• Ubunbtu 14.04 LTS Trusty Tahr

    UbuntuVersione importante in quanto si tratta di una Long Term Support.

    A differenza delle versioni normali, il cui supporto termina dopo nove mesi, le LTS vengono supportate per cinque anni, sia nella versione desktop sia nella versione server. Sono concepite per chi vuole un ambiente stabile e non è interessato alla corsa per installare sempre l’ultima versione disponibile. Le versioni di Ubuntu escono ogni sei mesi, ogni due anni una di queste è LTS.

    Trusty Tahr potrebbe essere una buona occasione per dare nuova vita ad un PC casalingo con XP (o anche con Vista) che non si vuole buttare via. In questo caso sarebbe buona cosa installare Ubuntu su un hard disk diverso da quello con su Windows assistiti da qualche smanettone che vi può seguire nell’operazione. Gli hard disk hanno prezzi accessibili e se si conserva il vecchio disco è sempre possibile tornare indietro a Windows nel caso in cui qualcosa vada male.

    Chi arriva dalla 12.04 LTS dovrà prima leggere attentamente tutte le note di rilascio e di aggiornamento dei software che ha installato, in quanto le novità sono davvero tante.

    Prosegui la lettura  Post ID 11422



  • Heartbleed e la PA italiana

    by heartbleed.comHeartbleed ha decisamente rubato la scena al fine del supporto di Windows XP.

    Secondo le analisi, non solo metterebbe a rischio i server, ma anche i client; nel dubbio, meglio cambiare le password e, se possibile, riemettere i certificati SSL/TLS.

    Dal momento che Siamo geek ha un database (scaricabile) dei siti della pubblica amministrazione italiana utilizzato per fare delle statistiche settimanali, ho pensato di utilizzarlo per vedere quanti server utilizzati PA sono vulnerabili.

    Queste sono le metodologie e i risultati. Prosegui la lettura  Post ID 11408



  • Questionario

    Tubo di lancio siluri / Torpedo tubeLavorate per una società che distribuisce software di contabilità?

    Siete le persone che intervengono presso i clienti (fisicamente o da remoto) per installare, aggiornare, o comunque manutenere quei software?

    Siete tra quelli che creano ogni volta un backup completo di tutto il programma anche se aggiornate un solo file?

    Il suddetto backup lo fate copiando tutta la struttura di directory in una directory con un nome casuale o comunque senza una logica che accomuna tutti i backup?

    Non cancellate mai i vecchi backup dei programmi che voi avete creato intasando il server e, soprattutto, i backup (quelli veri) che fa il vostro cliente?

    Se avete risposto a tutte queste domande sappiate che vi voglio male, vi odio e vi auguro le peggio cose ogni volta che devo mettere le mani sui server.



  • Heartbleed: anche le password

    by heartbleed.comAncora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti.

    Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze sono ovvie.

    Il consiglio a tutti gli utenti è quello di cambiare al più presto TUTTE le password di Home Banking, Facebook, Google, LinkedIn, PayPal, Amazon e di tutti i vari servizi in giro sul web a cui siete iscritti (specie quelli in cui c’è movimento di denaro o dati di carte di credito) perché potrebbero essere state compromesse. E’ difficile ma dobbiamo presumere per sicurezza che sia stato fatto.

    Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI! Se craccano il servizio esterno mettete in pericolo pure l’infrastruttura dove lavorate. Se l’avete fatto in passato occorre cambiare anche quella password (supponendo che le regole interne non vi obblighino già a farlo regolarmente).

    Mai, mai, mai, mai utilizzare la stessa password su più siti diversi. MAI! Se viene compromesso un sito possono (anzi lo fanno di sicuro) provare a vedere se lo stesso account è presente su altri servizi.

    Ad esempio se vi catturano la password di Facebook che mettiamo sia uguale a (esempio assurdo) quella del vostro Home Banking pensate che di essere al sicuro?

    Avere password differenti è importante, pensate al vostro portachiavi. Avete un unica chiave oppure una chiave per ogni porta che dovete aprire?

