Enrico Bassetti

Delay e-mail delivery with Postfix for a relaxing weekend

Mon, 22 Apr 2024 08:00:00 +0000

One good piece of advice is never to read e-mails if you want to have a pleasant and relaxing weekend. Unfortunately, it is not so easy: open-source projects you are contributing to, friends, hobbies, and newsletters are all good reasons to read e-mails once in a while.

Assessing Modern Operating Systems' IPv6 Fragmentation Handling

Thu, 16 Nov 2023 14:00:00 +0000

IPv6 is the next (current?) generation Internet protocol. It has been designed to overcome many limitations of IPv4 and fix some of the issues and weaknesses. Nevertheless, IPv6 fragmentation presented many vulnerabilities similar to the IPv4 ones in the past: new testing models were presented to check the presence of such problems.

In this work, we demonstrate that IPv6 fragmentation issues are still present today in operating systems because of the weakness of the model used to test their compliance. We also propose a new model that overcomes these limitations.

CVE-2023-41570: Access Control vulnerability in MikroTik REST API

Fri, 10 Nov 2023 08:30:00 +0000

Recently, Mikrotik added a REST server as a new API for managing the router. It is a nice alternative to their proprietary API when automating RouterOS.

However, young software usually contains bugs. Sometimes, these bugs are security-related, and, together with not-so-safe defaults, they may create a vulnerability.

CVE-2023-4809: FreeBSD pf bypass when using IPv6

Thu, 07 Sep 2023 14:00:00 +0000

A few months ago, as part of our investigations on IPv6 security in the NetSecurityLab @ Sapienza University, we discovered a vulnerability that allows attackers to bypass rules in pf-based IPv6 firewalls in particular conditions. Let’s see some details of this vulnerability.

Patching a Debian package locally: Nextcloud, DWM and the focus lost

Thu, 13 Jul 2023 08:00:00 +0000

If you use a Window Manager that switches focus automatically (like dwm) and the Nextcloud client, surely you are annoyed by the Nextcloud window disappearing on focus lost “feature” (and no knob to switch it off). Apparently, the developers decided that This Is The Right Way®.

With the power of The Source Code, we can change that!

Proxmox LXC, Systemd, and Linux Capabilities

Thu, 25 May 2023 09:15:00 +0000

Debian in LXC/Proxmox works flawlessly, except for some systemd utility daemons. Instead of disabling those services, we can leverage Linux capabilities to achieve the same results.

Winbox on WINE: network namespaces for MAC-Telnet

Fri, 03 Feb 2023 06:00:00 +0000

Winbox, the MikroTik RouterOS management application, uses a proprietary link-layer protocol to discover and connect to RouterOS appliances. It’s useful when you have a router with a bad/unknown network configuration.

Let’s see how we can use it on Linux and WINE.

Security assessment of common open source MQTT brokers and clients

Mon, 25 Jul 2022 06:00:00 +0000

Many hobbyists and professionals use common MQTT brokers and libraries, like “Mosquitto”, in their projects. We asked ourselves: are these implementations “safe”? Is there any security issue we can exploit?

RAID5, URE and the probability

Fri, 25 Mar 2022 10:26:12 +0100

So you may have heard that RAID5 is doomed due to this “URE”.

What does it mean? Is it true? Let’s find out.

K3s, ZFS, cgroups v2

Thu, 03 Feb 2022 22:57:49 +0100

Unfortunately, after the migration from ext4 to ZFS, I discovered that k3s was crashing due to the missing support for overlayfs in ZFS.

Migrate Linux (home)server to ZFS

Wed, 02 Feb 2022 10:00:00 +0100

Recently I moved my home server to a (refurbished) Dell Optiplex 7050. The previous PC was on ext4, and I decided to try ZFS without reinstalling it.

ovf-export, open-source tool for exporting libvirt domains as OVF/OVA

Mon, 24 Jan 2022 10:15:00 +0100

Today I’m releasing ovf-export, a tool for exporting libvirt domains as OVF/OVA, as open-source. Generated packages follow the OVF 1.0 standard so that you can use them with VirtualBox, VMware Workstation/Player, and others.

