Questo è il numero 18 del 2023, riferito alla settimana che va da lunedì 8 maggio a domenica 14 maggio. Per qualsiasi commento, critica o lode, contattaci attraverso la mailing list del gruppo promozione.

Notizie da Ubuntu

Basi di sicurezza dei Big Data: Best Practice

Nel precedente numero della newsletter (203.017) abbiamo analizzato STRIDE, un framework di valutazione delle minacce, originariamente concepito alla fine degli anni '90, che può essere utilizzato per prendere decisioni sui controlli di sicurezza da implementare per proteggere i propri dati. Esistono altri framework di valutazione delle minacce simili a STRIDE, ma in questo numero ci concentreremo sull'elencare delle best practice fondamentali, che possono aiutarci a proteggere qualsiasi ambiente di elaborazione dei dati su larga scala. Iniziamo!

• Passaggio 1: proteggere le fondamenta della propria piattaforma

  È essenziale assicurarsi che la fonte del software utilizzato sia affidabile e ben mantenuta. L'esecuzione con pacchetti software mal gestiti e vecchie immagini di container sono aspetti che invitano gli aggressori a procedere con l'attacco. Come buona pratica, occorre scaricare il relativo software solo da fonti e mirror selezionati e affidabili. Se il proprio data lake o altra struttura di gestione dei dati si basa per esempio su Ubuntu Server LTS, allora è possibile beneficiare di una migliore sicurezza, ricevendo le ultime patch in tempo reale e gli aggiornamenti per tutto il software che si usa, sia dai repository Ubuntu Main sia da Ubuntu Universe. Ubuntu ha sempre fornito gratuitamente fino a cinque anni di correzioni di sicurezza per i pacchetti nel repository principale di Ubuntu. Con Ubuntu Pro, tale impegno è esteso fino a dieci anni e copre anche i pacchetti nel repository Universe.
  Ubuntu Pro, inoltre, consente di registrare gratuitamente fino a cinque sistemi. Per i cluster di elaborazione su larga scala, invece, si possono facilmente acquistare i token di attivazione di Ubuntu Pro dallo store online. Oppure, se utilizzi Amazon AWS, Microsoft Azure o Google Cloud, puoi ottenere Ubuntu Pro dalla console di lancio, con fatturazione oraria direttamente sulla pagina di utilizzo del cloud.

• Passaggio 2: proteggere i punti di accesso, firewall e proxy

  Un numero sorprendente di database e ambienti di data lake sono esposti e accessibili direttamente da Internet. Se si lascia i database privati ​​esposti e pubblicamente accessibili, è probabile che sia solo una questione di tempo prima che il proprio ambiente diventi vittima di una violazione dei dati. È possibile mitigare questo rischio, implementando l'utilizzo di un firewall e la segmentazione della rete. I primi sono dispositivi o applicazioni che regolano i flussi di traffico di rete per consentire o impedire il traffico in base alle regole definite. I secondi, invece, sono tecnicismi per suddividere la rete in zone utilizzando tecnologie come VLAN (Virtual Local Area Network). Gli IT in genere utilizzano i firewall per regolare il traffico tra le zone che sono state definite. Ogni zona è tipicamente associata a un livello di rischio. Una configurazione comune sarebbe quella di definire tre zone: non attendibile, DMZ e privata. Per gli ambienti data lake, è spesso definita una quarta zona: backend.
  

Laddove un servizio o un endpoint deve essere in grado di connettersi a Internet o ad altre risorse nella zona non attendibile, a volte i sysadmin distribuiscono un server proxy per mediare e regolare l'accesso. I server proxy possono essere configurati con elenchi consentiti e negati, per limitare l'accesso alle risorse in altre zone. Un server proxy ben configurato può aiutare a rallentare o contenere la diffusione di malware, ad esempio avvisando gli operatori quando vengono effettuate richieste a URI insolite e chiudendo l'accesso a URI noti e sconosciuti, che sono tipicamente utilizzati come server C2 (Command and Control) per fornire in remoto istruzioni al malware.