    Per quanto riguarda la complessità della password… lasciamo stare la teoria che vorrebbe password lunghe chilometri con ghirigori, maiuscole, minuscole, numeri, simboli, giravolte, sbirigudi ed antani. Proteggiamo pesantemente  (magari con l’autenticazione multipla e con SMS di avviso) l’account che per voi è fondamentale. Quello su cui magari vi arrivano le notifiche dagli altri account e tramite il quale possono accedere agli altri servizi. Per gli altri servizi si può utilizzare una password più semplice da ricordare (ATTENZIONE: semplice non significa banale o completamente idiota) e magari dove disponibile attivare sempre l’autenticazione multipla.

    Per fare un esempio recentemente è saltata fuori la storia di un giornalista a cui hanno rubato tutti gli account semplicemente perché sono riusciti ad introdursi nella sua posta elettronica. Una volta preso il controllo delle mail gli hanno cambiato le password di tutto, rubato gli account Twitter, Facebook, Google+ e i domini Internet dei propri siti web. Fate voi.

    E se pensate “a me non succederà mai perché chi vuoi che mi attacca a me” siete le vittime perfette. Pensate che la maggior parte di questi attacchi non sono mirati ma fatti con script automatici. A loro non interessa chi siete ma solo i vostri account.

    L’ho già detto “Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI!” ? Ve lo ridico giusto per essere sicuri.

    Fine del pippone.



  • Heartbleed: non solo i server

    by heartbleed.comQuando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.

    Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? :)

    Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.

    I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.

    La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.

    È quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.

    Aggiornamento 13 aprile 2014 – Uno script in Python permette di verificare se un client è vulnerabile.



  • Cosa ci serve?

    Capre / GoatsLa definizione chiara delle necessità è uno degli aspetti più trascurati quando si progetta di cambiare parte del sistema informativo.

    La ragionevolezza vorrebbe che quando si decide di cambiare o aggiornare una parte del sistema ICT si faccia un’attenta analisi della situazione attuale, delle necessità e dei fondi disponibili. Con questi dati si valutano assieme ai professionisti e ai fornitori le soluzioni tecniche disponibili che soddisfano le necessità, rientrano nel budget e si integrano il più possibile con la situazione attuale. Questa valutazione produrrà un elenco di una o più soluzioni tra cui verrà scelta quella da adottare.

    Sembra una procedura abbastanza ragionevole e lineare, anche se qui sopra è stata espressa per sommi capi e in maniera molto succinta. Prosegui la lettura  Post ID 11373



  • Heartbleed

    by heartbleed.comHeartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse.

    OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.

    Microsoft Internet Information Server non è interessato da questo problema.

    Tutto è cominciato nel 2012 con la release di OpenSSL 1.0.1 che introduce il supporto di RFC6520 e implementa l’heartbeat sulle connessioni TLS. Questa funzione serve a mantenere il canale aperto e impedire, quindi, che client e server debbano rinegoziare la connessione in caso di temporanea inattività. L’espediente dell’heartbeat o keep-alive è utilizzato in molti contesti in cui si invia un pacchetto dati senza informazioni con il solo scopo di resettare eventuali contatori di inattività.

    Il problema di OpenSSL è che una riposta al’heartbeat modificata ad arte può rivelare all’attaccante informazioni di vario tipo. Non è possibile utilizzare questa vulnerabilità per eseguire codice sul server remoto, ma questo non è certo un fattore mitigante, vediamo perché. Prosegui la lettura  Post ID 11360



  • Di informatica, burocrazia, sicurezza

    Isola del Liri torre del Castello Boncompagni - ViscogliosiLa burocrazia (etimologicamente: il potere dell’ufficio) è da più parti considerata un male; molti scritti autorevoli dimostrano anche che sia un fattore criminogeno.

    Tra IT e burocrazia è stata subito guerra aperta perché sono due discipline le cui filosofie stanno più che mai agli antipodi. Le caratteristiche di determinismo, rapidità e tracciabilità mal si sposano con chi inventa regolamenti per il puro gusto di farlo e tira in lungo per esercitare un potere meschino che non può durare.

    E non pensate che queste cose si verifichino solamente nel settore pubblico. Prosegui la lettura  Post ID 11353



  • L’amore ai tempi del computer… cambia!

    Qualche giorno fa sono stata al cinema per vedere Her (Lei). E’ il tentativo di esplorare il rapporto tra l’uomo e la macchina, un tentativo delicato e soffuso di malinconia. Non che non sia, ovviamente, a volte preda di momenti morti e comicità involontaria. E quella volontaria a volte lasciava perplessi… roba che il gatto di Schrodinger viene usato in maniera molto creativa in caso di ipotetico rilascio dalla sua scatola!