Types of Network Address Translation

Mon, 17 Jan 2022 11:00:00 +0100

While still very useful, the old definition of NAT types is outdated. The new definition accurately reflects the kind of NAT present in the network and what we can expect from the translator.

Revoke active GitLab sessions for all users

Mon, 03 Jan 2022 23:50:46 +0100

If you have a self-hosted version of GitLab, you may need to revoke all active sessions for all users (for example, to force a password change when using an external authenticator like LDAP or OAuth2).

Simplify Node-RED for End-User Development in SeismoCloud

Wed, 29 Dec 2021 08:00:00 +0100

End-user development is a technique that empowers the “end-user” to build complex automation with basic domain knowledge and no programming skills. The result of this process is that everyone can use complex technology to make their own life better. We used some EUD techniques in SeismoCloud.

ML Classification of Car Parking with Implicit Interaction on the Driver’s Smartphone

Sat, 04 Dec 2021 08:00:00 +0100

For some applications, you may need to understand how the car is being parked with respect to the road. What if you want to understand this only leveraging on accelerations? Let’s find out how.

Building different app flavors with Flutter

Wed, 24 Nov 2021 08:00:00 +0100

For one of the projects we’re working on, we planned to release a mobile app version with OpenStreetMap and the Google Maps version.

How to manage multiple build “flavors” in Flutter?

Flutter Pi in Debian ARM/Raspbian 9 stretch

Sat, 20 Nov 2021 23:32:33 +0100

Recently I discovered the flutter-pi project thanks to a user that asked for help in a public telegram group. I like the idea of running flutter apps directly on RPi without X11. I’ll play with this project a bit in the future :-)

De-Googling: app compatibility

Thu, 21 Oct 2021 12:00:00 +0200

Some thoughts about Android, Google, and the “de-googling” process.

My opinion on DoH/DoT

Fri, 01 Oct 2021 14:00:00 +0200

I don’t have a strong opinion on everything. However, in the case of DoH-vs-DoT-vs-DNS, I have a very strong opinion.

And it’s that DoH is harmful and unnecessary. In this post, I’ll explain why.

Windows API - Information disclosure / covert channel

Thu, 16 Sep 2021 20:00:00 +0200

I use open-source software every day. And I try to contribute as much as I can.

However, sometimes weird things happen when writing OSS code. Like finding a security bug in a closed source software.

Full-disk encryption and remote unlock

Fri, 16 Jul 2021 20:00:00 +0200

Do you know that you can unlock your full-disk encrypted GNU/Linux PC remotely? Cool, isn’t it? You can directly use SSH to type the password and unlock your PC.

Let’s ask ourselves: is it secure?

L'Università pubblica che non c'è più

Wed, 23 Jun 2021 13:57:15 +0200

C’erano una volta l’Università pubblica e l’Università privata.

Ma tutte le cose belle, si sa, prima o poi finiscono. Specialmente quando “i dati sono il nuovo petrolio”.

Hide KVM/QEMU in Windows 10 guest

Wed, 16 Jun 2021 12:00:00 +0200

Recently I was preparing a Windows 10 VM (in a Proxmox/KVM/QEMU environment) with the specific need to spoof some hardware IDs and evade a VM detection.

Boot loop after (intensive) tethering in LineageOS?

Tue, 01 Jun 2021 10:34:00 +0200

If you’re experiencing boot loops after an intensive tethering session with LineageOS, maybe the network statistics database is corrupted. It happens to me nearly once every two weeks or so (I use tethering a lot in this period).

Note on Apple code signing (mobile iOS apps) for newcomers

Sat, 15 May 2021 21:30:00 +0200

You want to start developing mobile apps for iOS (native or with ANY framework). You don’t want to mess with bureaucracy and procedures. This time, however, you can’t escape.