• Passaggio 3: utilizza la crittografia

  La crittografia end-to-end fa sì che tutte le comunicazioni di rete avvengono utilizzando protocolli come TLS, che può aiutare in modo significativo a proteggere la riservatezza dei dati, anche quando tutti i servizi sono in esecuzione all'interno della propria rete. L'implementazione della crittografia end-to-end rende più difficile per gli utenti non autorizzati compromettere i dati. I dati possono includere credenziali e dati utente, non solo i dati nel proprio data lake, che possono quindi essere utilizzati per ulteriori attacchi contro il proprio ambiente, come l'aumento dei privilegi. Anche le ricerche DNS possono essere protette utilizzando DNS over TLS (DoT). La crittografia a riposo può significare proteggere supporti di archiviazione persistenti, come unità SAS e dispositivi a blocchi NVME/SSD, attraverso l'uso di file system crittografati, oppure può significare utilizzare la crittografia simmetrica a livello di applicazione per criptare i file di dati nel sistema di archiviazione. La crittografia a riposo può aiutare a proteggere i propri dati dalla lettura da parte di un utente malintenzionato ora o in futuro, a condizione che l'algoritmo scelto utilizzi una lunghezza di chiave sufficientemente forte.

• Passaggio 4: autenticazione e autorizzazione

  L'autenticazione è il processo di verifica che un utente sia chi dichiara di essere. Se un utente afferma di essere l'amministratore di sistema e il sistema non ha controlli, o controlli deboli per verificare la sua affermazione, significa che l'utente sarà probabilmente in grado di svolgere le attività di un amministratore di sistema, che sia autorizzato a farlo o no. Senza autenticazione, quell'utente potrebbe accedere ai dati sensibili gestiti dal sistema e creare, eliminare o modificare i file di sistema. Potrebbe anche modificare i registri di controllo del sistema per rimuovere le tracce di ciò che è stato fatto. Per autorizzazione si intende il processo di verifica che un utente (autenticato) sia autorizzato a eseguire l'azione che sta tentando di eseguire. I quadri di autorizzazione tipici possono includere autorizzazioni del file system, MACL (elenchi di controllo di accesso obbligatori), ad esempio per limitare l'accesso a risorse sensibili e chiamate al kernel, e RBACS (Role-Based Access Control Systems), che in genere definiscono i ruoli che gli utenti associati eseguono sul sistema. A seconda del ruolo, gli utenti avranno il diritto di accedere a diverse funzioni all'interno del suddetto sistema. Secondo un rapporto sulle violazioni dei dati stilato dalla compagnia Verizon, il 60% degli attacchi comporta l'uso di credenziali rubate, con il 93% delle violazioni dei dati che compromettono con successo set di dati conservati in sistemi online, come data lake e database. Pertanto è importante ridurre le superfici di attacco e centralizzare i controlli di identità.

• Passaggio 5: creare un piano di continuità aziendale
  Sebbene esistano molte tecniche e controlli più avanzati che è possibile implementare per creare una difesa in profondità per il proprio ambiente, un ultimo passaggio fondamentale è quello di assemblare un piano di continuità aziendale, o BCP, ovvero un piano d'azione che dovrebbe coprire tutti gli aspetti della propria attività. Dovrebbe coprire cose come il modo in cui ti assicurerai che il personale possa continuare a lavorare se si verifica un disastro (ad esempio, se il tuo luogo di lavoro brucia). Ma deve anche coprire eventi come violazioni dei dati o cripto-riscatto. Sapendo cosa deve essere fatto e da chi, qualsiasi danno può essere efficacemente contenuto, limitato e gestito.