    Leggendone su wikipedia ho scoperto di un film di 30 anni fa esatti che cercava di fare lo stesso in maniera più scanzonata e creando un menage a trois con il computer Edgar ad intromettersi tra i due innamorati. Non l’ho ancora visto ma il dvd è stato preso e donato. Se ne prevede la visione a breve e spero di riuscire a tirare un parallelo migliore tra Lei ed Electric Dreams (1984). Intanto canzoni e trailer a confronto! Prosegui la lettura  Post ID 11343



  • Marketing

    • A new generation of computing equipment was introduced today
    • [...] represents a sharp departure from concepts of the past in designing and building computers
    • The result will be more computer productivity at lower cost than ever before.
    • This is the beginning of a new generation

    Domanda: riuscireste a capire quando sono state scritte queste parole?

    Risposta.



  • Houston abbiamo il codice sorgente

    AGC - Apollo Guidance Computer

    Nel 2009 dalle parti di Google, per festeggiare degnamente il 40° anniversario della missione Apollo 11, hanno trascritto il codice del Modulo di Comando (CM) e del Modulo lunare (LM) a partire dalle pagine scansionate del codice sorgente. Questo ha consentito di farlo girare nel yaAGC (un emulatore di AGC open source) del Virtual AGC and AGS project.

    Alcuni link al codice sorgente:

    Tutto questo ovviamente non sarebbe mai stato possibile se ogni più piccolo dettaglio delle missioni lunari non fosse stato minuziosamente documentato e rilasciato al pubblico dominio.

    (via archeologiainformatica.it)



  • Software obsoleto

    Grundig Studio RPC 500Da poco tempo si sono svegliati tutti, incluse le pubblicità con target generico, nel ricordare ad nauseam che è imminente la fine del supporto di Windows XP.

    Per quanto riguarda il sistema operativo di Microsoft c’è una pagina dedicata con tutte le informazioni, che verrà aggiornata in caso di novità.

    Nonostante secondo alcuni sondaggi relativi a fine marzo 2014 XP copra ancora il 20% dell’utenza di Internet, quel sistema operativo non è l’unico software obsoleto ad essere ancora in giro. Prosegui la lettura  Post ID 11327



  • Spam nell’oggetto

    SPAM nell'oggettoOgni tanto gli spammer riescono ancora a stupirmi.

    Ieri sera ho ricevuto una mail di spam riprodotta a lato il cui messaggio di spam era tutto nell’oggetto.

    Analizzando gli header, risulta che la mail è partita effettivamente da un account di Yahoo! giapponese, la cui validità è verificata anche dal DKIM, con buona pace di chi si illude che questa tecnologia possa servire ad evitare lo SPAM.

    Il malfattore ha utilizzato l’IP 41.207.194.14 della Costa D’Avorio per collegarsi al webmail di Yahoo! e inviare la mail.

    Se il sistema di filtro della posta elettronica lo permette e questo tipo di protezione non è già attiva, si potrebbe limitare la lunghezza dell’oggetto delle mail ad una dimensione ragionevole. Per la cronaca, la dimensione totale dell’header Subject della mail qui riprodotta è di 3501 byte.



  • Piccoli geek crescono (introduzione alla programmazione)

    Scratch

    Rimango continuamente stupito dalla facilità  dei nostri figli di apprendere l’utilizzo di nuove tecnologie.

    La loro generazione ha sviluppato un modello di apprendimento a ad hoc per riuscire a galleggiare nella tempesta di novità che la tecnologia mette in campo ogni giorno.

    E’ una generazione di “smanettoni”: per risolvere un problema o imparare ad utilizzare qualcosa non legge il manuale (che ormai non esiste quasi più), semplicemente prova una soluzione, se è sbagliata fa un passo indietro e ne tenta un’altra. Il risultato di tutto ciò è che la soluzione arriva rapida ed il bagaglio individuale si arricchisce anche di esperienze negative che saranno utili la prossima volta.

    Per molti aspetti questa è anche una forma di difesa verso una scuola pubblica che, incapace di rimanere al passo con i tempi, non è in grado di supportarli nell’apprendimento di cose nuove.

