Immagina di aver appena configurato il tuo nuovo NAS, tutto orgoglioso del tuo dominio nascosto e del certificato wildcard perfettamente configurato. Poi, un bel giorno, scopri che qualcuno sta bussando alla porta del tuo server interno con un hostname che esiste solo nel tuo file hosts.
Benvenuti nel mondo delle telecomunicazioni clandestine, dove il tuo NAS diventa involontariamente un informatore per Google Cloud.
La storia è semplice: qualcuno ha acquistato un NAS, lo ha configurato con un certificato TLS per un subdominio che non viene usato pubblicamente, e ha aggiunto un’entry nel file hosts. Qualche giorno dopo, però, si accorge che il server inizia a ricevere richieste da un host di Google Cloud con quel nome interno.
Come? Semplice: il NAS, nella sua infinita saggezza, ha deciso di inviare stack traces a Sentry.io, che poi ha pensato bene di fare un po’ di scansione TLS verso il tuo server interno.
Per noi smanettoni, questo è un promemoria: mai fidarsi di quello che fa il tuo hardware. Anche se sembra innocuo, potrebbe avere comportamenti strani e imbarazzanti.
La prima lezione? Se non vuoi che i tuoi nomi interni diventino virali, blocca tutto. Usa strumenti come Little Snitch per impedire al tuo NAS di fare telefonate indesiderate.
La seconda lezione? Se vuoi sperimentare, usa questo come spunto per testare la sicurezza del tuo setup. Provate a vedere cosa succede se configurate un DNS wildcard e monitorate le richieste in arrivo. Potreste scoprire cose interessanti.
E la terza lezione? Non chiamate mai i vostri server con nomi sensibili. “mycorp-and-othercorp-planned-merger-storage” è un po’ troppo esplicito, no?
In sintesi: il NAS è un dispositivo utile, ma come tutti i dispositivi, ha i suoi difetti. Sta a noi smascherarli e trovare soluzioni creative per gestirli.