L’articolo 10 contiene delle novità che potrebbero essere interessanti. Il condizionale è d’obbligo sia perché l’articolato potrebbe cambiare sia perché nel nostro ordinamento un decreto legge ha sì forza immediata dopo la pubblicazione in Gazzetta Ufficiale, ma deve essere confermato dal Parlamento entro 60 giorni dalla pubblicazione. Quindi aspettiamo a cantare vittoria.

Le novità interessanti sono due:

• cade definitivamente il tristemente famoso decreto Pisanu per l’identificazione obbligatoria di chi utilizza in WiFi nei locali in cui la connessione a Internet non rappresenta il core business (ad esempio locali pubblici, centri commerciali, negozi vari);
• viene cancellata quell’idiozia legislativa che obbligava a possedere un’oscura certificazione di installazione per connettere dispositivi in LAN.

Il testo definitivo del decreto non è ancora disponibile online, Stefano Quintarelli mi ha cortesemente fornito l’ultima copia disponibile per poter verificare il testo. (via Stefano Quintarelli)

AAA INFORMATICO CHE VUOLE MIGLIORARE IL MONDO CERCASI!
Sei uno smanettone che ha voglia di dedicare le sue capacità a una buona causa che potrebbe generare grandissimi benefici a chi ne ha più bisogno? Hai voglia di far partire un progetto su cui spendere un po’ di tempo nel mese di giugno e luglio? E avresti voglia di fare tutto questo aggratis?
Se la risposta a queste 3 domande è sì (cioè se sei uno che ne capisce di questioni informatiche, hai un po’ di tempo libero da ora fino a luglio, e hai voglia di farlo gratuitamente, visto che si tratta di fare del bene), allora sei la persona giusta per il progetto più giusto che ci sia!

Gratis. Ma che bella parola.

Non voglio, questa volta, rifare la stessa analisi fatta quando il sindaco di Parma, Federico Pizzarotti fece una simile richiesta. Sarebbe inutilmente ripetitivo e, sicuramente, ci sarebbe qualche paladino che sottolineerebbe come quella richiesta era sostanzialmente diversa da quella di questa signorina, visto che parla di una idea per “fare del bene“.

Quello che voglio fare è capire perchè questa tale Giulia Innocenzi richieda qualcosa che lei stessa non farebbe mai. Perchè lei chiede a qualcuno di lavorare gratis, quando lei stessa, nemmeno due anna fa, dichiarò in una intervista che:

“[...] Vorrei rimanere al fianco di Michele Santoro, sarebbe un piacere e un onore. Lui disposto a restare in Rai per un euro a puntata? Per quanto mi riguarda il lavoro deve essere retribuito: mi appassionata, ma devo pensare anche a campare! [...]“

Oltretutto lei stessa, su quest’ultima vicenda, scrisse nel suo blog:

[...] Ora, sfido chiunque a trovare una contraddizione in un’argomentazione del genere. Anche stare qui a spiegare perché il lavoro debba essere retribuito mi fa ridere, e quindi evito. Ci tengo solo a sottolineare che quelli di destra hanno la malsana idea che quelli di sinistra vadano avanti a bacche e latte appena munto, e quindi non abbiano bisogno di soldi per sopravvivere. Purtroppo ci servono, e quindi a un lavoro – solitamente – deve corrispondere uno stipendio, che uno voti Bersani o Berlusconi. [...]

Già, quello stipendio, quella retribuzione che tu, cara tale Giulia Innocenzi, non vuoi dare per un “tuo” progetto. E qui non si tratta di “braccino corto”. Qui si tratta di altro.

ps: sarà, ma quando si cercano “smanettoni” che “lavorino gratis” per un progetto che “farà del bene”, chissà perchè mi vengono in mente un bel paio di mutande di ghisa…

Questo nuovo velivolo ha subito numerose revisioni nella sua fase progettuale e, da un progetto conservativo basato sul A330, è diventato invece un prodotto innovativo destinato a rimpiazzare gli A330 e A340 e a competere o superare i nuovi aerei della rivale Boeing. L’A350XWB infatti è progettato per essere circo l’8% più efficiente nei consumi del Boeing 787, mentre la sua versione -1000 potrà vantare una autonomia massima superiore a quella del Boeing 777-300ER.
Il costruttore prevede anche di certificare questo aereo – primo al mondo – per ETOPS-350, mentre Boeing punta a certificare i suoi prodotti corrispondenti solo per ETOPS-330.

Chi si fosse perso la diretta dell’evento, può visitare il sito dedicato al volo inaugurale o visualizzare direttamente la lunga replica su Youtube che vi incorporo qui di seguito per comodità.

Vi ricordo che Airbus è una azienda di eccellenza che in soli 40 anni ha scardinato quello che sostanzialmente era un monopolio dell’industria statunitense sugli aerei commerciali. Nacque originariamente come un consorzio di aziende aerospaziali europee al quale l’Italia non volle aderire, perdendo così l’ennesima possibilità di crescita industriale.
Una breve storia commentata dell’Airbus e del ruolo che l’Italia (non) vi ha giocato è presente nell’interessante volume di Luciano Gallino La scomparsa dell’Italia industriale.

Video realizzato da Hélène Courtois, Daniel Pomarède, R. Brent Tully, Yehuda Hoffman e Denis Courtois che mostra in una mappa tridimensionale l’universo vicino a noi, fino ai 350 milioni di anni luce dalla Via Lattea, con la posizione di circa 30.000 galassie.

Nel video la distanza delle galassie viene espressa come velocità: la cosa è meno strana di quento si possa pensare se si tiene presente la legge di Hubble.

Conosco e utilizzo come SysAdmin BackupExec (BE) da quando era di Arcada; poi è passato a Seagate, quindi a Veritas, che è stata poi fagocitata da Symantec. Posso dire di avere un po’ di esperienza con BE. Per alcuni periodi ho utilizzato anche il backup di CA, ma è stato un calvario.

BE è sempre stato il software d’elezione per le realtà medio piccole: funzionava bene, era semplice e non aveva bisogno di due o tre tecnici-sacerdoti che lo curassero (qualcuno ha detto “Tivoli Storage Manager”?)

All’inizio BE era bello, semplice e comodo: si diceva al programma “ogni giorno a quest’ora mi fai la copia di tutto il server su questa unità nastro” e lui da bravo lo faceva e aggiornava il log delle attività. Bastava guardare nella consolle se c’erano delle righe rosse, tenere d’occhio il numero di byte copiati e il gioco era fatto.

Quando l’ha preso in mano Symantec è iniziata la fine: un sacco di roba inutile, una complicazione dopo l’altra e un carrozzone pesantissimo di bloatware. Fare un backup con BE è peggio che avere a che fare con la PA. La versione per gli ambienti virtuali ha un sacco di limitazioni e prima di farla funzionare bisogna buttare via dei giorni per capire dove sta il problema.

Non nascondo che la prima volta che ho sentito parlare di VEEAM ero un po’ scettico. Ratmir Timashev? Un backup fatto da un russo?

Tutti i dubbi passano quando si installa e si utilizza VEEAM. Il setup è avanti, avanti, avanti, fine. Una volta avviato vuole sapere dove mettere i backup (dischi locali, SMB, NFS… per lui va tutto bene) e quali sono gli hypervisor a cui attaccarsi. La creazione del job è lineare e rapida: quale VM (o quale datastore), che tipo di backup, quante copie tenere, dove metterle e quando fare il backup.

Start. Attesa della copia. Fine. Backup terminato.

Il bello della virtualizzazione è che si può virtualizzare quasi qualsiasi cosa e VEEAM quella cosa la copia. Certo, con i sistemi supportati riesce a dare qualcosa in più, come il VSS per Windows, ma non è un prerequisito fondamentale.

In tema di supporto applicativo, giusto ieri avevo un paio di minuti (letteralmente 120 secondi) prima della pausa pranzo e ho fatto vedere ad un collega il restore di un singolo messaggio di Exchange Server: doppio click sul backup, click destro sul set, selezione di Exchange, doppio click in sequenza sull’information store, la mailbox, il folder e click destro sul messaggio, con opzioni di ripristinarlo al suo posto, da un’altra parte o salvarlo come file MSG. Il tutto senza avere Outlook installato sul server. Meno di due minuti da un QNAP collegato a 1 Gbit.

Questo è ciò che mi piace di VEEAM: è semplice; in un sistema semplice ci sono poche cose che si rompono e quando se ne rompe una è facile da individuare. Ad esempio, il backup può dare errore se il NAS si riempie o non è accessibile oppure se si sbagliano le credenziali di accesso a vCenter, ma sono problemi facili da tracciare. Anche il restore, come ho evidenziato appena sopra, è molto semplice.

Ovviamente VEEAM non è tutto qui, ci sono moltissime altre caratteristiche da vero “wow effect”, una per tutti l’instant recovery, ma per quelle vi mando sul loro sito.

Nella fantascienza letteraria era famoso anche per i romanzi del ciclo della Cultura pubblicato per la prima volta in Italia dalla casa editrice Nord:

• La Mente di Schar, poi ripubblicato come Pensa a Fleba (Consider Phlebas, 1987)
• L’impero di Azad (The Player of Games, 1988)
• La guerra di Zakalwe (Use of Weapons, 1990)
• Lo stato dell’arte (The State of the Art, 1991)
• L’altro universo (Excession, 1996)
• Inversioni (Inversions, 1998)
• Volgi lo sguardo al vento (Look to Windward, 2000)
• Matter (2008)
• Surface Detail (2010)
• The Hydrogen Sonata (2012)

L’opera di Banks non si limita a questa saga, ma copre anche altri lavori.