    Prosegui la lettura  Post ID 11319



  • Aggiornamento remoto del software

    ESA imageAggiornare software o configurazioni da remoto è oramai una cosa che facciamo in molti, tanto abbiamo sempre delle reti di protezione, più o meno comode.

    Ma quando l’oggetto da aggiornare si trova a 36 minuti-luce (655 milioni di chilometri) la situazione è leggermente diversa.

    L’oggetto in questione è il MIDAS che si trova a bordo della sonda europea Rosetta lanciata nel 2004 con la missione di intercettare e studiare la cometa Churyumov–Gerasimenko.

    La logica di controllo del MIDAS è rimasta in ibernazione dal lancio fino a poco tempo fa, quando è stata risvegliata in kernel mode, la modalità che permette di eseguire la manutenzione del software, incluso il caricamento di aggiornamenti o nuove versioni.

    Il blog della missione spiega alcuni dettagli tecnici sull’aggiornamento software, che ieri è andato a buon fine.



  • Anche i migliori sbagliano

    “Fatal accidents never happen because of just one mistake. It takes a whole chain of stupids lining up just so to put a full stop at the end of an epitaph.” (Charles Stross, Fuller Memorandum)

    Domenica 27 marzo 1977, pista dell’aeroporto di Los Rodeos, Tenerife. Un Boeing 747 della KLM si scontra con un altro 747 della Pan Am e causa il peggior incidente della storia dell’aviazione civile in termini di vite umane: 583 vittime e solamente 61 sopravvissuti, tutti del volo PanAm; nessuna persona a bordo del KLM sopravvive al disastro.

    L’articolo della Wikipedia italiana racconta bene i dettagli; per chi volesse cercarlo, su YouTube si può trovare il documentario prodotto nel 2006 da National Geographic.

    Come riassume bene la frase di Stross, l’incidente non è stato causato da un singolo evento, ma si è verificato a causa di una lunga serie di fatti e coincidenze.

    Prosegui la lettura  Post ID 11304



  • Sorgenti di MS-DOS 1.1

    ; 86-DOS High-performance operating system for the 8086 version 1.25
    ; by Tim Paterson

    Così inizia il file MSDOS.ASM dei sorgenti di MS-DOS 1.1  che iComputer History Museum ha reso disponibili assieme a quelli di Word for Windows 1.1a (nome in codice: Opus).

    Per quanto riguarda MS-DOS si tratta della prima versione disponibile agli OEM, in questo caso proviene dagli archivi della Seattle Computer Products. Questo sistema operativo si chiamava PC-DOS nella versione IBM e MS-DOS nella versione OEM.

    Sono sorgenti ovviamente in assembler ben commentati e alcune volte accompagnati da file di testo per chi vuole fare un po’ di ricerche archeologiche. Assieme a quelli dei tre file di sistema, ci sono i sorgenti delle varie utility distribuite assieme al sistema.

    Per chi ha lavorato con MS-DOS e ha cercato di aggirarlo, scardinarlo, ingannarlo per scrivere software e sapeva a memoria metà della la Interrupt List si tratta di una via di mezzo tra un tuffo nel passato e un ritorno nella casa d’infanzia.



  • Risolvere i nomi a casa propria

    by Paul MasonOgni server che ho installato da che ci sono le connessioni fisse a Internet ha sempre avuto un DNS server locale senza inoltro al DNS del provider.

    Il DNS è spesso visto come una bestia nera da parte di molti tecnici, secondo forse solamente al subnetting delle classi IP. Su Linux uno dei problemi di BIND è che nelle prime versioni non era esattamente verboso in merito ai messaggi di errore, anzi era del tutto ermetico, quasi binario: o partiva o non partiva e forse ti faceva la grazia di dire qual era la zona con l’errore, ma poi erano affari tuoi.

    Questo ha fatto in modo che, negli anni, molti tecnici abbiano sempre evitato di aver a che fare con la bestia e preferivano delegare ad altri la (ri)soluzione del problema.

    La risoluzione di un nome a dominio è una faccenda troppo delicata per essere lasciata in mano a terzi, specialmente da quando sono iniziati gli attacchi ai DNS.