C'è un mondo enorme là fuori e i malintenzionati trarranno vantaggio da una posizione di sicurezza debole, se possono. L'implementazione di buone misure di sicurezza di base può aiutare a prevenirlo o limitare i danni. Tuttavia, è importante ricordare che i soli controlli di sicurezza sono probabilmente insufficienti: una buona postura di sicurezza è una combinazione di persone ben addestrate e consapevoli della sicurezza e solide procedure operative, oltre a misure e salvaguardie tecniche efficaci. Il fattore umano, sia per configurazione errata sia per errore dell'operatore, o attraverso spionaggio e lavori interni, è la principale causa di incidenti di sicurezza. Adottare operatori software che automatizzano la gestione dei propri servizi può ridurre sensibilmente sia la superficie di attacco che la probabilità che azioni umane, intenzionali o per errore, portino alla compromissione del sistema.

Fonte: ubuntu.com

Notizie dalla comunità internazionale

Full Circle Magazine Issue #192 in inglese

È stato pubblicato sul sito internazionale di Full Circle Magazine, il numero 192 in Inglese.

In questo numero troviamo:

• Comanda & Conquista

• How-To: Python, Stable Diffusion [NOVITÀ!] e Latex
• Grafica: Inkscape
• Grafica: FreeCAD
• Recensione: Ubuntu Unity 22.10

• Recensione: SpiralLinux

• La mia opinione: Apple è ancora rilevante per gli utenti Linux?
• Giochi di Ubuntu: Monster Prom 3 Roadtrip

... e molto altro ancora.

È possibile scaricare la rivista da questa pagina.

Notizie dal Mondo

Microsoft vuole che Firefox abbandoni Google e passi a Bing

Notizia dell'ultima ora: secondo la testata The Information, pare che alcuni dirigenti senior di Microsoft spingano per siglare un accordo storico con Mozilla per rendere Bing il prossimo motore di ricerca predefinito di Firefox. Sì, avete letto bene, come altrettanto leggerete bene il fatto che nel 2021 Mozilla ha testato Bing come motore di ricerca di Firefox. Cerchiamo ora di fare un quadro generale della situazione, senza farci prendere troppo dal panico. Perché, nonostante Firefox rimanga una figura importante del panorama web, mantiene una modesta quota di mercato (ricordiamo che Firefox rimane uno dei browser più utilizzati su Linux), è anche una delle poche reali alternative gratuite e open source a Google Chrome su tutte le piattaforme. Parallelamente, Bing vanta funzionalità basate sull'intelligenza artificiale, rendendolo qualcosa di interessante agli occhi di chi si occupa di tecnologia (probabilmente non c'è mai stato tanto interesse per Bing come adesso). Però la domanda che tutti dobbiamo porci è: questo binomio tra browser e motore di ricerca potrebbe aiutare a far pendere la bilancia a favore di Mozilla ? Ricordiamo, per finire, che la scelta del cambio del motore di ricerca per chiunque utilizzi un determinato browser rimane sempre un tasto dolente. Quindi ci auspichiamo che non si prendano delle decisioni troppo azzardate!