Banks è stato un grande scrittore di fantascienza: il suo ciclo della Cultura è una vera opera di fantascienza ricca di sense of wonder.

Probabilmente tutti sapete della recente uscita delle linea di prodotti denominata BlackBerry 10 che è una vera rivoluzione nell’intera piattaforma.
Comprende infatti un nuovo sistema operativo non più basato su Blackberry OS ma ora su QNX, comprende nuovi apparecchi telefonici (per il momento solo di fascia alta , ma con almeno un modello di fascia bassa in arrivo a breve).  Sopratutto prevede un metodo di gestione dei dati completamente diverso dal precedente (solo incidentalmente vi ricordo che la piattaforma BB 5/7 con l’APN blackberry.net rimarrà in funzione al massimo per due anni, o meno a seconda del vostro operatore telefonico).
Non voglio fare qui un comunicato stampa sul BB10 e invito il lettore interessato a documentarsi sulla Wikipedia (o meglio ancora con il referente commerciale del proprio operatore, ammesso che ne abbiate uno che sappia fare il suo lavoro…), vorrei invece discutere di lezioni imparate.

Fino all’anno scorso, RIM (poi diventata formalmente BlackBerry) era un’azienda data per spacciata.
Nonostante avesse sostanzialmente inventato la e-mail da passeggio che fosse pratica, sicura e appetibile per le aziende circa dieci anni fa, non era riuscita a stare al passo con nessuna delle recenti rivoluzioni nel campo mobile. Non aveva un vero e proprio smartphone con cui competere con gli ormai ubiqui iPhone e Galaxy S, non aveva un tablet che potesse impensierire i due produttori dei precedenti prodotti; ciliegina sulla torta, l’elenco della App disponibili per la piattaforma BB era semplicemente risibile rispetto agli altri due colossi del mondo mobile. Molti commentatori scommettevano sulla fine del brand, della sua tecnologia e forse anche dell’azienda nel suo complesso.
BlackBerry si è risollevata da questa situazione imparando due lezioni importanti e reagendo in maniera appropriata.

Il primo errore da cui imparare è stata quello – commesso un po’ da tutti i protagonisti nel mondo della tecnologia – di non riuscire a vedere al di là del binomio vita privata/vita lavorativa: tutti i produttori di cellulari, computer, software e apparecchi vari, infatti, ci hanno abituato sempre a vedere la linea di prodotti consumer e quella professionale.
Negli anni ’80 e ’90 questo significava avere prodotti più sofisticati al lavoro e meno avanzanti a casa, ora la situazione è cambiata con prodotti che non si differenziano più per il livello di tecnologia o prezzo, ma solo per la destinazione d’uso.
Nel mondo del mobile, in particolare, non era inconsueto vedere in giro persone con due cellulari con il numero privato e quello di lavoro: quando i cellulari si sono evoluti in smartphone, con tutti i servizi associati, questa situazione era diventata evidentemente scomoda e poco sostenibile.
Da questa realizzazione è nata l’idea del Bring Your Own Device, ovvero il concetto secondo cui l’azienda dovrebbe aprirsi ai prodotti personali dei dipendenti, lanciando loro portare computer, cellulari, macchine fotografiche e similia provvedendo solo a fornire i servizi IT necessari per integrare le funzionalità lavorative in questi dispositivi. Alcuni analisti sostengono che il BYOD sia semplicemente inevitabile e che fra qualche anno sarà del tutto impensabile per noi di usare un prodotto tecnologico aziendale, così come la maggior parte di noi va in ufficio con i propri vestiti e non ha una divisa fornita dall’azienda per cui lavora.
Altri (tra cui il sottoscritto, per inciso) trovano che l’idea sia trattata in maniera troppo semplicistica e che nasconda insidie tecniche, organizzative e legali di non lieve entità.
Indipendentemente da come la si pensi, BB ha risolto il problema alla radice, implementando direttamente nel sistema operativo la funzionalità denominata Balance che permette con un gesto sullo schermo di passare da un ambiente personale a uno lavorativo il cui le applicazioni e il filesystem sono completamente isolate. Le politiche d’uso aziendali possono essere applicate ad entrambe le partizioni logiche, ma idealmente, una azienda potrebbe mantenere il suo perimetro sicuro e completamente controllato, lasciando invece totalmente libera la parte privata perché l’utente scarichi, navighi, scriva o ascolti musica come più gli aggrada.
Nelle presentazioni pubbliche, BB ha strizzato l’occhio al BYOD, ma a mio avviso lo ha fatto più per una questione di marketing che altro: in effetti la sua scelta tecnologica ha reso la questione irrilevante.
Che sia l’azienda a pagare il dispositivo e la sua connettività, lasciando poi l’utente libero di usare le due cose anche per scopi privati oppure il contrario, il risultato non cambia: l’azienda mantiene il pieno controllo, l’utente ha la massima libertà.
In un periodo di crisi economica delle aziende e delle famiglie, una possibilità tecnica del genere permette alle imprese, al contrario del BYOD, di fornire un benefit importate ai dipendenti. Un benefit che rappresentata un incentivo interessante per il lavoratore, ma che – con una scelta intelligente di contratti e bundle di apparecchi e traffico voce/dati – potrebbe non costare un euro in più all’imprenditore.

Seconda lezione importante: l’apertura ad altre piattaforme è fondamentale.
BB ha capito di avere sostanzialmente perso la battaglia degli smartphone cool dato che ormai i due modelli della concorrenza già citati sopra si spartiscono il grosso del mercato, lasciando le briciole agli altri. Ha capito che non può più imporre i propri prodotti, non solo al privato, ma ora nemmeno più all’azienda.
La maggior parte dei cosiddetti “esperti del settore” pensavano che BB non potesse nemmeno imporre i propri servizi. Non esattamente.
La versione 10 del componente server denominato BlackBerry Enterprise Server è in grado di gestire policy di sicurezza e operative non solo sugli apparecchi BB, ma anche su dispositivi iOS e Android (cellulari e tablet). Questo permette a un reparto IT di centralizzare la gestione delle politiche mobili e, meglio ancora, di utilizzare un solo prodotto per gestire più piattaforme.
Durante il BEF abbiamo assistito a una dimostrazione live della modifica di una policy dal BES10 a un iPhone e tutto ha funzionato in maniera sorprendentemente veloce e trasparente all’utente, dando l’impressione di un prodotto maturo che faccia esattamente quello che promette.
Nell’edizione milanese del forum abbiamo anche assistito a una dimostrazione fatta in precedenza solo all’evento lancio ad Orlando: la presentazione del prodotto denominato BlackBerry Secure Work Space.
Si tratta di una app disponibile per le piattaforme iOS e Android che permette di accedere alle caratteristiche funzionalità di un BB (la posta, il calendario aziendale, la navigazione tramite proxy e così via) tramite un qualsiasi apparecchio. di nuovo, questo software assicura il totale isolamento fra la vita privata (in questo caso tutto l’apparecchio meno questa applicazione) e il mondo aziendale che è protetto e gestito centralmente.

Non so in futuro se le ultime mosse commerciali di BB le consentiranno di prosperare e di sviluppare anche il proprio ecosistema, mi ha fatto piacere però vedere una tecnologia (apparentemente) matura, molto funzionale e costruita con un obiettivo logico in mente.
Per chi di voi fosse interessato a seguire il BB forum, vi suggerisco di tenere d’occhio l’hashtag #BEF13.

Secondo le prime analisi, sarebbe stata trafugata una parte del database degli utenti utilizzati per collegarsi al sistema di gestione dei server, sono state pubblicate anche delle FAQ in merito.

La compromissione sarebbe stata causata da una backdoor creata da un programma che gira in RAM e non modifica gli eseguibili. Ricorda qualcosa questa definizione? Da qualche decennio lo chiamiamo virus e da qualche decennio lo combattiamo con una famiglia di programmi nota come “antivirus”, quei programmi che si caricano all’avvio e tengono d’occhio il sistema per impedire che altri programmi facciano quello che non dovrebbero.

Ecco che chi si credeva al sicuro solo perché usava un determinato sistema operativo e un metodo basato sulle checksum dei binari si scopre improvvisamente vulnerabile ad un attacco portato con una delle più vecchie forme di malware.

Probabilmente (ma è un’ipotesi azzardata) Selinux avrebbe potuto mitigare il danno, oppure l’ha mitigato. Sto facendo un po’ di test sulla mia pelle (il server casalingo) con Selinux, appena ho qualcosa di concreto arriva un articolo.

Nel frattempo, giova ancora una volta ricordare che nessuno è al sicuro per il solo fatto di utilizzare un sistema operativo piuttosto che un altro.

La nuova serie prodotta dal canale di streaming sarà disponibile a fine 2014, per il momento è stata commissionata una stagione di dieci episodi.

Sense8 è stato ideato dai Wachowski, i creatori di Matrix, con la collaborazione di J. Michael Straczynski, creatore di Babylon 5.

L’unica notizia trapelata è che sarà una storia globale di menti legate tra loro e di una caccia alle anime, qualsiasi cosa voglia dire.

I Wachowski hanno raccontato che l’idea della serie arriva da una chiacchierata notturna svoltasi anni fa su come la tecnologia unisca e al tempo stesso divida le persone. Questo paradosso sarebbe il concetto fondante di Sense8.

Questa è la terza serie originale prodotta da Netflix. (via cnet)

Mi è capitato di dover sostituire tutti i dischi di una TeraStation iSCSI, spero che non capiti mai a nessuno di voi.

Le TeraStation partono con un Linux minimale su flash, che poi cede il controllo al firmware vero e proprio registrato sui dischi. Se il firmware su flash non riesce ad avviare quello su disco, il dispositivo parte in Emergency Mode, senza interfaccia http, telnet o ssh che sia.