Protect Kubernetes Dashboard using oauth2-proxy and Keycloak

Fri, 30 Apr 2021 10:30:00 +0200

Kubernetes Dashboard is an excellent web client for Kubernetes clusters. Even if I prefer locally installed clients (kubectl and k9s are enough for me :-D), a web UI is handy when you have a random group of users (developers?) and you don’t want to give them access to the API server, or you don’t want to force them to install and configure a Kubernetes client only to open the logs of some pod once a week.

Debian 10, Cloud-init and static IP addresses

Sun, 05 Jul 2020 15:50:00 +0200

In the last two days, I was preparing a virtual environment for some tests about MariaDB replication. I was determined to use the same identical settings of the production machine I was simulating: Debian 10, Docker, MariaDB 10.4. I use terraform for these tests, which works pretty well with the libvirt provider.

DoS (and possible MITM) in Cisco VPN 3000 Concentrator

Sun, 27 Oct 2019 00:00:00 +0100

TL;DR: the Cisco VPN 3000 Concentrator has a bug that allows you to create a DoS (and maybe a MITM) by sending the wrong netmask in IPSec phase 2. You need valid credentials. Apparently there is no workaround or fix. It’s EOL, so maybe you may want to change it :-)

Tue, 28 May 2019 00:00:00 +0000

Iomega ix2-200, Debian and iSCSI

Wed, 22 May 2019 00:00:00 +0100

I recovered an old Iomega ix2-200 from the dust of my apartment, hoping to use it as a storage NAS for backups with burp. I can’t use NFS (at least, it will be unsafe), so I was looking for an iSCSI export. The ix2-200 was advertized as iSCSI-enabled, however the performance were very bad and the box was freezing literaly every night.

JWT or not?

Sat, 04 May 2019 00:00:00 +0100

In a recent web portal project, made with Python and Angular, I faced the amethic doubt: should I use the standard pseudorandom generation of session tokens, or should I use a JWT?

Simple policy based routing in practice

Wed, 21 Nov 2018 23:56:36 +0100

Sometimes the network setup isn't the one that you find in a textbook. Policy based routing is a mechanism to choose a route based on a policy (which can be anything, from the current time to the kind of packet/frame).

Using fogproject to deploy Windows 10 images

Sun, 11 Mar 2018 14:31:08 +0100

Despite the web is full of pages about fogproject and Windows 10, there are many different things that you need to do in order to make fog to deploy a Windows 10 image in a fully automated way (without your physical intervention). This is my guide, just in case.

NodeMCU/ESP8266 and SSL/TLS/HTTPS

Tue, 06 Mar 2018 14:34:31 +0100

Security is always good. But you need to pay attention to implement it well, otherwise it can be very harmful.

IoT security vs hobbyists' boards

Sat, 03 Mar 2018 11:22:38 +0100

So, you bought your brand new Arduino/Genuino Uno and some nice-but-useless sensor (such as a temperature sensor for your bedroom), and you feel ready to enter the Internet Of Things world. You want to build up a little "cloud" by yourself (by using Apache+PHP in some hosting, or perhaps an MQTT server like RabbitMQ), or maybe use some cloud-ready service.

LoRaWAN spreading factor allocation in a multiple-gateway environment

Sun, 25 Feb 2018 15:01:02 +0100

As this new trend of "Internet of Things" raise up, people and companies are proposing new protocols (at each ISO/OSI level) to manage the local/remote communication between an IoT device and the rest of the network. This is mainly because an "IoT-device" (such as a temperature sensor) may be off-grid (i.e. powered by batteries) and/or with limited resources.

IPv6 link-local and VPS-cloud services: an hidden threat?

Wed, 17 Jan 2018 21:54:56 +0100

As many IT folks, I have my VPS (for instance, this website is running on it). I use this virtual server mainly to host my blog and some other websites that I own. The main reason why I use a "server" (and not an "hosting solution") is that, in this case, I have complete access to the machine. I like to be able to customize my services from top to bottom, even if it's a simple blog.

Cold case: protocol reverse engineering (part 2)

Wed, 18 Oct 2017 21:09:55 +0200

If you missed the previous post, you can find it here.