Fonte: omgubuntu.co.uk

Firefox 113 rende la modalità Picture-in-Picture più flessibile

Arriva per le strade ed è pronta per il download una nuova versione del browser open source, multipiattaforma e gratuito Mozilla Firefox 113. Il ciclo di rilascio mensile di Firefox continua ininterrottamente e la versione 113 è qui come degno aggiornamento della release precedente, portando un netto miglioramento delle capacità del browser in alcune aree. Come ben saprete, Firefox implementa da svariati anni un'elegante modalità picture-in-picture (PIP), che consente di "far uscire" il video su siti di streaming (come YouTube) in modo da poter guardare i contenuti mentre si sta semplicemente scorrendo la pagina oppure mentre si passa da una scheda a un'altra del browser. Fin qui tutto bene, perché ora la modalità PIP è dieci volte più utile e flessibile che mai. Infatti, in Firefox 113, le finestre PIP sono ora in grado di mostrare (a seconda del servizio) una barra di avanzamento cancellabile, visualizzare la durata del video (incluso il tempo trascorso), controlli di riavvolgimento/avanzamento e un interruttore per portare tutto ciò che stai guardando a schermo intero con un semplice click. Altra novità in questa versione, oltre il miglioramento del supporto per i file animati nel formato AV1, è l'introduzione di un generatore di password integrato molto più sicuro, con la possibilità di includere i caratteri speciali per rendere più robuste le password generate. A detta di Mozilla, troviamo l'introduzione di un motore di accessibilità riprogettato, che promette di migliorare in modo significativo la velocità, la stabilità e la reattività del browser per tutti gli utenti che utilizzano lettori di schermo. E ultimo, ma non per importanza, ci sono anche buone notizie per gli utenti Android, perché questa versione porta il supporto per impostazione predefinita: della decodifica video AV1 con accelerazione hardware (su hardware supportato o tramite decodifica software) e dell'abilitazione di Canvas2D con accelerazione GPU. Introduce inoltre diversi miglioramenti dell'interfaccia utente al visualizzatore di PDF integrato, per semplificare il salvataggio diretto dei documenti PDF oltre che della stampa direttamente dai siti. Per concludere, è possibile scaricare Mozilla Firefox 113 per Windows, macOS e sistemi GNU/Linux direttamente dal sito ufficiale di Mozilla. Se invece utilizzate già una distribuzione GNU/Linux, come per esempio Ubuntu, non è necessario scaricare nessun pacchetto, in quanto l'aggiornamento verrà applicato automaticamente in background.

Fonte: omgubuntu.co.uk

Fonte: 9to5linux.com

Linus Torvalds pulisce il codice della versione Linux 6.4

Era da un po' di tempo che non vedevamo all'opera, o per meglio dire in prima linea, il buon Linus Torvalds. Infatti nell'ultimo periodo era dedito nell'occuparsi principalmente della gestione degli sviluppatori, fornire post approfonditi da spedire alla mailing list e amministrare i rispettivi merge window delle proposte da parte degli sviluppatori per l'unione nell'albero del kernel. Però, come raccontato da Phoronix, la scorsa settimana Linus si è messo a lavoro per risolvere alcuni problemi riguardanti il codice sviluppato dagli Ingegneri di Intel, in Linear Address Masking (o LAM), applicando così una serie di correzioni e pulizie che lo rendono conforme con gli standard del kernel. Tanto per capirci, è meglio non farlo arrabbiare. Detto questo, la finestra di unione per il Kernel Linux 6.4 rimane aperta fino al prossimo fine settimana per introdurre maggior codice, il che è uguale a più funzionalità. Stay tuned.

Fonte: phoronix.com

Fonte: phoronix.com

Fonte: phoronix.com

Arriva lo snap di Chromium

Se anche tu esegui Ubuntu nel tuo dispositivo e sei un utilizzatore del browser Chromium, questo è il tuo giorno fortunato! Infatti, Canonical ha collaborato con la società americana Intel per realizzare il pacchetto snap di Chromium, che vanta alcune interessanti funzionalità, come per esempio la decodifica e codifica video con accelerazione hardware. Questa build, realizzata su misura, offre prestazioni e durata della batteria migliori rispetto a una build "vanilla", basata su Kaby Lake di 7a generazione, ma anche di piattaforme più recenti quando si utilizzano i codec VP8, VP9 e H.264 (codec piuttosto onnipresenti sul web). Ahimè, c'è un problema che riguarda il fatto che al momento questo pacchetto è in versione beta ed è ancora acerbo per essere distribuito ufficialmente. Tuttavia, puoi far parte di questo progetto dando una piccola mano agli sviluppatori con i primi test pubblici. Per questo motivo, se ancora non hai installato la versione beta, basterà digitare in una finestra di terminale il comando:

