Configurazione ed altri quesiti configurazione whistleblowing anticorruzione 179/2017 e 190/2012


#1

Buongiorno a tutti,
spero di scrivere nella giusta sezione. All’interno dell’azienda in cui lavoro dobbiamo mettere in piedi una piattaforma informatica per la segnalazione di reati o irregolarità. Mi è stato consigliato l’utilizzo del software Globaleaks dato che anche ANAC l’ha utilizzato per mettere in piedi la sua piattaforma di whistleblowing. Sto testando il software su una macchina virtuale creata con VirtualBox. La VM è stata configurata seguendo i requisiti riportati nella guida utente, per cui S.O. Ubuntu Bionic 18.04, CPU dual core, RAM 2 GB e Storage 20GB. LA VM è esposta sulla rete aziendale, avendo configurato la connessione di rete in modalità bridge. L’installazione è andata a buon fine, così come la configurazione iniziale tramite wizard. Ora ho una serie di quesiti da porre:

  • Relativamente alla tecnologia di virtualizzazione ci sono dei requisiti di compatibilità? In particolare VMWare è supportato? Lo chiedo perchè Globaleaks verrà installato e configurato su una VM in cloud presso un Fornitore esterno ed al momento non conosco la tecnologia di virtualizzazione offerta.
  • Al riavvio della VM dove ho installato e configurato Globaleaks, tutte le connessioni verso l’esterno risultano bloccate. Per cui banalmente anche con Firefox non riesco più a raggiungere nessun sito web. Anche semplicemente google. E’ un comportamento normale? Lo chiedo perchè anche le notifiche email della piattaforma non vengono più inviate. Ho fatto un test di inserimento segnalazione, ma sulla mail del ricevente non arriva nulla.
  • E’ normale che non riesco a raggiungere la piattaforma, sulla rete aziendale via HTTP? Per intenderci, se da un’altra postazione aziendale inserisco l’indirizzo IP della VM dove è in esecuzione Globaleaks, non ricevo risposta. Non vedo la homepage da cui inserire le segnalazione. La VM risulta pingabile.

Spero di essere stato chiaro. Grazie in anticipo per il vostro supporto.


#2

Terzo punto risolto. Avevo impostato la raggiungibilità della piattaforma solo su rete TOR :slight_smile:


#3

Ciao!

Circa il punto 1:
Non ci sono limiti alla tecnologia di virtualizzazione, è solo il sistema operativo che è supportato o meno.

Circa il punto 2:
Si, è giusto che la VM usata sia ad uso esclusivo e che le connessioni in uscita vengano limitate, lo fa’ la funzionalità di “network firewall” con iptables locale https://github.com/globaleaks/GlobaLeaks/wiki/Operating-system-security#network-firewall .
Se fai iptables -L -n vedrai le regole che vengono applicate e si può anche disattivare, ma è contrario al design di security del software. Stai provando a navigare con Firefox dalla VM stessa?

Fabio


#4

Esatto. Provavo a navigare con Firefox dalla VM stessa. Per me va bene il design di security del software anche perchè non ho necessità di navigare su internet dalla VM. Sono solo preoccupato del fatto che le notifiche mail non vengono inviate.


#5

Circa le notifiche, hai modificato il setup con un nuovo server e email account di invio o stai usando quello di default?
Sul server puoi fare un bel tail -f /var/globaleaks/log/globaleaks.log e cliccare su “Test email” che invia una email di prova così da vedere nei log se c’è qualche problema specifico


#6

durante la configurazione iniziale ho modificato il setup del server di posta, inserendo i dati del nostro server aziendale di posta. I test iniziali hanno dato esito positivo. Non appena ho riavviato la VM, con le connessioni in uscita bloccate è terminata anche la funzionalità di notifiche mail. proverò ad utilizzare il comando che mi hai segnalato te. grazie


#7

Ok trovato l’errore nel log.

SMTP Connection failed (Exception: User timeout caused connection failure.)

Suggerimenti per risolvere? grazie


#8

Nel frattempo mi è venuta in mente una nuova domanda.

Non avendo conoscenze approfondite in ambito HTTPS, prima di effettuare tale configurazione è consigliabile permettere l’accesso alla piattaforma solo da rete TOR? O in ogni caso anche l’utilizzo della rete TOR richiede l’adozione del protocollo HTTPS?


#9

Rispetto a Tor/HTTPS:
Nell’ambito di compliance 190 per l’anticorruzione normalmente si abilita HTTPS (serve ip pubblico esposto su internet) e Tor è abilitato naturalmente.

Nella pagina web in cui si istruisce il whistleblower poi menziona sia l’uso di Tor che HTTPS come ha fatto ANAC (https://www.anticorruzione.it/portal/public/classic/Servizi/ServiziOnline/SegnalazioneWhistleblowing) o Transparency International Italia (vedi sezione “Informazioni su sicurezza e confidenzialità” su https://www.transparency.it/alac/) e tante altre iniziative che indicano l’uso di Tor come soluzione di massima sicurezza, per fare segnalazioni da casa in completo anonimato.


#10

Se puoi incollare l’intero pezzo di righe di log, per darci una occhiata più approfondita.

Che impostazioni SMTP ci sono? Perché se l’hostname / ip è interno, magari sta provando ad inviare tramite Tor verso un IP interno (che è ovviamente non raggiungible) e ti va’ in timeout.

Intanto potresti anche disattivare l’invio di notifiche tramite Tor (c’è un opzione apposta o nei settings di notifica o nelle impostazioni avanzate sulla anonimizzazione delle notifiche). Non ce la ho a colpo di mano che sono da mobile sul treno, ma se guardi fra le varie opzioni dovresti trovarla.