Cold case: protocol reverse engineering (part 1)

Sat, 14 Oct 2017 15:17:44 +0200

Some years ago I was asked to do a reverse engineering of an older protocol used in automation systems. The goal was to be able to communicate with some equipment already in-place in some industrial buildings nearby. Let me explain.

MikroTik RouterOS: how to use hostnames in firewall rules (instead of IP addresses)

Sat, 23 Sep 2017 15:14:55 +0200

Important note!

Apparently now RouterOS supports hostnames in address lists (tested in 6.49.2). So this article is superseeded (just add an hostname in the address list to have it resolved dinamically).

IoT party: installing InfluxDB (+Grafana) on a Raspberry PI for IoT sensors

Sun, 17 Sep 2017 11:20:47 +0200

Last year I upgraded my solar water panels with some temperature probes, and I scattered NodeMCU in my house (with some DHT22 and DHT11 sensors). At the time I had an old PC that was acting as a server: IoT devices were sending readings to RabbitMQ instance on that server, with a shell script that was bridging between MQTT and RRDTool database.

Of course, for me that was perfect. But I when I tried to share these tools with my family, quickly became clear that I had to make a nice interface. I ended up by sending the chart by Telegram with a bot.

Then, during last month, the old server died. I moved some things to the cloud, and some other things were archived. After some free-time during cleanup (I had two 1TB disks to cleanup...) I landed into Grafana home page. And I decided to give it a try.

Raspberry PI bluetooth backdoor/serial access

Mon, 28 Aug 2017 10:40:36 +0200

Aka: install a safe-mode-access.

I was programming my RasPI 3 to be a Wi-Fi AP. I don't have an HDMI monitor, only an HDMI converter and I'm not happy to use it. So, I was trying to setup my RPI by SSH. Of course, I was locked out by a wrong command in a script.

Superficie d'attacco (informatico)

Wed, 23 Aug 2017 14:02:38 +0200

La "superficie d'attacco" è l'insieme dei possibili punti di un software/sistema/infrastruttura che sono più o meno accessibili da un eventuale attaccante. E' fondamentale quindi conoscere e gestire la superficie d'attacco della nostra infrastruttura informatica.

Tessera da socio del circolo vizioso

Fri, 11 Aug 2017 18:49:01 +0200

Ieri, un torrido 10 di Agosto, mi sono unito a Salvatore Antoci in un lavoretto di manutenzione "ordinaria": la riparazione di una panchina (qui le foto di prima e dopo). Ovviamente non facciamo parte della "squadra di manutentori del Comune".

Too much confidence in user input: the Gemtek WLTXFSQ-102N case

Sun, 09 Jul 2017 15:02:54 +0200

Yesterday I was having a break from studying for next exam. I had few minutes of free time, so I decided to spend that time going around inside the web interface of Gemtek WiMax/4G router that my ISP installed here. I had a "guest" account, as specified in the router's manual.

HCI-Sec: la sicurezza passa anche dalla Human Interface

Thu, 29 Jun 2017 09:45:49 +0200

Anche se non è immediato, è chiaro che la sicurezza informatica passa anche per la HCI (Human Computer Interaction). Il modo in cui sono progettati i sistemi di sicurezza influenzano in maniera sostanziale l'efficacia dei suddetti.

La comunicazione, questa sconosciuta... a Latina

Tue, 27 Jun 2017 14:36:58 +0200

Recentemente ho scritto un articolo per il portale Q4Q5.it dal titolo "L'erba del vicino è sempre più verde". Quello che ho fatto è stato mettere a confronto il sito internet del nostro Comune con quello di una cittadina simile, Salem (Oregon). L'obiettivo del paragone è dimostrare come è trattato diversamente "l'utente del portale", che il più delle volte è il cittadino non-tecnico (in qualsiasi campo). Ovviamente, quello che emerge per il sito del Comune di Latina è un quadro disarmante.