    Le buone ragioni per avere un DNS locale sono molteplici e sono di gran lunga maggiori di quelle che consigliano di non averlo: Prosegui la lettura  Post ID 11279



  • Cosa dovrebbe fare un giornalista

    Solleticato da un post di Kazuma riguardante questo articolo dell’ANSA, ho provato a vedere quanto ci mettevo per capire quanto fosse fondato l’allarme suscitato dall’Associazione per la lotta all’elettrosmog che fa partire una causa al TAR del Lazio per costringere il Ministero della Salute a fare una campagna di sensibilizzazione.

    Il tutto parte del fatto che la IARC (Agenzia internazionale per la ricerca sul cancro) ha dichiarato che usare per 1.640 ore il cellulare aumenta del 40% il rischio di sviluppare un tumore al cervello.

    geek

    Avendo qualche minuto (davvero non tanti) sono andato sul sito di IARC per ottenere qualche riferimento allo studio e ho trovato un documento intitolato “IARC CLASSIFIES RADIOFREQUENCY ELECTROMAGNETIC FIELDS AS POSSIBLY CARCINOGENIC TO HUMANS” in cui i campi elettromagnetici vengono classificati nel gruppo di rischio 2B, perché aumentano il rischio di sviluppare il glioma. In questo documento vi è scritto: “The Working Group did not quantitate the risk; however, one study of past cell phone use (up to the year 2004), showed a 40% increased risk for gliomas in the highest category of heavy users (reported average: 30 minutes per day over a 10‐year period).” – Il gruppo di lavoro non ha quantificato il rischio, tuttavia uno studio sull’utilizzo del telefono cellulare (del 2004) ha mostrato un aumento del 40% del rischio di sviluppare gliomi tra coloro posti più in alto nella categoria dei grandi utilizzatori (media riportata: 30 minuti al giorno in un periodo di 10 anni).

    Ora veniamo alla categorizzazione dei rischi. Nella pagina delle classificazioni viene mostrata la lista:

    AGENTS CLASSIFIED BY THE IARC MONOGRAPHS, VOLUMES 1–109

    • Group 1 – Carcinogenic to humans – 113 agents
    • Group 2A – Probably carcinogenic to humans – 66 agents
    • Group 2B – Possibly carcinogenic to humans – 285 agents
    • Group 3 – Not classifiable as to its carcinogenicity to humans – 505 agents
    • Group 4 – Probably not carcinogenic to humans – 1 agent

    Secondo questa lista, quindi, il gruppo di rischio 2B contiene gli agenti che possono far sviluppare cancro negli umani (non che probabilmente lo fanno, come il gruppo 2A, ma che hanno possibilità di farlo). Giusto per completare il giro della morte, andiamo a vedere il documento in cui vengono elencati i fattori di rischio. Scorrendo la lista troviamo: estratto di Aloe vera (per via delle aflatossine), acido caffeico e caffè, cloroformio, estratto di ginkgo biloba e cipria per il corpo a base di talco.

    Di sicuro il detto “il troppo stroppia” è sempre vero ma ora come ora gli studi dicono che i cellulari fanno male quanto il caffè…



  • Operation Windigo

    Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.

    Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.

    Questa è più o meno la scansione degli eventi:

    • agosto 2011: il server di kernel.org viene compromesso (tornerà online in ottobre);
    • novembre 2011: Steinar Gunderson pubblica la prima analisi tecnica di Linux/Ebury, un trojan che colpisce i server ssh;
    • febbraio 2013: cPanel denuncia che alcuni suoi server sono stati infettati da Linux/Ebury; il CERT tedesco inizia ad avvertire alcune vittime del medesimo trojan;
    • aprile 2013: Sucuri pubblica la prima analisi tecnica di Linux/Cdorked, una backdoor che colpisce Apache, Nginx e lighttpd;
    • giugno 2013: viene trovato un nesso tra Linux/Ebury e Linux/Cdorked; l’analisi di frammenti di traffico rivela che Linux/Ebury ha infettato oltre 7.500 server;
    • luglio 2013: viene scoperto Perl/Calfbot, legato ai due malware di cui sopra;
    • settembre 2013: l’analisi del traffico rivela che Linux/Cdorked genera oltre un milione di ridirezioni in due giorni;
    • ottobre 2013: l’analisi del traffico rivela che oltre 12.000 server sono infettati da Linux/Ebury;
    • gennaio 2014: l’analisi del traffico di un C&C di Perl/Calfbot rivela che il bot genera 35 milioni di messaggi al giorno.

    Prosegui la lettura  Post ID 11262