Abituato ad altri NAS della medesima fascia di altri vendor (i QNAP, per non fare nomi), pensavo che la sostituzione di tutti i dischi e la creazione da zero di un volume RAID fosse una passeggiata. Povero illuso.

Il primo ostacolo è il sito di Buffalo, che fa di tutto per impedire di scaricare il firmware corretto, specialmente se il dispositivo non è più tra quelli in produzione. Fortuna che Google riesce ad aggirare l’interfaccia del sito e alla fine è possibile scaricare lo ZIP con il firmware e il software per caricarlo.

Se si lancia TSUpdater.exe contro una TeraStation con i dischi non configurati non si va da nessuna parte perché si riceve l’errore di partizione non trovata.

Sempre Google (non di certo Buffalo) viene in aiuto: bisogna aprire il file TSUpdater.ini e aggiungere queste due righe:

[SpecialFlags]
Debug = 1

Riavviando TSUpdater.exe non succede nulla di nuovo, ma se si fa click destro sulla barra del titolo della finestra (!!!) appare la voce Debug mode (D). Selezionata questa voce si può forzare la formattazione dei dischi e la creazione della tabella delle partizione, ma non è così semplice; questa che segue è la procedura che mi sono inventato perché non è documentata (o non ho trovato dove sia documentata).

• TSUpdater.exe con abilitato solamente le opzioni di inizializzazione, non quelle di aggiornamento, esecuzione dell’update che va in errore dopo circa 60 secondi
• Reboot della TeraStation.
• TSUpdater.exe con abilitato solamente le opzioni di inizializzazione, non quelle di aggiornamento,esecuzione dell’update che va in errore dopo circa 5 minuti al termine di quali la TeraStation pinga ma non viene rilevata da TSUpdater.exe, lasciatela andare.
• Dopo un bel po’ TSUpdater.exe rileva di nuovo la TeraStation, a questo punto è possibile fare l’installazione della ROM.
• Dopo un paio di reboot la TeraStation è di nuovo operativa ed è possibile collegarsi all’interfaccia. In giapponese.
• Dopo imprecazioni varie, il supporto di Google Translator e un po’ di fortuna è possibile rimettere la lingua in inglese e prendere il controllo della TeraStation.

Se state per comperare un NAS Buffalo, considerate delle alternative. Per il vostro bene.

Per onestà bisogna dire che Redmond condivide le colpe con gli sviluppatori che, negli anni, hanno deliberatamente ignorato le linee guida dettate per la scrittura dei programmi.

Già quando era uscito Windows 7 gli sviluppatori del sistema operativo avevano rivelato di aver tolto alcune limitazioni pressanti perché altrimenti molti software di terze parti scritti male non avrebbero funzionato e la colpa sarebbe ricaduta su Redmond anziché sul vero colpevole.

All’alba del 2013 mi capita di avere a che fare con pacchetto dichiarato compatibile con Windows 7 che fa cose turpi sul file system. Si badi: un pacchetto non scritto da un cantinaro, ma da una rinomata (anche se non nota al pubblico) società di software.

Immaginate un programma per *NIX fatto da una parte utente e un daemon. Immaginate che questo daemon scriva dei dati su un file creato ogni volta in /usr/bin il quale viene poi letto, modificato e cancellato dal software che interagisce con l’utente.

Come in *NIX, anche in Windows 7 esiste l’equivalente della /var dove tutti i software possono leggere e scrivere allegramente senza problemi: %APPDATA% e %ProgramData% sono lì per questo. In ultima analisi c’è sempre %TEMP% su cui scrivere e leggere. Ma perché vuoi scrivere proprio in %ProgramFiles% che non è fatto per quello?! Se il servizio e l’applicativo girano sotto contesti di sicurezza diversi, crea la tua brava chiave di registro sotto HKLM/Software e mettici i path dei file dati cosicché possano essere letti e interpretati.

Inutile anche discutere con questa gente perché sanno di essere in torto e tirano fuori le storie più assurde. Purtroppo certe cose si scoprono dopo aver acquistato il software e costa meno fare delle modifiche al file system che mettersi a litigare.

Nel caso in cui il sistema operativo forzi una legittima sicurezza del suo file system, gli autori e i distributori del software che non rispetta le regole faranno terrorismo psicologico contro il nuovo sistema operativo con idiozie tipo “non è sicuro”, “non funziona nulla” eccetera. Ricordate quelli che all’alba di questo millennio dicevano che Windows XP non era affidabile rispetto a Windows 98 perché non si poteva più fare il boot da un floppy MS-DOS per sistemare eventuali problemi?

Non lamentiamoci solamente con Microsoft se gli sviluppatori degli applicativi non leggono le specifiche.

La fanfiction è un fenomeno diffuso da decenni, esploso grazie ad Internet, che consente di condividere con altri i propri lavori ispirati ad opere famose a costo quasi nullo.

Spesso la fanfiction è uno dei modi in cui viene tenuto vivo l’interesse per una saga quando questa termina e non viene pubblicato più nulla dal legittimo detentore dei diritti.

La produzione di queste opere è un territorio minato dal punto di vista del modo in cui vengono fatti valere i diritti da parte dei detentori e ciascun titolare si comporta a modo proprio.

Amazon ha deciso di sfruttare questo fenomeno con Kindle Worlds, un servizio appena lanciato che permette di vendere legittimamente la fanfiction. Ovviamente ci sono dei paletti ben definiti, che potrebbero non piacere.

Il servizio per ora è limitato a tre saghe di proprietà della Alloy Entertainment del gruppo Warner: Gossip Girl, Pretty Little Liars e Vampire Diaries e altre sono in arrivo anche in altri settori dell’intrattenimento.

Kindle Worlds non è un servizio di self publishing come KDP,  ma Amazon agisce da vero e proprio editore. Quindi l’autore cede i diritti di pubblicazione ad Amazon, che riconosce all’autore una parte degli incassi, mentre l’altra parte va al detentore dei diritti dell’opera che ha ispirato la fanfiction. Inoltre non vengono pubblicate tutte le opere proposte, ma solamente quelle che passano una selezione, vedremo nel tempo quanto siano strette le sue maglie. Esistono delle linee guida per indirizzare gli scrittori secondo le quali non vengono pubblicate (ad esempio) crossover, storie con pornografia, violenza o storie con eccessiva pubblicità indiretta.

L’idea di Amazon potrebbe essere replicata anche da altri editori o dagli stessi detentori dei diritti; è indubbio che il fenomeno della fanfiction sia diventato mainstream grazie ad Internet.

Più o meno lo facciamo tutti (tutti noi che leggiamo o scriviamo le pagine di questo blog), qualcuno lo fa anche su dispositivi che dieci anni fa non esistevano nella forma attuale.

Quelle parole però vengo dal video di un servizio giornalistico del 1981. Cosa stavamo facendo nel 1981?

Nel 1981 (vado a memoria) stava nascendo il fenomeno degli home computer: tastiera, CPU, qualche migliaio di byte di RAM, un generatore sonoro e un modulatore per il collegamento alla TV. C’erano i primi videoregistratori, ma non erano ancora diffusi. In molti avevano ancora la televisione in bianconero perché in Italia le trasmissioni a colori esistevano da pochi anni.

Nel 1981 la Hayes metteva sul mercato il suo primo modem con il set comandi AT, che sarebbe diventato poi lo standard ancora in uso adesso.

In quegli anni a San Francisco qualcuno provava a far leggere il giornale da casa con un accoppiatore acustico, verosimilmente a 300 baud, che equivalgono a livello applicativo a meno di 30 byte al secondo. Il solo testo non formatto di questo articolo impiegherebbe 65 secondi per essere trasmesso. Secondo la giornalista, l’intero testo di un quotidiano veniva trasmesso in almeno due ore di collegamento (con le tariffe telefoniche a tempo); mantenendo l’ipotesi dei 300 baud sarebbero oltre 216.000 byte di testo.

Va notato che nel servizio non si fa riferimento ad alcuna funzione di ricerca che, avremmo imparato negli anni successivi, è una delle funzioni killer dell’elettronico.

Eppure adesso ci siamo in quel futuro del 1981; forse i giornali si sono già pentiti per aver fatto quelle sperimentazioni agli inizi degli anni 80. Adesso il giornalismo si interroga sul proprio futuro, a volte scrutando l’orizzonte e abbracciando un’ampia visuale, a volte osservandosi tediosamente l’ombelico.

L’annuncio è stato diramato ieri sera, ma solamente questa mattina ho potuto attivare l’autenticazione a due fattori sul mio account.

Bisogna innanzi tutto dare a Twitter il numero di un telefono cellulare e validarlo seguendo le istruzioni riportate. Non è obbligatorio validarlo, ma è preferibile farlo, in quanto quel numero diventa parte del metodo di accesso al proprio account. Io avevo già fornito a Twitter un numero di cellulare, che era già stato validato in precedenza; chi fornisce un recapito mobile per la prima volta è obbligato a verificarlo con una procedura diversa.

Dopodiché si può attivare il nuovo metodo di autenticazione abilitando l’opzione che si vede sopra disponibile appena sotto “Reimpostazione password”.

Una volta attivata la funzione, Twitter invia al numero fornito un SMS di notifica. Et voilà!

Finalmente anche Twitter dispone di un’autenticazione a due fattori, che riduce i problemi conseguenti alla violazione di account seguiti (e fidati) da molte persone.

Aggiornamento 26/5/2013 – F-Secure ha fatto delle prove e ha scoperto che il metodo utilizzato da Twitter è sensibile al SMS spoofing attraverso il quale si può disabilitare l’autenticazione tramite cellulare.