7 consigli per difendersi da cyberattacchi

Mon, 26 Jun 2017 10:21:37 +0200

Ricordiamoci che "prevenire è meglio che curare", quindi spendere del tempo (e denaro) prima di un attacco è sempre un investimento per evitare di spendere più tempo e denaro ad attacco avvenuto.

Quali sono le soluzioni tecniche che possiamo adottare, in azienda, per ridurre il rischio di ransomware (e di virus in generale)? Riassumiamo:

Cybersecurity - Quello che non abbiamo mai fatto

Sat, 24 Jun 2017 20:03:23 +0200

Dopo i recenti fatti di WannaCry e Samba, ho riflettutto un po' su quello che era (ed è) il mio approccio alla sicurezza informatica, almeno per le infezioni. Ma prima di affrontarlo, riprendiamo un po' di storia.

Inizialmente, il vettore di attacco (ovvero il mezzo con il quale il virus attaccava) era un supporto di memorizzazione fisico: floppy disk, compact-disk, successivamente pennette USB e altri. A seconda se era un virus od un worm (passatemi la generica classificazione), doveva esser lanciato a mano mediante l'inganno dell'utente (ad esempio, facendosi passare per altro) oppure, i secondi, sfruttando delle falle nei sistemi di "protezione".

"L'arte dell'inganno" - Kevin Mitnick

Sun, 21 May 2017 10:00:15 +0200

Spinto dalla curiosità di leggere qualche libro di Kevin Mitnick, ho preso questo "Saggio". Con la prefazione di Steve Wozniak, si presenta in due parti fondamentali: per quasi tutto il libro, dall'inizio, si raccontano storie di ingegneria sociale di persone che sono riuscite ad ottenere quello che volevano (password di accesso, documenti riservati, etc). Ogni storia (riassunta in 2 pagine al massimo) viene spiegata, viene riportato il tipo di attacco, qual è stato l'errore e quali sono i possibili rimedi. La seconda parte, molto più contenuta, riporta dettagli più tecnici sulle tipologie di attacco (e quindi di difesa) con alcune checklist ed un vademecum per migliorare la gestione della sicurezza.

Ambiente: pianificazione, potature e polemiche

Wed, 17 May 2017 20:48:42 +0200

Quello che segue è il mio personale commento riguardo ad un fatto successo nella seduta di oggi del Tavolo per il Decoro Urbano.

"Perché le donne non sanno leggere le cartine e gli uomini non si fermano mai a chiedere" - Allan & Barbara Pease

Sun, 14 May 2017 12:30:20 +0200

Ho volontariamente sottratto questo libro dalla piccola libreria di casa, lo ammetto, solo per il titolo. Tuttavia, leggendo, mi sono accorto che è molto di più di un testo umoristico (come pensavo): è una accurata analisi sulle motivazioni, talvolta profonde, che spingono le persone ad agire in un certo modo.

Il giornalismo (d'inchiesta) che manca

Wed, 10 May 2017 11:47:13 +0200

Troppo spesso, specie qui a Latina, quello di cui si sente la mancanza è il famoso "giornalismo d'inchiesta". O, in alcuni casi, proprio del giornalismo.

"Voi avete gli orologi, noi abbiamo il tempo" - Federico Rampini

Sun, 07 May 2017 12:30:18 +0200

"Voi avete gli orologi, noi abbiamo il tempo": Manifesto generazionale per non rinunciare al futuro

"Rapita dalla giustizia" - Angela L.

Sun, 30 Apr 2017 12:30:16 +0200

"Rapita dalla giustizia" - Come ho ritrovato la mia famiglia

Autobus a Latina, come cambieranno - una mia analisi

Thu, 27 Apr 2017 19:14:25 +0200

Nell'albo pretorio è stato pubblicato il bando sul trasporto pubblico locale. Qui trovate una mia personale analisi.

"Acciaio" - Silvia Avallone

Sun, 23 Apr 2017 12:30:15 +0200

Devo dire che è stato il primo romanzo "che ho scelto" io. In genere, i libri che preferisco sono molto più tecnici, sono saggi o trattati su argomenti che ruotano intorno alle mie passioni.

