le indicazioni della How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server.

Disabilitazione Server SMB v1 in Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008 tramite PowerShell:

Per disattivare SMB v1 nel server SMB, eseguire il seguente cmdlet:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 –Force

Dopo aver impostato le chiavi registro per disabilitare l’SMB v1 nel server SMB è necessario riavviare il computer

Disabilitazione Server SMB v1 in Windows 8, Windows Server 2012, Windows 10 e Windows Server 2016 tramite PowerShell:

Per ottenere lo stato corrente della configurazione del protocollo del server SMB eseguire il seguente cmdlet:

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Per disattivare SMB v1 nel server SMB eseguire il seguente cmdlet:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Dopo aver disabilitato l’SMB v1 nel server SMB tramite il cmdlet Set-SmbServerConfiguration non è necessario riavviare il computer.

Disabilitazione Clinet SMB v1 in Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 tramite il comando sc.exe:

Per ottenere lo stato del servizio SMB Client eseguire il comando:

sc.exe queryex mrxsmb10

Per disabilitare SMB v1 sul client SMB eseguire i comandi:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Rimozione dell’SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2 e Windows Server 2016 tramite PowerShell:

Per ottenere lo stato della funzionalità SMB 1.0 eseguire il seguente cmdlet:

Get-WindowsFeature FS-SMB1

Per rimuovere la funzionalità SMB 1.0 eseguire il seguente cmdlet:

Remove-WindowsFeature FS-SMB1

Rimozione dell’SMB v1 in Windows 8.1 e Windows 10 tramite PowerShell:

Per ottenere lo stato della funzionalità SMB 1.0 eseguire il seguente cmdlet:

Get-WindowsOptionalFeature -Online -FeatureName smb1protocol

Per rimuovere la funzionalità SMB 1.0 eseguire il seguente cmdlet:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Conclusioni

Sebbene anche in questo caso l’infezione poteva essere semplicemente scongiurata mantenendo aggiornati i sistemi va comunque detto che le considerazioni riportate nel post The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack da Brad Smith (President and Chief Legal Officer) circa il dovere morale di un ente pubblico governativo di informare il produttore di un software di una vulnerabiltà se questa può causare danni a persone sono più che condivisibili.

Ovviamente sebbene l’alarme WannaCry sembra rientrato occorre continuare a tenere alta la guardia e aggiornare i sistemi in quanto come è ovvio aspettarsi compariranno altri malware che utilizzeranno gli stessi exploit o altri tra quelli trafugati dal collettivo hacker Shadow Brokers che non riguardano non solo i sistemi operattivi Microsoft, ma ad esempio, anche numerosi firewall.

Infatti oggi è già stato individuato un nuovo ransomware denominato UIWIX che si diffonde sfruttando l’exploit EternalBlue, a riguardo si veda CERT Nazionale Italia: Il ransomware UIWIX si installa sfruttando l’exploit EternalBlue. Inoltre pare che già prima di WannCry un altro malware abbia utilizzato l’exploit EternalBlu diffondesi forse già dal 24 Aprile 2017, a riguardo di veda CERT Nazionale Italia: Il malware Adylkuzz diffuso sfruttando gli stessi exploit di WannaCry.

Per ulteriori informazioni si veda anche il post Attacco ransomware #WannaCry : risorse utili e chiarimenti di Felicaino Intini (Microsoft Italia).

Blog italiani (e in italiano) nel mondo IT/ICT