snap install chromium --channel=latest/candidate/hwacc

in questo modo si installa la versione beta di Chromium, che usufruisce dell'accelerazione hardware. Mentre, se si è già installato il pacchetto snap di Chromium sul proprio dispositivo, basterà passare al canale hwacc tramite il comando:

snap refresh chromium --channel=latest/candidate/hwacc

Come sempre, se in generale si notano problemi di qualsiasi natura, non esitare a segnalare alla comunità il grattacapo che si è riscontrato, nella pagina bug tracker di Ubuntu. In questo modo gli sviluppatori possono esaminare, convalidare e, si spera, sistemare le cose per tutti gli utenti. Qualora invece si voglia ripristinare la normale versione di Chromium (non con accelerazione hardware), lo si può fare facilmente con il comando:

snap refresh chromium --channel=latest/stable

E il gioco è fatto!

Fonte: omgubuntu.co.uk

Linus Torvalds annuncia la prima RC del Kernel Linux 6.4

Sono passate all'incirca due settimane dal rilascio della versione del kernel Linux 6.3 e dall'apertura della finestra di unione per la prossima serie del kernel, ovvero la 6.4. Ora il papà del Kernel, Linus Torvalds, ha rilasciato e reso disponibile per il download sul sito kernel.org la prima RC (Release Candidate) per i primi test pubblici. Oltre a varie nuove funzionalità, come il supporto LAM (di cui abbiamo parlato nell'articolo poco sopra), Linux 6.4 verrà fornito con un supporto hardware migliore, grazie all'introduzione di driver nuovi e aggiornati. Sfortunatamente, la tanto attesa funzionalità di sicurezza Shadow Stack non è arrivata in questa versione. Analizzando, senza entrare troppo nei dettagli, i primi punti salienti, troviamo il supporto per rumble per i controller Xbox più recenti, il supporto PMU per le CPU Apple M2, il supporto migliorato per le piattaforme Qualcomm Snapdragon, un nuovo driver per i controller touch Novatek, il supporto per il Lenovo Yoga Book X90F 2-in-1, supporto della modalità Hyper-V VTL e supporto Wi-Fi per dispositivi Apple M1 Pro/Max. Vi sono anche miglioramenti termici per il driver Mediatek, miglioramenti di schede audio PCI datate, supporto audio per sistemi NVIDIA con codec MAX9809x e RT5631, supporto PPIN per i processori per server Intel Xeon di quinta generazione "Emerald Rapids" e tanto altro ancora. La versione finale del Kernel Linux 6.4 dovrebbe arrivare a fine Giugno o inizio Luglio. Questo dipende da quante versioni RC verranno pubblicate. Fino ad allora, qualora si voglia provare ad utilizzare questa release, si faccia attenzione perché è una versione preliminare, quindi non installarla o utilizzarla su una macchina di produzione!

Fonte: 9to5linux.com

Arriva l'ultimo aggiornamento di LibreOffice 7.4: è ora di aggiornare alla release 7.5!

La Document Foundation ha annunciato il rilascio e la disponibilità per tutte le piattaforme supportate dell'ultima point release della versione stabile della potente suite per ufficio LibreOffice 7.4. Questa versione scende in campo per risolvere cinquanta bug, presenti all'interno di tutti i componenti principali della suite per l'ufficio, inclusi Writer, Calc, Impress e Draw. Queste correzioni permettono di aumentare sempre di più la stabilità e la robustezza della suite, garantendo al contempo una migliore interoperabilità con i formati di documenti proprietari della suite MicroSoft Office, come DOCX, XLSX e PPTX. Pertanto, se all'interno del tuo dispositivo utilizzi la versione di LibreOffice 7.4, dovresti prendere in considerazione l'aggiornamento alla versione 7.5 il prima possibile e magari dare anche un'occhiata ai dettagli sulle correzioni di questi bug, disponibili per RC1 e RC2. Tuttavia, occorre tenere presente che questa è l'edizione "Community", quindi se hai bisogno di supporto per le distribuzioni aziendali dovresti considerare l'utilizzo della famiglia di applicazioni LibreOffice Enterprise (per maggiori informazioni guarda il numero 2021.005). LibreOffice 7.4.7 è immediatamente disponibile sul sito ufficiale. I requisiti minimi per i sistemi operativi proprietari sono disponibili nella suddetta pagina; mentre per GNU/Linux, si ricorda principalmente come regola generale che è sempre consigliabile installare LibreOffice utilizzando i metodi di installazione raccomandati dalla propria distribuzione, come ad esempio l'uso di Ubuntu Software Center per Ubuntu. Gli utenti di LibreOffice, i sostenitori del software libero e i membri della comunità possono supportare The Document Foundation attraverso una piccola donazione. Le vostre donazioni aiutano The Document Foundation a mantenere la sua infrastruttura, condividere la conoscenza e a finanziare attività delle comunità locali.