Ci sono persone che hanno forti convinzioni in tema di sicurezza informatica, nessuna delle quali sostenuta da prove scientifiche, ma solamente da una personale limitata esperienza o banalmente da ignoranza in materia.

Chi fa un lavoro come il mio si imbatte periodicamente in queste persone, la maggior parte delle quali operano in assoluta buona fede.

Quando si parla di WiFi il tema diventa più serio perché ad una rete senza fili si può collegare chiunque sia entro la portata dell’access point.

Un video di Sophos smonta tre miti della sicurezza casalinga o fai da te delle reti WiFi:

1. Se viene nascosto  il nome della rete (SSID) nessuno può vederla
2. Si possono bloccare gli accessi tramite il filtro dei MAC address
3. Si può usare il protocollo di sicurezza WEP

Se trovate una rete nascosta con un filtro sui MAC e la sicurezza WEP andate a stringere la mano a chi la gestisce

Nascondere il nome della rete non la rende invisibile e la scoperta del SSID richiede pochi secondi se un dispositivo sta utilizzando quella rete. Questo tutorial illustra come si possano utilizzare i tool di Aircrack per scoprire un SSID nascosto.

Il filtro dei MAC address è quello che dà il maggior senso di (falsa) sicurezza a chi non è esperto di networking, in quanto ritiene che il MAC sia cablato nell’hardware della scheda di rete. Niente di più ridicolmente falso. Su Linux basta il comando ifconfig per cambiare il MAC di una scheda, sotto Windows è uno dei parametri della linguetta Advanced delle proprietà della scheda di rete. Ovviamente i MAC sono visibili a tutti i dispositivi connessi ad una rete WiFi, quindi impostare sul proprio computer uno dei MAC autorizzati è qualcosa di veramente elementare.

Sulla non-sicurezza del WEP si è già detto e scritto tanto da oltre 10 anni a questa parte, se non l’avete ancora capito che non è da usare vuol dire che proprio lo fate apposta. Il WEP non deve essere utilizzato nemmeno in ambienti pubblici dove la password è nota e pubblicata perché quel protocollo non difende nemmeno la privacy degli utenti perché i pacchetti di un WiFi WEP sono sniffabili in chiaro. Utilizzare una rete WiFi WEP è come pubblicare letteralmente ai quattro venti il contenuto delle comunicazioni Internet.

Quando si deve mettere mano all’infrastruttura IT o se ne deve creare una ex novo è sempre importante partire da un progetto, indipendentemente dal fatto che si stia parlando di un piccolo server per tre utenti o di una multinazionale con sedi sparse in tutto il mondo (alcune delle quali in movimento).

Il progetto nasce da un dialogo (che all’inizio dovrebbe essere sedersi, ascoltare e prendere appunti) con l’utente finale. In questo caso il concetto di “utente” è molto ampio e dipende dal contesto, in quanto si va dall’utilizzatore vero e proprio al suo responsabile, al responsabile di livello superiore… Dipende dal contesto, ovviamente.

Il dialogo serve a capire quali siano i punti dolenti e anche quali siano gli sviluppi futuri, per evitare di acquistare un’infrastruttura che diventa inadatta dopo 6 mesi dal go live perché, ad esempio, viene sostituito il software applicativo su cui gira.

Al dialogo vanno aggiunti i dati tecnici rilevati dal campo, quelli di cui gli utilizzatori ignorano l’esistenza. Esistono tool specifici per analizzare metriche complesse come gli importantissimi (per gli ambienti virtuali) I/O al secondo (IOps), ma molte volte sono sufficienti per partire pochi dati per ogni server che possono essere raccolti in tempi relativamente ridotti:

• RAM attuale e futura;
• spazio disco attuale e futuro (se è disponibile un trend storico di crescita meglio ancora);
• licenza del sistema operativo e del software;
• dipendenze da hardware specifico (se il server è fisico).

Già con questi dati si possono coprire i progetti di ampliamento della maggior parte delle realtà italiane perché le grosse realtà pagano già eserciti di consulenti che fanno questo lavoro e presentano i risultati in gigabyte di file PowerPoint.

Una volta raccolti i dati si imposta un foglio elettronico con l’elenco dei server, la RAM e il disco da assegnare. Usando il tastino Σ si fanno un paio di totali, che indicano le ncessità delle macchine virtuali. La RAM dovrà essere incrementata e arrotondata opportunamente per far posto sia alle richieste dell’hypervisor sia ad eventuali necessità future: almeno un 20% in più del totale, ma è una cifra buttata lì. Discorso analogo vale per il disco, per il quale bisogna tener presente anche il fatto che le snapshot occupano disco e che non è mai bello essere a corto di spazio sul datastore di un ambiente virtualizzato: qui bisogna stare belli larghi.

Il totale dello spazio disco assegnato alle macchine virtuali è il totale massimo teorico di un’istanza di backup, ovvero la dimensione che avrà una copia disaster recovery di tutti i server. Questo è lo zero Kelvin della dimensione dello storage dei backup, in quanto è lo spazio massimo che può occupare una sola copia di tutti i server.

Ma noi non vogliamo avere una sola copia, che viene sovrascritta, vero?

I moderni software di backup dedicati agli ambienti virtuali utilizzano tecniche per ridurre lo spazio occupato dalle copie successive alla prima, come il reverse incremental; esistono anche alcune soluzioni di storage dedicati ai backup che hanno un proprio motore di deduplica interno e presentano a livello applicativo solamente una condivisione SMB, ma sono oggettini il cui costo base è dell’ordine dei 10.000 EUR.

Poi c’è il discorso delle licenze. Microsoft permette di licenziare fino a 4 Windows Server standard per ogni host (macchina fisica) con una licenza Enterprise, oppure infiniti server Windows per macchina fisica con una licenza Datacenter. Ci sono sistemi particolari nel conto delle macchine fisiche, ma questi sono dettagli del licensing di Microsoft che ci porterebbero fuori tema. Ovviamente molti Linux (CentOS, Debian…) non hanno bisogno di licenze.

C’e’ un ultimo scoglio da affrontare nel caso in cui si passi da un ambiente fisico ad uno virtuale: i fornitori del software applicativo. Ci sono molti fornitori del tutto ignoranti (in senso strettamente etimologico, sia chiaro) in materia di virtualizzazione; questi sono i tipici fornitori che, nel caso di un problema al loro software, diranno “è colpa di $piattaforma_di_virtualizzazione” e vi lasceranno in braghe di tela. In questi casi ci sono due opzioni: o si tace il fatto di aver virtualizzato un server (l’ho fatto anche con il tecnico che ha installato il software in sede) oppure si dialoga prima, mettendo bene in chiaro i termini.

Solamente dopo aver raccolto queste informazioni si può procedere ad una prima ipotesi di configurazione:

• quanti host?
• storage condiviso?
• quale licenza del sistema di virtualizzazione?
• quale software di backup e con che politiche?
• sono necessari ampliamenti nel networking?

Ovviamente queste sono macro-aree di esempio al cui interno ci sono altre decine di domande. Parimenti un cambio di configurazione apparentemente minimo potrebbe scatenare un effetto domino sulle licenze o sulle dimensioni degli storage.

Una volta fissate queste informazioni o stabiliti i limiti di oscillazione di alcuni parametri si può procedere alla formulazione di un’offerta commerciale e iniziare la trattativa economica.

Come si può vedere è l’esatto opposto di quello che succedeva anni fa quando il venditore diceva “ho questo modello in promozione, lo vuoi?”

Il concetto di “linguaggio” è molto elastico perché si va da C al CSS.

Ci sono delle idee veramente geniali, ne riporto di seguito alcune, ma il sito merita davvero una visita.

Il sito permette, ovviamente, di proporre delle proprie versioni dei film.

public final class EpisodeVI {
  public static Movie theJedi;
  public Movie starWars() {
    return theJedi;
  }
}

.titanic {
    float: none;
}

var name = ["James","Bond"]
alert(name[1]+', '+name[0]+' '+name[1])

man tail

while(!Harry.isDeadth()){
    if(deadthEaters[rand()].Kill(HarrysFriends[rand()])) ? Harry.Health -- : horcrux --;
    if(!horcrux)
        YouKnowWho.isDeadth() == TRUE;
    Hermione.sizeOfBoobies++;
}

cd planet_with_aliens && install -D -t /Nostromo/Kane alien && sudo ./Nostromo/Kane/alien

Public Sub StarTrekMovies()
     Dim intStarTrekMovie As Integer
     For intStarTrekMovie = 1 To 6
         If intStarTrekMovie Mod 2 = 0 Then
             MsgBox("Star Trek Movie #" & intStarTrekMovie & " was great!", , "Star Trek Movies")
         Else
             MsgBox("Star Trek Movie #" & intStarTrekMovie & " stunk!")
         End If
      Next
End Sub

import random as neo
if neo.choice(['red', 'blue']) is 'red':
    real_world.welcome(neo)

#tron {
   background-color: black;
   color: blue;
}

echo -e "IDDQDx0aIDKFA" > /dev/marine

Un po’ come le presentazioni dei prodotti Apple, la I/O è una conferenza sempre piuttosto interessante per gli argomenti discussi. A volte presenta buchi nell’acqua clamorosi - come il quasi defunto Google Wave, appunto presentato qui nel 2009 – ma è sempre un importante forum di discussione nel campo della tecnologia IT a cui vale la pena prestare attenzione.

