Chi si occupa di IT e di sicurezza in questi giorno ha avuto il suo bel daffare nel rispondere alle domande di molti utilizzatori di sistemi informativi terrorizzati di essere oggetto di un attacco da parte di Wannacry.

Grazie al cielo per la maggior parte delle volte si è trattato solo di questo: l'Italia questa volta ha subito questo nuova infezione in modo assolutamente trascurabile.

L'estensione del fenomeno, comunque, è su scala mondiale, e i numeri dei sistemi infettati è talmente alto che da giorni i giornali ne parlano: per questo vorrei scriverne un poco sul mio blog analizzando alcuni aspetti che possono essere sconosciuti a chi non si occupa giornalmente di IT.

Inziamo con il dire che wannacry fa parte della tipologia di virus chiamati ransomware: questa tipologia di attacco (che molti esperti affermano non far parte propriamente della categoria virus) nella pratica cripta i file e li rende inutilizzabili. Altri nomi dello stesso virus sono WannaCrypt WanaCrypt0r e Wanna Decryptor.

La genesi dell'attacco è il seguente.

Una mail o un messaggio spedito in chat dotato di un allegato in grado di diffondere questo attacco viene inviata a un destinatario che, in modo improvvido, apre l'allegato stesso. Questo file di solito ha l'aspetto di un normale documento pdf o anche excel, e nulla di nulla fa presagire il suo contenuto malevolo: in realtà, però, contiene un codice eseguibile capace di eseguire l'infezione.

Quindi quando si apre questo allegato in modo silente il codice prende possesso di tutti i file che possono essere raggiungibili dalla macchina (sia locali che posti sulle share di rete) e li cripta in modo da renderli inutilizzabili.

Come noto in Sql Server le stored procedure possono essere scritte usando codice .Net, tramite l'ausilio della Sql Server CLR Integration.

In questo post esporrò la procedura pratica passo-passo per creare una stored procedure in C#, e utilizzando le funzionalità di Visual Studio 2017 che permettono di raggiungere l'obbiettivo in modo facile e intuitivo.

Quanto scritto vale perfettamente e identicamente (si può dire ?) anche per Visual Studio 2015.

Premessa

Non so Voi, ma a me spesso riesce difficile scrivere alcune stored procedure direttamente in T-SQL: infatto SQL è un linguaggio prettamente dichiarativo, e a volte molte elaborazioni necessarie per estrarre dati richiedono procedure prettamente procedurali.

Linguaggi dichiarativi->Sono linguaggi in cui si descrive il risultato che si vuole ottenere (T-SQL è uno di questi).

Linguaggi Procedurali->Si descrive come ottenere un risultato (C# per esempio).

Ora, come noto T-SQL permette anche di scrivere codice usando lo stile procedurale (vedi cursori, etc), ma per chi, come me, è abituato per il 90 % della sua giornata a usare C# e PHP, e quindi stili di programmazione prettamente procedurali, diventa difficile convincere il cervello a fare lo "switch" a codice dichiarativo.

Per tale motivo per qualche stored procedure particolarmente complessa non disdegno di usare la SQL CLR Integration, e quindi di scrivere stored procedure usando codice C#.

Devo osservare anche usare questo tipo di stored procedure può introdurre anche importanti benefici nelle perfomance: in alcune situazioni i tempi di esecuzione sono sensibilmente più brevi rispetto allo stesso codice scritto in T-Sql.

Fine Premessa (era inutile ??)

Il Common Language Runtime (CLR) è la base fondamentale di Microsoft .NET Framework ed è la parte delegata all'esecuzione di managed code ottentuta da linguaggi compatibili.

Sql Server si integra con il CLR usando la funzionalità CLR integration, che in sostanza si traduce nella possibilità di scrivere diversi elementi procedurali usando managed code, invece di T-Sql.

  • Stored procedures
  • Triggers
  • User-defined functions (UDF)
  • User-defined types
  • User-defined aggregates

 

Giorni fa ho avuto la malsana idea di spostare un sito web, perfettamemte funzionante da anni, in un nuovo hosting: l'esigenza era quella di dare maggiore risorse a quest'ultimo visto la grossa mole di traffico che provocava.

Il sito in questione è creato usando wordpress, e usando come plugin principale woocommerce: nulla di esotico o particolare, semplicemente un sito di web commerce che al completarsi di un ordine esporta un file csv che quindi viene importato (usando un software creato dalla mia azienda) nel gestionale e inoltra anche direttamente la relativa richiesta di spedizione ai trasportatori (usando i relativi web service e altro).

Come spesso accade una volta migrato il tutto...... qualcosa non funziona.

In particolare l'esportazione di detti file csv non funziona più, e la relativa attività rimane in stato Queing.

Forte del fatto che il plugin che esporta i file csv è a pagamento, e dispone di un customer service, apro il ticket per avere delucidazioni e aiuto.

Forte delusione: mi accorgo subito che il customer care di questo plugin è praticamente.... inutilizzabile.

Tutti consigli del tipo "controlla se la presa è attaccata, e se il problema permane sono c.... tuoi".

Siamo all'ultima puntata della serie di post dedicata al mondo COM. Qui fornirò solo alcuni ragguagli riguardo a come le informazioni dei vari COM Component sono posti all'interno del registro di sistema.

Ecco i posto precedenti.

Componenti COM: Introduzione - parte 1 di 6
Componenti COM: Le interfacce - parte 2 di 6
Componenti COM: Interface Definition Language .....anche chiamato IDL - parte 3 di 6
Componenti COM: vTable e dintorni - parte 4 di 6
Componenti COM: Early Binding e Late Binding, gioie e dolori - parte 5 di 6

Registro di sistema

Per poter utilizzare i componenti COM contenuti all'interno di un COM Server occorre registrare quest'ultimo nel sistema operativo ospitante: in tal modo verranno creati alcune voci nel registro di sistema che servono per poterlo utilizzare correttamente.

Questo processo di registrazione può avvenire utilizzando un sistema di installazione, che si occupa di copiare e creare tutte le corrette voci di registro, oppure usando il l'utility regsvr32, se il COM Server è di tipo dll. Usualmente se è di tipo exe, basta richiede l'esecuzione di questo e uno degli effetti ottenuti è la sua completa autoregistrazione in modo automagico.