Fonte: 9to5linux.com

Aggiornamenti e statistiche

Aggiornamenti di sicurezza

Gli annunci di sicurezza sono consultabili nell'apposita sezione del forum.

Bug riportati

• Aperti: 142007, +30 rispetto alla scorsa settimana.

• Critici: 312, = rispetto alla scorsa settimana.

• Nuovi: 71303, +6 rispetto alla scorsa settimana.

È possibile aiutare a migliorare Ubuntu, riportando problemi o malfunzionamenti. Se si desidera collaborare ulteriormente, la Bug Squad ha sempre bisogno di una mano.

Commenti e informazioni

"Noi siamo ciò che siamo per merito di ciò che siamo tutti"
La tua newsletter preferita è scritta grazie al contributo libero e volontario della comunità ubuntu-it. Per metterti in contatto con il Gruppo Social Media o se vuoi contribuire alla redazione di articoli per la Newsletter, puoi scrivere alla mailing list del gruppo promozione.

In questo numero ha partecipato alla redazione degli articoli:

• Daniele De Michele

Hanno inoltre collaborato all'edizione:

• Massimiliano Arione

• Stefano Dall’Agata

Licenza adottata

La newsletter italiana di Ubuntu è pubblicata sotto la licenza Creative Commons Attribution-ShareAlike 4.0.

Uscite settimanali

• Numero precedente

• Numero successivo

Per ricevere la newsletter direttamente nella tua casella di posta, cambiare le impostazioni di ricezione o annullare la tua iscrizione alla newsletter, consulta questa pagina.
Per tutti i numeri usciti della newsletter, consulta la nostra edicola.

Scrivi per la newsletter

La Newsletter Ubuntu-it ha lo scopo di tenere aggiornati tutti gli utenti Ubuntu e, più in generale, le persone appassionate del mondo open-source. Viene resa disponibile gratuitamente con cadenza settimanale ogni Lunedì, ed è aperta al contributo di tutti gli utenti che vogliono partecipare con un proprio articolo. L’autore dell’articolo troverà tutte le raccomandazioni e istruzioni dettagliate all’interno della pagina Linee Guida, dove inoltre sono messi a disposizione per tutti gli utenti una serie di indirizzi web che offrono notizie riguardanti le principali novità su Ubuntu e sulla comunità internazionale, tutte le informazioni sulle attività della comunità italiana, le notizie sul software libero dall’Italia e dal mondo. Per chiunque fosse interessato a collaborare con la newsletter Ubuntu-it a titolo di redattore o grafico, può scrivere alla mailing list del gruppo promozione oppure sul canale IRC: ubuntu-it-promo. Fornire il tuo contributo a questa iniziativa come membro, e non solo come semplice utente, è un presupposto fondamentale per aiutare la diffusione di Ubuntu anche nel nostro Paese. Per rimanere in contatto con noi, puoi seguirci su:

CategoryComunitaNewsletter CategoryComunitaPromozione