"Passeggeri notturni" - Gianrico Carofiglio

Sun, 16 Apr 2017 12:30:14 +0200

Questo libro mi è stato regalato da una mia cara amica, che non finirò mai di ringraziare per questo e tanto altro :-)

"Sotto i nostri piedi" - Alessandro Amato

Sun, 09 Apr 2017 18:32:05 +0200

"Sotto i nostri piedi - Storie di terremoti, scienziati e ciarlatani"

"Sotto i nostri piedi": il sismologo Alessandro Amato a Tor Tre Ponti per presentare il suo libro

Mon, 03 Apr 2017 19:26:35 +0200

(non è un mio post - ma lo ripubblico qui perché è interessante)

La mia prima commissione

Tue, 28 Feb 2017 09:46:14 +0100

Il 21 febbraio ha assistito alla commissione trasporti. In effetti non è la mia prima commissione, ma è la prima che cercherò di seguire in modo assiduo.

Terremoto: quello che c'è da sapere

Wed, 04 Jan 2017 20:40:08 +0100

Dato che in giro continuano a circolare informazioni errate e/o imparziali a riguardo, mi prendo la libertà di scrivere questo documento riguardo a cosa sapere e cosa fare prima, durante e dopo un terremoto.

Vi chiedo di leggerlo fino in fondo, anche se spavaldamente pensate di sapere già tutto, se non credete possa succedere a Latina, o se semplicemente siete troppo ansiosi.

Più in basso nell'articolo trovate anche un estratto dei punti dove andare in caso di calamità naturali (terremoti, ma anche allagamenti/inondazioni, etc) come previsto dal Piano di Emergenza Comunale. Bisogna sempre tenere a mente quei luoghi perché saranno le zone da raggiungere subito dopo l'evento.

Amarcord: il Consiglio Comunale dei Giovani

Wed, 04 Jan 2017 20:39:27 +0100

Ormai probabilmente sono tutti meno giovani di quanto si possa pensare. Ma andiamo con ordine.

Con Deliberazione del Consiglio Comunale di Latina n.13 del 23 aprile 2008 è stata approvata l’istituzione del Consiglio Comunale dei Giovani della Città di Latina [...]((Sito istituzionale del Comune di Latina, http://www.comune.latina.it/il-consiglio-comunale-dei-giovani/))

In pochi ricorderanno gli annunci ufficiali, degni da atto rivoluzionario, che vennero effettuati per l'istituzione di un consiglio comunale "parallelo", formato da "giovani" (età 15-24 anni) che doveva occuparsi di "favorire la partecipazione dei ragazzi e delle ragazze alla vita della Comunità" ((Statuto del Comune di Latina, Articolo 77bis, http://www.comune.latina.it/wp-content/uploads/2016/11/Statuto-modificato-al-15-Aprile-2015.pdf)). Il consiglio aveva come compito quello di proporre-discutere azioni e/o regolamenti, da portare poi al vero Consiglio Comunale e giunta, come ad esempio eventi, manifestazioni, o modifiche per rendere la Città più "smart" (efficiente, veloce, semplice).

I costi nascosti dell'inefficienza

Wed, 04 Jan 2017 20:38:39 +0100

Circa un anno fa mi decisi, finalmente, a prendere, burocraticamente parlando, la "Licenza di Operatore di Stazione di Radioamatore". Semplificherò alcuni passaggi per amor di lettura.

Autobus: come funzioni? E quanto mi costi?

Wed, 04 Jan 2017 20:37:03 +0100

Spesso non ci rendiamo conto di quello che c'è dietro i nostri servizi, e quanto ci costano (direttamente e non).

L'obiettivo di questo articolo è di tradurre le informazioni che trovate sui bilanci della società di trasporto pubblico (su autobus) in qualcosa che sia leggibile da tutti. Farò quindi delle approssimazioni grossolane; non me ne vogliano i ragionieri.