Let me know


#11

L’host/ip del server SMTP è esterno all’azienda ed ha indirizzo IP pubblico. Controllo la questione delle notifiche tramite TOR. Ti ringrazio nel frattempo e ti faccio sapere.


#12

Ho trovato solo la voce “anonimizza connesioni uscenti” in impostazioni di rete -> tor, ma risulta già disattivata. Faccio un’altra ricerca in tutte le pagine. vediamo se trovo qualcosa


#13

Nulla. Non riesco ad uscirne. Il sistema di notifica non va.

Questo è quanto viene scritto nel log di Globaleaks

018-07-11 16:43:29+0200 [-] Starting factory <twisted.mail.smtp.ESMTPSenderFactory object at 0x7f91c397b780>
2018-07-11 16:43:59+0200 [-] [E] [1] SMTP connection failed (Exception: User timeout caused connection failure.)
2018-07-11 16:43:59+0200 [-] [-] [1] 201 POST /admin/notification/mail 0B 30043ms
2018-07-11 16:43:59+0200 [-] Stopping factory <twisted.mail.smtp.ESMTPSenderFactory object at 0x7f91c397b780>


#14

Facciamo una bella prova, per scongiurare che possa essere il firewall a bloccare le connessioni in uscita:
0. Verifichiamo i log del kernel di iptables eseguendo il comando
dmesg | grep -i iptables

Condividiamo qui se ci sono delle regole di DROP.

Poi

  1. edita il file /etc/default/globaleaks
  2. Inserisci NETWORK_SANDBOXING=0
  3. riavvia il server

A questo punto globaleaks e il server ripartono senza iptables e se quello era il problema, dovrebbe essere risolto.

Fra l’altro a quel punto dovrebbe funzionarti anche firefox dal server per navigare su internet.

Let me know


#15

Buongiorno,

risolto il problema. Avevo configurato SMTP sulla porta 587. Non so perché ma al primo tentativo ha funzionato ed ora non va più. Ripristinato l’uso della porta standard 25 è andata. Ho fatto un test banale, che ieri non avevo fatto che è quello di collegarmi in telnet al server SMTP sulla porta 25 e sulla 587. La connessione sulla 587 non è andata. Ma come non è andata anche su altre postazioni presenti sulla rete aziendale. Probabilmente mi è sfuggita qualcosa durante la prima configurazione.
Quindi il punto 2 è risolto.

Ora mi serve un gentile supporto sulla questione HTTPS. Chiedo solo di sapere se quanto sto per scrivere è corretto:

  • Una volta terminati i test in locale, porterò la VM in cloud presso un ISP, con attestazione di indirizzo IP pubblico
  • Chiederò al gestore dei nostri DNS di aggiungere un nuovo record di tipo A per assegnare all’host con indirizzo IP pubblico un nome a dominio del tipo “segnalazioni.miodominio.it”

A questo punto posso tranquillamente avviare le procedura di configurazione (automatica) del protocollo HTTPS attraverso la console web amministrativa. Giusto?
Grazie ancora per il supporto e la pazienza.


#16

Suppongo invece che per un test locale del processo, cioè inserimento della segnalazione ed apertura della stessa dal messaggio di posta ricevuto dal recipient, sia necessario aprire la connessione sulla porta HTTPS della VM dove è installato globaleaks. Giusto?

Quando parlo di test in locale intendo sulla rete aziendale, per cui parliamo di indirizzi IP privati attestati su ogni macchina.


#17

Esatto, a quel punto sarà sufficiente seguire la procedura di attivazione del certificato digitale una volta configurato l’hostname.
Il certificato sarà automaticamente creato e aggiornato nel tempo tramite LetsEncrypt, senza dovere acquista certificati digitali commerciali.


#18

Per i test in locale è possibile andare in HTTP in chiaro, ma ci sarà sempre un warning che ricorda che fare una segnalazione in HTTP in chiaro è pericoloso e non deve essere fatto in produzione.


#19

Risolto anche per i test HTTPS in locale. Ho generato un certificato self-signed con openssl.
Credo di aver superato tutti i miei scogli iniziali. Grazie mille per la pazienza ed il supporto.
Ora mi butto a capofitto sulla configurazione della piattaforma, per cui sulla definizione dei vari oggetti (utenti, contesti, questionari, etc.). Se dovessi avere ancora bisogno scriverò ancora qui su questo topic. Credo sia inutile aprirne uno nuovo.

Nel mentre scrivevo mi è venuto in mente un dubbio. E’ normale, pur essendo su connessione HTTPS, che in homepage appaia l’allert

Si rileva che tu stia navigando il sito senza alcuna protezione addizionale per la tua privacy e sicurezza!
E’ caldamente consigliato di visitare questo sito utilizzando l’applicazione chiamata Tor Browser che protegge il tuo anonimato

Suppongo di si giusto?


#20

Si, l’alert è posto in modalità “conservativa” rispetto alla sicurezza perché il trasporto Tor, oltre ad usare Onion Protocol in luogo di HTTPS come cifratura, fornisce anche l’anonimato.

Dato che l’alert in questione può intimorire, è possibile disattivarlo tramite le impostazioni avanzate in configurazioni dove non c’è rischio di incolumità di vita nel segnalante, tipicamente compliance aziende pubbliche/private (ma considera che il software nasce con requisiti di sicurezza per uso nel sud del mondo in paesi poco democratici).

Facci sapere come è andata! :slight_smile: