Mentre colossi della sicurezza informatica come Tehtris (e anche altri), in questi ultimi anni sono occupati a diffondere honeypot illegali per fare collette di IP di gente a caso per farli dossare dai bambocci, nessuno parla dei servizi VPS offerti dall'anonimo e malefico Dottor Fraudster!
Purtroppo quest'oggi la truffa è un nuovo trend: vai dai carabinieri a denunciare un imbroglio ma a momenti ricevi anche le pernacchie. RIP.
Quest'oggi, l'argomento scottante del giorno è Cloudfitters LTD:
questo servizio offerto dagli USA, richiede 12$ per una VPS di "base", ossia parliamo di Ubuntu 22.04 con 1 GB di RAM e quota 1 Datacenter IP. Per un IP residenziale, il prezzo sale a ben 27$. Sembra tutto molto corretto e giusto finora, ma adesso, vi racconterò la mia esperienza personale con questo fornitore, e ovviamente, spero che non accada a nessun'altro.
12 Gennaio (giorno dell'acquisto): tutto stabile, modifico la password di SSH per rinforzare la sicurezza, e faccio apt-update per aggiornare il sistema. La situazione resta stabile per circa una settimana. La durata dell'abbonamento è mensile, prossimo invoice il 12 febbraio. Unica cosa leggermente inquietante: prima di apt-update il kernel era vulnerabile a Dirty Pipe, ma ci sono passato sopra, dato che la vulnerabilità è "local", ossia un attaccante deve avere prima accesso al dispositivo per poterla sfruttare.
24 Gennaio: entro nella VPS e trovo il filesystem lockato in modalità "read-only", improvvisamente. Chiamo lo staff, che mi risponde arrogantemente, che per ricevere il supporto adeguato è necessario pagare 20$ in più. Inizialmente ho provato ogni combinazione di chmod, poi mount/umount, fdisk (neanche mi diceva il nome della partizione fallata). Alla fine riesco a convincere lo staff ad intervenire, che risolvono il problema per ben 2 volte di fila, ma a "loro detta", al terzo crash io sarei costretto ad acquistare il "pacchetto premium", per ricevere ulteriore supporto, e su sollecito neanche chiarificano i motivi esatti del crash, limitandosi a dire che il loro server ha "sperimentato un problema". Da solo, non sono riuscito a investigare molto, a causa dell'impossibilità di riprodurre l'errore in un ambiente controllato. La situazione era anomala, e non mi era mai capitata.
27 Gennaio: I problemi di hard disk sembrano risolti, ma adesso quando entro con SSH, compare improvvisamente un banner che mi avvisa che l'accesso all'host è limitato per ragioni di sicurezza, e che potrei essere vittima di un attacco man-in-the middle (mi sono detto: LOGJAM?? Ma come?!)
Entrando nella VPS invece, risulta tutto normale, con l'eccezione di centinaia di tentativi di login errati nei log di SSH. Dato che l'attacco bruteforce di questo tipo è estremamente rumoroso, e in caso di timing sbagliato delle richieste risulta anche in un "DOS" involontario, deduco che l'attaccante era un ragazzino, che voleva entrare per creare caos. Tuttavia, a parte i log e l'hit del rate-limit, non ho notato altri segni di compromissione, deducendo che dopo aver fallito tutti i tentativi con rockyou.txt, il campione sia andato finalmente a consolarsi con la nutella. Fortunatamente avevo precedentemente modificato la password, dato che quella di default messa da Cloudfitters era di soli 5 caratteri (almeno nel mio caso).
3 Febbraio: Mi viene ritirato il servizio, la VPS va off improvvisamente. Vado sulla dashboard per contattare il supporto, e invece cosa trovo?
Trovo un avviso che mi chiede di pagare un invoice che non esiste. L'erogazione del servizio sarebbe dovuta terminare il 12 Febbraio. La dashboard invece mi richiede di pagare l'invoice anticipatamente, di 10 giorni, contro le scadenze previste... Contatto il supporto per chiedere spiegazioni, ma nessuno risponde. Mi sono disiscritto, rimuovendo tutti i miei dati.
Questa signori, è la VPS della famiglia Addams, perché è un THRILLER. Sfortunatamente, non è Thriller di Michael Jackson. E' solamente un thriller.
Non comprate i servizi di questa compagnia.
Purtroppo quest'oggi la truffa è un nuovo trend: vai dai carabinieri a denunciare un imbroglio ma a momenti ricevi anche le pernacchie. RIP.
Quest'oggi, l'argomento scottante del giorno è Cloudfitters LTD:
questo servizio offerto dagli USA, richiede 12$ per una VPS di "base", ossia parliamo di Ubuntu 22.04 con 1 GB di RAM e quota 1 Datacenter IP. Per un IP residenziale, il prezzo sale a ben 27$. Sembra tutto molto corretto e giusto finora, ma adesso, vi racconterò la mia esperienza personale con questo fornitore, e ovviamente, spero che non accada a nessun'altro.
12 Gennaio (giorno dell'acquisto): tutto stabile, modifico la password di SSH per rinforzare la sicurezza, e faccio apt-update per aggiornare il sistema. La situazione resta stabile per circa una settimana. La durata dell'abbonamento è mensile, prossimo invoice il 12 febbraio. Unica cosa leggermente inquietante: prima di apt-update il kernel era vulnerabile a Dirty Pipe, ma ci sono passato sopra, dato che la vulnerabilità è "local", ossia un attaccante deve avere prima accesso al dispositivo per poterla sfruttare.
24 Gennaio: entro nella VPS e trovo il filesystem lockato in modalità "read-only", improvvisamente. Chiamo lo staff, che mi risponde arrogantemente, che per ricevere il supporto adeguato è necessario pagare 20$ in più. Inizialmente ho provato ogni combinazione di chmod, poi mount/umount, fdisk (neanche mi diceva il nome della partizione fallata). Alla fine riesco a convincere lo staff ad intervenire, che risolvono il problema per ben 2 volte di fila, ma a "loro detta", al terzo crash io sarei costretto ad acquistare il "pacchetto premium", per ricevere ulteriore supporto, e su sollecito neanche chiarificano i motivi esatti del crash, limitandosi a dire che il loro server ha "sperimentato un problema". Da solo, non sono riuscito a investigare molto, a causa dell'impossibilità di riprodurre l'errore in un ambiente controllato. La situazione era anomala, e non mi era mai capitata.
27 Gennaio: I problemi di hard disk sembrano risolti, ma adesso quando entro con SSH, compare improvvisamente un banner che mi avvisa che l'accesso all'host è limitato per ragioni di sicurezza, e che potrei essere vittima di un attacco man-in-the middle (mi sono detto: LOGJAM?? Ma come?!)
Entrando nella VPS invece, risulta tutto normale, con l'eccezione di centinaia di tentativi di login errati nei log di SSH. Dato che l'attacco bruteforce di questo tipo è estremamente rumoroso, e in caso di timing sbagliato delle richieste risulta anche in un "DOS" involontario, deduco che l'attaccante era un ragazzino, che voleva entrare per creare caos. Tuttavia, a parte i log e l'hit del rate-limit, non ho notato altri segni di compromissione, deducendo che dopo aver fallito tutti i tentativi con rockyou.txt, il campione sia andato finalmente a consolarsi con la nutella. Fortunatamente avevo precedentemente modificato la password, dato che quella di default messa da Cloudfitters era di soli 5 caratteri (almeno nel mio caso).
3 Febbraio: Mi viene ritirato il servizio, la VPS va off improvvisamente. Vado sulla dashboard per contattare il supporto, e invece cosa trovo?
Trovo un avviso che mi chiede di pagare un invoice che non esiste. L'erogazione del servizio sarebbe dovuta terminare il 12 Febbraio. La dashboard invece mi richiede di pagare l'invoice anticipatamente, di 10 giorni, contro le scadenze previste... Contatto il supporto per chiedere spiegazioni, ma nessuno risponde. Mi sono disiscritto, rimuovendo tutti i miei dati.
Questa signori, è la VPS della famiglia Addams, perché è un THRILLER. Sfortunatamente, non è Thriller di Michael Jackson. E' solamente un thriller.
Non comprate i servizi di questa compagnia.