Per chi non si fosse interessato alla conferenza in diretta, segnalo qui di seguito qualche link utile.
La pagina ufficiale dell’evento è https://developers.google.com/events/io/ mentre TechRadar ci presenta un esaustivo post riassuntivo sulle novità, con link a dettagli per ogni argomento.
Qui di seguito incorporo il video del keynote di apertura.

Il Vforum è un evento viaggiante in varie città in cui chi partecipa può entrare in contatto con le ultime tecnologie basate su quell’ambiente di virtualizzazione.

Quando sono arrivato ieri mattina ho visto da lontano all’ingresso del quartiere fieristico di Milano una decina di signorine in minigonna arancione. Avvicinandomi, ho capito che queste signorine stavano distribuendo delle lattine di “HYPER-Vitamin” (grassetto e corsivo come nella lattina).

All’inizio ho creduto in uno scherzo, ma poi la cosa è diventata chiara.

Microsoft pubblicizza il proprio sistema di virtualizzazione all’ingresso di un evento di VMware distribuendo lattine di aranciata con un nome che richiama la sua piattaforma.

Patetico.

Patetico perché non è più così (posto che lo sia mai stato) che si dimostra la propria presunta superiorità in questi contesti.

Non stiamo parlando di un prodotto desktop venduto nei supermercati, ma di qualcosa che sta alla base di computer room o data centre.

VMware non è l’unico attore in questo mercato, esistono (ad esempio) KVM e OpenStack con una nutrita base di installato e un loro ecosistema di sviluppatori e utenti.

Microsoft sta accusando il colpo perché Hyper-V si basa su un sistema operativo Windows, non è bare metal, VMware era così nella versione 2.0 Server; gli amministratori di sistema contano fino a 10 prima di affidare la stabilità del proprio data centre a queste piattaforme (ben note agli amministratori stessi) del cui kernel sono uscite recentemente notizie non molto edificanti. Anche la piattaforma di virtualizzazionne online di Redmond ha avuto problemi che fanno pensare alla sua stabilità.

Se qualcuno avesse dei dubbi, ecco cosa succede se si visita il sito pubblicizzato:

$ curl http://www.hyper-vitamin.it
<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="http://www.microsoft.com/italy/hyper-vitamin">here</a>.</h2>
</body></html>

ed ecco il whois del nome a dominio:

Domain:             hyper-vitamin.it
Status:             ok
Created:            2013-05-09 17:10:42
Last Update:        2013-05-09 17:40:21
Expire Date:        2014-05-09

Registrant
  Name:             Sibilla Ricciardi
  Organization:     Microsoft Srl
  ContactID:        7832047D81967610
  Address:          Via Rivoltana 13Palazzo A
                    Segrate
                    20090
                    MI
                    IT
  Created:          2013-05-09 17:10:41
  Last Update:      2013-05-09 17:10:41

Admin Contact
  Name:             Domain Administrator
  Organization:     Microsoft Corporation
  ContactID:        9951955D8152B220
  Address:          One Microsoft Way
                    Redmond
                    98052
                    WA
                    US
  Created:          2013-05-09 17:10:40
  Last Update:      2013-05-09 17:10:40

Technical Contacts
  Name:             MSN Hostmaster
  Organization:     Microsoft Corporation
  ContactID:        2033193D818A2859
  Address:          One Microsoft Way
                    Redmond
                    98052
                    WA
                    US
  Created:          2013-05-09 17:10:40
  Last Update:      2013-05-09 17:10:40

Registrar
  Organization:     CSC Corporate Domains, Inc.
  Name:             CSCDOMAINS-REG
  Web:              https://www.cscglobal.com/global/web/csc/home

Nameservers
  ns1.msft.net
  ns3.msft.net
  ns4.msft.net

Nei primordi della diffusione di Internet, in tema di accesso ai dati la Rete veniva utilizzata essenzialmente per pescare dai repository FTP di università o società per scaricare le ultime versioni di dati o programmi. La velocità di trasferimento era tale che venivano realizzate e vendute raccolte in CD-ROM con le copie dei siti FTP più famosi; chi ricorda ftp.cica.indiana.edu? Ci sono ancora in giro dei file (questo è datato 1998) che ne parlano.

L’esplosione del fenomeno Internet e la diffusione dei browser HTTP hanno avviato dalla seconda metà degli anni 90 l’abitudine di collegare tra loro diverse pagine HTML statiche attraverso i link ipertestuali. In questo modo venivano correlati tra loro i contenuti della Rete, fruibili tramite un’interfaccia unitaria (il browser) in grado di trasferire informazioni attraverso diversi protocolli interconnesse grazie all’adozione degli URI.

In seguito i contenuti sono diventati dinamici: si è passati dalle pagine testuali modificate a mano dagli autori a metodi che attingevano i contenuti da fonti diverse per integrarle, lato server, in pagine HTML fruibili dal browser. Generalmente, però, le pagine dinamiche di questo tipo attingono a fonti di dati di cui l’autore ha il controllo (quando non è lui stesso ad alimentare i database) o ha un accordo di utilizzo in concessione. Inoltre la correlazione e l’elaborazione dei dati avviene sul server, è, quindi, il fornitore, non l’utente finale, a decidere quali dati visualizzare. Eventuali dati provenienti da fonti esterne devono essere elaborati con procedure batch o similari; un esempio di questo tipo di elaborazione è la tabella degli IPv4 rimanenti presente nella colonna dei widget: ogni notte un programma scarica i dati grezzi, li elabora e li presenta in modo conforme alla grafica del sito.

Negli ultimi anni abbiamo visto la diffusione del concetto di open data, che non significa pubblicare una serie di dati in un formato arbitrario, bensì rendere disponibili quei dati attraverso una serie di API per permettere a chiunque di elaborarli in proprio. Pubblicare un PDF con la scansione bitmap di una pagina con una tabella potrebbe assolvere un obbligo o un impegno di pubblicazione dei dati, che, però, tali rimangono.

Per diventare informazione un dato deve essere elaborabile.

Ecco, quindi, una nuova frontiera dell’informazione, che si basa su Internet, utilizza quasi sempre il protocollo HTTP e permette di correlare i dati tra loro forniti in tempo reale direttamente dalla fonte.

Gli esempi di questo approccio sono tantissimi, dalle infezioni informatiche alle modifiche a Wikipedia apportate da utenti anonimi.

Avere a disposizione tramite protocolli standard un numero inimmaginabile di fonti primarie di dati per poterle elaborare a nostro piacimento: qualcuno ha detto big data?

Sono passati oltre 25 anni da quando la Adobe ha lanciato sul mercato due prodotti software che avrebbero definito il mondo della grafica non solo per gli anni, ma per le geenrazioni a venire.
Come tutti sapranno già, negli anni Adobe è cresciuta in maniera drastica anche attraverso l’acquisizione di altre software house storiche come Aldus e Macromedia.
Tutte le tecnologie acquisite e incorporate sono poi servite per ampliare la gamma di prodotti di grafica e di sviluppo dell’Azienda.
Nel campo dell’informatica penso sia difficile trovare qualcuno che non conosca la Adobe Creative Suite: un pacchetto in bundle che appunto incorpora una buona parte delle applicazioni.

La storia della CS è iniziata nel 2003 con la prima versione a cui ne sono seguite altre sei, ma, poco meno di dieci anni dopo, la vita di questo prodotto come pacchetto software è conclusa.
Durante l’ultima Adobe MAX Conference, infatti è stato annunciato che la CS6 non sarà mai aggiornata e rimarrà l’ultima versione pacchettizzata della suite, insieme con le versioni singole delle varie applicazioni che la compongono.

Adobe d’ora in poi punterà solo sul prodotto denominato Adobe Creative Cloud ovvero quel servizio che offre le funzionalità della suite non più come pacchetti software, ma con un modello di Software-as-a-Service.
La Creative Cloud prevede un abbonamento mensile  per l’accesso a una o più applicazioni, i listini dettagliati sono disponibili a questo indirizzo https://creative.adobe.com/plans?plan=individual&store_code=it

Il modello SaaS e il cloud in senso lato sono ormai concetti di moda e c’è più di una ragione per credere che molte aziende li propongano e sponsorizzino più per adeguarsi al trend commerciale piuttosto che per convinzione.
In questo caso specifico, la mossa di Adobe ha verosimilmente due obiettivi.
Il primo è quello di eliminare la pirateria: il servizio sul cloud infatti richiede naturalmente una connessione e un abbonamento validi per far funzionare i prodotti: togliere il software dal computer del “cliente” impedisce anche che venga crackato e attivato in maniera fraudolenta.

Il secondo obiettivo è quello di ottenere un flusso di denaro costante dal cliente.
In passato era necessario fidelizzare la clientela esistente, invogliarla e convincerla ad aggiornare ogni nuova versione del software per avere un entrata economica.
Ora non è più necessario: per usare i software è necessario pagare un abbonamento e continuare a pagarlo finché si vuole continuare a usarli, gli aggiornamenti sono inclusi, ma non c’è la scelta di poter usare una vecchia versione senza pagare costi in più, come si potrebbe fare con un prodotto pacchettizzato.

Ognuno può ovviamente trarre le sue conclusioni da questa mossa, a mio avviso più commerciale che tecnica.
Personalmente ho solo una speranza: che questa drastica rottura con il passato invogli ancora di più la comunità open-source a puntare sui prodotti di grafica migliorando quello che già di buono esiste e integrandolo sempre più.
Per quanto prodotti per la grafica vettoriale, raster e per il DTP esistano già in ambito FOSS, è ancora da venire una suite che rappresenti per la CS quello che OpenOffice e i suoi fork sono diventati per l’office automation.

È una settimana che attendo la consegna di un collo (quello che dovrebbe essere il mio nuovo telefono) che ha oramai percorso più chilometri di una sonda Pioneer innanzi e indietro perché chi consegna la merce non legge (non è chiaro se per incapacità o pigrizia) la nota presente nel documento di consegna che indica indirizzo esatto e campanello da suonare.

Oggi il supporto clienti di un rivenditore locale di una famosa società italiana che produce software gestionale mi ha rimbalzato tre volte per un problema di un cliente accampando scuse. Il problema l’ho risolto da solo e non avranno mai da me la procedura necessaria per risolverlo.

Sono due esempi di come l’equivalente della catena di deleghe, appalti e contratti abbia un clamoroso punto debole sull’ultima persona, che, in ultima analisi, rappresenta il marchio famoso di cui sta consegnando un oggetto o per cui sta supportando un cliente con un problema.

Mrketing e PR delle grosse organizzazioni possono fare tutte le pianificazioni che vogliono in merito al customer support e alla customer satisfaction, ma se poi scelgono fornitori, subfornitori e contractor basandosi solamente sul prezzo più basso o praticando politiche capestro per la riduzione dei costi, tutte le pianificazioni restano gran belle parole buttate lì su slide di PowerPoint il cui unico scopo è occupare dello spazio nello storage aziendale.

Perché alla fine è un corriere pagato (poco) un tot a consegna che magari non parla o legge nemmeno bene l’italiano a rappresentare la serietà e l’efficienza di un carrier telefonico così come è l’ultimo dei ragazzi co-co-co pagati una miseria con un training inesistente a rappresentare la serietà di una società italiana che fa pubblicità dei suoi software di contabilità sulle radio nazionali.

Insomma, stampo le mie etichette, e quando le tiro fuori dalla etichettatrice queste, a causa di un problema di caricamento del nastro, si portano dietro anche il nastro di inchiostro che viene usato per stamparle, appiccicato all’etichetta stessa. Quello che vedete nella foto e`, appunto, il nastro dell’inchiostro, dove sono perfettamente leggibili gli indirizzi ip e le password.Non e` che prima di ieri io non sapessi come funzionano le stampanti di etichette, ma vederlo davanti al mio naso me l’ha ricordato in maniera molto incisiva.

La prossima volta che butterete via il vecchio nastro dell’etichettatrice, fermatevi un momento a pensare.

Gli algoritmi omomorfici sono una famiglia di metodi di cifratura che, in teoria, permetterebbero di eseguire alcune operazioni sui dati cifrati ottenendo gli stessi risultati delle medesime operazioni svolte sui dati in chiaro. Ad esempio, Alice potrebbe eseguire una somma su alcuni valori registrati in maniera cifrata e Bob, e solamente lui, potrebbe decifrare il risultato.

Se si sostituisce Alice con un server online utilizzato per registrare i dati e Bob con l’utente legittimo titolare di quei dati, le implicazioni di una famiglia di algoritmi simili sono notevoli, in quanto potrebbero essere compiute delle operazioni sui dati cifrati senza che Bob debba consegnare ad Alice la chiave per decifrarli e senza che i dati di Bob debbano essere trasmessi o memorizzati in chiaro per l’elaborazione.

HELib implementa l’algoritmo omomorfico BGV (Brakerski-Gentry-Vaikuntanathan, PDF) con varie ottimizzazioni per renderlo più veloce ed è distribuita con la licenza GNU GPL. Per ora sull’account GitHub di Shai Halevi si trovano i sorgenti C++ della libreria e  qualche programmino di test, nulla più; non siamo ancora al livello di un’applicazione funzionante di cui si possono verificare caratteristiche e limiti.

Riconosco che quando è nato l’iPhone le reti cellulari non erano dei fulmini di guerra per la trasmissione dati, i siti non erano (più) ottimizzati per connessioni a bassa velocità e ovviamente non esisteva (ancora) il concetto di “versione mobile del sito”.

In sé la APP disaccoppia i dati dalla presentazione: la presentazione risiede staticamente sul telefono (client) e i dati vengono pescati dinamicamente dal server via http[s]. Questa tecnica riduce notevolmente il traffico dati perché la presentazione (la APP), che è la parte più cospicua dal punto di vista del traffico, viene trasmessa solo in fase di installazione/aggiornamento.

Ma c’è un pericoloso risvolto della medaglia: una APP è un vero e proprio programma che gira sul telefono a cui vengono concessi dei permessi di accesso da parte dell’utente (si spera in maniera consapevole). Senza contare il fatto che spesso una APP “presenta” dei contenuti del web, senza però offrire la possibilità di ricavare un riferimento ipertestuale (URL) a quei contenuti per trasmetterli o referenziarli altrove. In alte parole, rompe uno dei fondamenti del WWW.

Si può star qui a disquisire sull’opportunità di avere un sistema con più o meno granularità di permessi, ma alla fine la questione è una: le APP tendono a chiedere più privilegi di quelli che hanno bisogno, nel nome della oramai logora “migliore esperienza di utilizzo”.

Facebook è un chiaro esempio di questa espansione e trasformazione verso qualcosa che diventa onestamente eccessivo. Se si guarda l’applicazione per Android, i permessi richiesti sono poco giustificabili ad una prima analisi. Non sono, ovviamente, tirati a caso, ma l’applicazione di Facebook inizia a diventare onestamente troppo invasiva.

Tantopiù che è un’applicazione pachidermica che impiega un bel po’ di tempo a partire (ok, ultimamente meno di qualche mese fa) e va a ficcare il naso troppo negli affari dell’utente.

Ho provato ad andare su Facebook con il browser integrato in Android 4.1: la navigazione è stata trasferita automaticamente in https sulla versione mobile del social network. Il sito si è aperto all’istante e ho trovato le stesse cose che trovo nella versione desktop.

L’icona dell’APP sul desktop del telefono può essere sostituita dall’icona relativa alla pagina di Facebook registrata nei preferiti del browser; per fare ciò registrare https://m.facebook.com nei preferiti, visualizzare l’elenco dei preferiti, tenere premuto il riquadro relativo a Facebook e quando viene visualizzato il menu contestuale selezionare l’opzione che crea un link sul desktop (vedi immagine in apertura dell’articolo).

In questo modo se accedo a Facebook dal telefono non ho più un programma che va a vedere i miei contatti, non tenta di scoprire dove sono appena viene avviata, non guarda i log delle chiamate, non guarda le applicazioni che girano…

Certo, dalla galleria delle immagini non posso più selezionare il comando “Condividi su Facebook”, ma non sono (ancora) rincoglionito al punto tale da non essere in grado di allegare un’immagine dall’interfaccia web.

da tetrisconcept.net

Questo articolo illustra una strategia per giocare a Tetris finchè non va via la corrente o non si rompe il computer.

Se vengono soddisfatti alcuni prerequisiti molto poco restrittivi, la strategia può funzionare, a costo di una certa monotonia del gioco.

L’ambiente di gioco viene diviso in tre parti: due di quattro unità e una di due unità.

In una delle aree da quattro unità si crea un pattern con i pezzi S, T e Z; nell’altra area da quattro unità un pattern con i pezzi L, J e O. L’area da due unità è riservata ai pezzi I. (via BoingBoing)

Ho conosciuto Francesco e sono stato a casa sua a Londra. Non è un Don Chisciotte, ma una persona concreta con la testa sulle spalle.

Oltre a fare propri alcuni temi contro i DRM derivati da una semplice applicazione del buon senso, in un passaggio del suo articolo Francesco espone una tesi interessante:

Soldi e tempo, dicevo, due risorse preziosissime. Ma non c’è dubbio che il tempo sia la più preziosa delle due – se non altro perché puoi usare il tempo per creare soldi, ma difficilmente puoi usare soldi per creare il tempo.  E quindi anche chi legge senza pagare, anche il bieco pirata, ti sta dando fiducia. Anche lui merita qualcosa in cambio. Una buona storia, almeno, e anche… a questo punto l’avrete capito, fiducia.

Bravo Francesco e ben venga questa continua apertura da parte degli scrittori; del resto sono loro a proporre temi nuovi, a produrre idee e storie, non certo gli editori e i distributori; quindi sono gli autori che devono essere ascoltati quando parlano e spiegano.

Il programma supporta i più comuni formati di log NCSA (common, extended, combined) con o senza informazioni sul virtual host.

Ogni riga del log (quindi ogni richiesta http) è rappresentata da una pallina che percorre la finestra da sinistra a destra. Se si tratta di un errore, la pallina esce dallo schermo a destra, altrimenti viene rimbalzata da una racchetta stile Pong.

Sono disponibili i sorgenti per Linux che possono essere compilati senza problemi anche su MacOS e l’eseguibile per Windows. È necessario il supporto di OpenGL.

Qui c’è un video di esempio dell’output del programma, la musica è stata aggiunta in postproduzione.

È possibile visualizzare un file di log in differita oppure alimentare Logstalgia via stdin tramite tail -f  di un log in tempo reale; avete un monitor appeso nella computer room che non sapete come impegnare?

In questo caso si tratta di una backdoor attivata tramite la sostituzione del file /usr/local/apache/bin/httpd (il programma vero e proprio di Apache) con uno infetto. Per rendere più difficile la rimozione del file compromesso, httpd viene marcato come immutabile.

Ovviamente il file compromesso ha la stessa data e ora di creazione di quello originale, rendendo impossibile utilizzare questo semplice metodo per rilevare la versione compromessa. A parte l’uso di lsattr per verificare se /usr/local/apache/bin/httpd è immutabile, si può dare il comando

grep -r open_tty /usr/local/apache/

Se l’esito è positivo, il sistema è compromesso perché i programmi originali di Apache non contengono chiamate a open_tty.

La versione infetta di Apache ha un comportamento molto subdolo, che rende difficile per un amministratore riconosce di essere stato infettato: solamente una volta al giorno per ogni indirizzo IP del client Apache serve assieme alla pagina una ridirezione HTTP 302 verso un sito che tenta di iniettare del malware nel client per tornare poi alla pagina originale. L’URL verso cui viene ridiretto la vittima cambia di volta in volta: ESET ne ha individuati oltre 30.000

Oltre a fare questi simpatici scherzetti ai client, la versione compromessa di httpd crea una backdoor per l’accesso al sistema.

Linux/Cdorked.A dimostra, se qualcuno non l’avesse ancora capito, che non esistono piattaforme immuni dal malware. Anche fare una questione di numeri lascia molto il tempo che trova perché un server compromesso con cPanel a bordo interessa decine (se non centinaia) di web host differenti, ciascuno con centinaia (se non migliaia) utenti. Il tutto con una singola infezione. Se numericamente i malware per Linux sono minori, questi fattori moltiplicativi rendono assai pericolosi ed estesi i loro effetti.

Va anche sottolineato che è stato individuata cPanel come vittima, una scelta strategicamente molto efficace. Questo pannello di controllo è pensato per utenti (e anche gestori di server…) che non hanno una conoscenza approfondita di Linux. (via ISC)

Si tratta di una soluzione basata su HTML e JavaScript, disponibili su qualsiasi piattaforma con un browser.

Vengono visualizzati i dati con tre colori: in verde i ping verso gstatic.com, in blu quelli verso apenwarr.ca e in rosso eventuali errori.

gstatic.com risolve in un indirizzo anycast di Google, che dovrebbe garantire statisticamente un host sempre raggiungibile abbastanza vicino e, quindi, veloce; apenwarr.ca è invece un normale host unicast.

Per provare blip sul proprio dispositivo si può visitare gfblip.appspot.com oppure inquadrare il QR code qui a lato.

Blip può essere utilizzato in maniera visuale anche al posto di un ping continuo quando si stanno testando apparati di rete, anche modificando il sorgente per pingare host differenti: i due host sono definiti alla fine del file blip.js. (via Stefano Quintarelli)

Il tema dominante di questa versione è stato il miglioramento delle prestazioni e la diminuzione delle richieste di memoria da parte dell’interfaccia grafica.

Tra gli aggiornamenti di questa release si possono ricordare:

• Linux kernel 3.8.8
• Unity 7
• Upstart 1.8
• LibreOffice 4.0
• CUPS 1.6.2 e cups-filters 1.0.34 con una migliore gestione delle stampanti di rete
• Python 3.3

Il downloader per Windows non è stato incluso in questa versione a causa di vari bachi, tra i queli alcuni problemi con Windows 8, al suo posto si può utilizzare la versione live.

A quanto pare permane il problema della copia di file di grandi dimensioni via LAN attraverso gvfs.

Raring Ringtail verrà supportata solamente per 9 mesi, la nuova durata del supporto per le versioni non-LTS.

Arrivederci ad ottobre con Saucy Salamander.

Ma solamente chi scarica w3con dispone della stessa visualizzazione con interfaccia carattere.

Il programma in Python legge il feed JSON di F-Secure che pubblica in tempo reale i dati del malware rilevato dalle varie versioni loro software.

Anche se l’ideale sarebbe farlo girare su un vero monitor CRT si può sempre tenere attivo il programma in una finestra dedicata o in un’area di tmux per impressionare gli utenti che osano gettare lo sguardo sui nostri video.

Quando ho commentato che certe notizie dovrebbero essere verificate prima di reagire qualcuno ha risposto “se non ti fidi di AP, di chi ti fidi?”

Osservazione più che mai legittima, ma bisogna vedere cosa si intende per “AP”.

Nel caso specifico dell’account Twitter, la fiducia non è verso l’autorità e la serietà del titolare dell’account (AP), ma la fiducia viene riposta nel fatto che nessuno riesca ad hackerare quell’account e che tutti i twit siano conformi con le notizia di AP; in ultima analisi, ci si fida della tenuta della password scelta da AP per amministrare l’account Twitter.

Abbandonando il caso di AP, ci sono molte organizzazioni con account sui social media che hanno molti contatti. Uno spammer o un malintenzionato potrebbe essere attratto da account con molti contatti perché potrebbe inviare spam o malware personalizzato per colpire più efficacemente.

Questi episodi dimostrano ancora una volta che una password da sola non basta, ma serve almeno un’autenticazione a due fattori. Dico che la password non basta perché quelle più complesse e difficili da ricordare vengono scritte in posti noti, specialmente se condivise tra varie persone, vanificando la forza della password.

Aggiornamento 29/4/2013 – Anche l’account Twitter del Guardian è stato hackerato. Un motivo in più per non fidarsi dei twit senza una controverifica.

Aggiornamento 17/52013 – E pure Sky News. È ovvio che gli account molto seguiti fanno gola. Prima verrà imposta, almeno agli acount verificati, un’autenticazione a due fattori meglio è.

WebP è un formato aperto rilasciato con la licenza BSD sviluppato da Google rilasciato a partire dal settembre 2010.

Questo formato è un contenitore basato sul formato RIFF; i formati contenitore, come ad esempio TIFF, WAV, AVI, permettono di avere molti sistemi di codifica dei dati e dati di tipo differente in un unico formato. Ovviamente il programma di visualizzazione o riproduzione deve conoscere gli algoritmi di decodifica (codec) per interpretare ogni formato previsto dallo standard o dalle sue evoluzioni. Con questo metodo è anche più semplice includere informazioni addizionali come i metadati di un’immagine.

WebP prevede due diversi tipi di codifica delle immagini, una con compressione a perdita di informazioni e l’altra con compressione senza perdita di informazioni; entrambi i metodi supportano la trasparenza.

Opera e Chrome supportano direttamente WebP, Firefox ci sta arrivando. Per Windows da XP Service Pack 3 in avanti è disponibile un codec di sistema per visualizzare le immagini WebP nei programmi che supportano Windows Imaging Component.

WebP produce file di dimensioni inferiori rispetto agli altri formati esistenti con qualità analoghe o migliori. Dal momento che, in termini di byte trasmessi, la grafica è la parte preponderante di una pagina web, l’adozione di WebP potrebbe avere come effetto immediato quello di avere statisticamente una performance migliore nell’accesso ai siti.

Il problema per un utente quando vista un sito che mostra immagini WebP con un browser compatibile è che, se salva le immagini, potrebbe avere difficoltà a visualizzarle sul propri computer o a condividerle con altri finché il formato non diventa popolare.

Se il vostro browser supporta WebP dovreste riuscire a vedere un pinguino con trasparenza:

Quel movimento rappresenta (si spera) solamente i propri iscritti. Punto.

Mettiamo bene in chiaro una cosa: nessuno ha dato mandato in modo palese o tacito a quelle persone di rappresentare gli utenti Internet italiani, né quelle persone hanno un diritto morale, legale o acquisito per rappresentare legittimamente gli utenti Internet.

Come è giusto che sia, gli utenti di Internet hanno idee varie e, se mai dovessero avere uno o (meglio) più organi di rappresentanza, queste entità avrebbero lo scopo di sostenere le istanze degli utenti in quanto tali.

Quando un qualsiasi movimento politico si esprime lo fa (si spera) a nome e conto dei propri iscritti con le regole discusse (si spera) e accettate dagli stessi, siano questi stati reclutati con tavolini per strada, siti web, visite a casa, passaparola.

Giusto per evitare che un partito politico diventi per Internet l’equivalente dell’ACI per gli automobilisti.

Clic qui prego

Il mastice magnetico può essere acquistato qui.

From left to right, members of Slayton’s audience are Deputy Director/Flight Operations Howard W. Tindall (standing), Director/Flight Operations Sigurd A Sjoberg, Deputy Director/Manned Spaceflight Center Christopher C. Kraft, and Director/Manned Spaceflight Center Robert R. Gilruth. 15 April 1970 (credit: NASA/ALSJ).

Più o meno una spina quadrata in un buco rotondo: il successo della missione Apollo 13.

Il titolo fa riferimento a questa scena del film, che ha reso bene l’idea di come siano andate le cose, con alcune licenze poetiche obbligate dal formato cinematografico.

In questi giorni di aprile del 1970 la missione dell’Apollo 13 passava dalla terza passeggiata sulla Luna da fare dalle parti di Fra Mauro ad una missione per riportare a casa vivi James Lovell, Kenneth Mattingly Jack Swigert e Fred Haise.

Non ho mai nascosto che questa sia la missione che mi ha più affascinato tra quelle della corsa alla Luna.

È qui che abbiamo la prova della perizia e della grande professionalità di tutte le persone coinvolte, da Gene Kranz all’ultimo ma non ultimo tecnico. In un inciso vorrei far notare che Kranz aveva 37 anni quando ha gestito con successo gli eventi dell’Apollo 13, un’età che i nostri governanti attuali considerano “giovane”.

È durante la gestione della crisi causata dall’esplosione della bombola di ossigeno numero due che abbiamo visto davvero un gruppo di persone che hanno lavorato in concerto per risolvere un problema. Qualcosa che trascende la comprensione molti consulenti di team building dei nostri giorni.

Aggiornamento 12:30 – Un’altra bella immagine che mostra lo stadio del Saturn, l’astronave Apollo 13 e la nube di ossigeno creata dopo l’esplosione della bombola numero due:

A telescopic photograph showing the Apollo 13 spacecraft in trans-lunar trajectory in the distant sky. Arrows point to the spacecraft, to the oxygen cloud, and to the expended Saturn V third stage. Apollo 13 was tracked at the Manned Spacecraft Center (MSC) using a 16 inch Schmidt-Cassegrain telescope with an IO television camera with an S-20 type IO tube, mounted in place of the eyepiece. The TV camera information is stored first on a data disc and played back on a viewing monitor from which this photograph was taken (credit: NASA).

Aggiornamento 17/4 – Ecco com’è apparso il service module una volta che il command module ancora agganciato al lunar module si è separato per il rientro:

This view of the severely damaged Apollo 13 Service Module (SM) was photographed from the Lunar Module/Command Module (LM/CM) following SM jettisoning. As seen here, an entire panel on the SM was blown away by the apparent explosion of oxygen tank number two located in Sector 4 of the SM. Two of the three fuel cells are visible just forward (above) the heavily damaged area. Three fuel cells, two oxygen tanks, and two hydrogen tanks are located in Sector 4. The damaged area is located above the S-Band high gain antenna. Nearest the camera is the Service Propulsion System (SPS) engine and nozzle. The damage to the SM caused the Apollo 13 crew men to use the LM as a “lifeboat.” The LM was jettisoned just prior to Earth re-entry by the CM (credit:NASA).

Chi scrive ha una cospicua esperienza di traslochi di sistemi informativi, che va da un server spostato alla stanza a fianco ad una decina di rack con annessi e connessi spostati dalla Svizzera tedesca al canton Ticino.

Quando un’organizzazione si sposta la parte informatica e telematica ha oramai un ruolo importante, anche se molti non addetti ai lavori credono che spostare un’infrastruttura IT sia come spostare una fotocopiatrice.

Il trasloco è un’operazione complessa che deve essere coordinata, cercherò di analizzare alcuni aspetti, basati molto sull’esperienza acquisita sul campo.

L’aspetto più importante è far circolare le informazioni e condividere la pianificazione delle attività tra i vari attori in gioco. Più che mai è vera la frase if you fail to prepare prepare to fail.

Riunire attorno ad un tavolo il personale IT, gli impiantisti e gli addetti al facchinaggio non è una perdita di tempo, ma è essenziale per una buona riuscita dell’operazione nei tempi previsti.

Durante un’operazione di spostamento di un ufficio ciascuno vede solamente il proprio problema e stima i tempi partendo dal presupposto che tutto il resto funzioni. Questo è una delle ragioni principali che portano al mancato rispetto dei tempi e a inutili giochi di scaricamento di responsabilità.

Gli utenti devono essere ben informati del periodo di blackout e devono capire che non possono abbandonarsi a scene isteriche usando frasi che contengono “urgente” ogni tre parole perché vogliono recuperare un documento che si sono dimenticati di salvare o inviare una mail che si sono dimenticati di spedire. Questo deve essere chiaro: ogni scena patetica utilizzata per scavalcare la pianificazione estende i tempi della pianificazione.

Per quanto riguarda le linee telefoniche e, soprattutto, Internet, la cosa migliore è avere nel luogo di destinazione la linea già pronta e testata (dal personale IT) al momento del trasloco. Se qualcuno ha concordato con il fornitore della connettività un “cambio al volo che in un’oretta siete online”, bisogna fare in modo di avere i recapiti del tecnico responsabile dell’operazione e avere sotto mano nel cellulare tutti i dati del contratto e i numeri di telefono. Per quel che ho visto, la Telecom sfora di mezza giornata rispetto alle promesse e Fastweb a Milano sulle proprie linee è abbastanza rispettoso dei tempi.

La sequenza degli oggetti da spostare dovrebbe essere discussa con la ditta di facchinaggio. Chi fa quei lavori usa un proprio metodo basato su vari fattori, tra cui l’ottimizzazione dello spazio sui mezzi di trasporto. Spesso i server  con annessi e connessi sono gli ultimi ad essere spenti e smontati e i primi a dover essere riassemblati e riattivati. Per questo è necessario concordare con i facchini la disponibilità di qualcuno di loro per un viaggio speciale per trasportare i server.

Ovviamente non verranno trasportati server e backup tutti sullo stesso carico, vero?

Alcuni SysAdmin utilizzano i propri mezzi per trasportare parti critiche dell’infrastruttura perché “non si fidano”. Attenzione che questo deve avere il consenso dei responsabili; inoltre se proprio si vuole trasportare qualcosa da soli meglio che sia il backup, lasciando i server alla ditta di facchinaggio, che, in caso di incidente, è assicurata.

Un altro aspetto riguarda l’attrezzatura. Prima del trasloco è bene procurarsi un surplus di cavi di rete, cavi di alimentazione e ciabatte multipresa che è bene trasportare nella nuova sede appena prima del trasloco e tenerli in un posto sotto chiave. Per gli attrezzi bastano un cacciavite multipunta e un coltello svizzero Victorinox, con l’accortezza di non abbandonarli mai perché quelle sono le tipiche situazioni in cui le cose spariscono misteriosamente. Quando si riassemblano i server, la stanza non deve mai essere lasciata aperta non presidiata; è brutto presumere la colpevolezza altrui, ma better safe than sorry.

Per la riattivazione dei servizi, calcolare bene i tempi di boot e le dipendenze dei vari server. Un firewall o un server possono impiegare anche 5 minuti ad essere operativi e non sempre si può accendere tutto assieme, ma bisogna rispettare una sequenza precisa per evitare di dover riavviare dei server e sprecare altro tempo.

Il periodo durante il quale viene fatto il trasloco è importante. Di solito si tende a concentrare i lavori tra sabato e domenica, se va bene si parte venerdì pomeriggio e magari durante un periodo di festa. Se questo riduce i tempi di fermo per un ufficio, bisogna tener presente che in quel periodo i fornitori sono chiusi e i call centre di supporto non rispondono. Inoltre durante il periodo estivo e natalizio la chiusura potrebbe protrarsi per dei giorni oppure i fornitori potrebbero non avere immediatamente disponibili dei materiali. Valutare bene questi rischi.

Gli utenti sono un discorso a parte. Bisogna cercare di ottenere la planimetria dei nuovi uffici con la disposizione delle scrivanie quanto prima per poter correggere eventuali errori, come il fatto che la fotocopiatrice ha bisogno di un cavo di rete perché non è solamente una fotocopiatrice. Verificare anche di avere una scorta di cavi di rete da 3 e 5 metri perché si finisce sempre per avere la torretta da un lato della scrivania e l’utente che vuole il PC dal lato opposto.

L’ultima parola è sulle stime dei tempi. Le persone vogliono farsi belle durante le riunioni e tendono a buttare lì stime che vanno tra lo spensierato ottimismo e la fantascienza più estrema. L’errore che si commette più di frequente è presumere che se una persona scava una buca in un minuto, 60 persone la scavano in un secondo e 30 persone ben motivate la scavano in mezzo secondo. Ci sono necessariamente dei tempi morti e degli eventi esterni imprevedibili (traffico, semafori tutti rossi, difficoltà di parcheggio). Se non è vero che tutto va male, non è nemmeno pensabile che tutto possa andare bene: sono entrambe le due code di minima probabilità della gaussiana. È, invece, assai probabile che qualcosa vada male: se non possiamo prevedere cosa vada male, possiamo ragionevolmente presumere che qualche intoppo ci sia e, quindi, includere nella stima dei tempi qualcosa in più per gli incidenti. Quanto sia questo qualcosa è per me difficile dirlo. Oramai lo stimo a occhio, ma non ho ancora sviluppato una formula deterministica.

Il consiglio che mi sento di dare è: state larghi con i tempi, non fate i supereroi del trasloco perché tanto non serve.

Dopo l’8 aprile 2014 non ci saranno più aggiornamenti di Windows XP, come oggi non ci sono più aggiornamenti per Windows 2000.

Prima di festeggiare, giova ricordare che da quel giorno eventuali vulnerabilità che verranno scoperte non saranno più corrette. Da quel giorno chi usa ancora Windows XP sarà lasciato a se stesso perché utilizza un software oramai obsoleto. I computer con Windows XP collegati direttamente a Internet saranno un possibile danno per tutti perché potrebbero diventare dei veicoli di attacco contro altri utenti.

C’è un anno di tempo per pianificare la sostituzione dei Windows XP con qualcosa di più nuovo.

Purtroppo molti fornitori di software approfittano di questa necessità per costringere i clienti a pagare cifre importanti per un aggiornamento: c’è un anno di tempo per negoziare l’aggiornamento con il fornitore, facendo ben capire che esiste la concorrenza.

Se Windows XP fa parte di un sistema di produzione che non può essere cambiato, c’è un anno di tempo per valutare come isolare la parte di produzione con un firewall.

Da oggi Siamo Geek visualizza il conto alla rovescia nella colonna dei widget per ricordare quanti giorni rimangono per abbandonare un sistema oramai vecchio. Il conto alla rovescia è cominciato. (via Microsoft Security Blog)

Da NameCheap (uso quel fornitore come esempio, ma si trovano anche altrove) si possono prendere i Comodo a 7,95 dollari/anno o i GeoTrust a 9,49 dollari/anno. Con questi prezzi la domanda da porsi è se abbia ancora senso usare dei certificati auto emessi.

Ci sono situazioni in cui i certificati di questo tipo non possono essere utilizzati. Ad esempio, se si vuole certificare non un host, ma tutti gli host di un intero dominio si sale di prezzo di un ordine di grandezza.

Quando si vuole certificare un servizio che gira da solo su un host con un singolo nome come alternativa al certificato auto emesso questi certificati sono l’ideale.

Questi sono alcuni vantaggi:

• costano poco, quindi sono adatti anche per dei test;
• non hanno bisogno di carta o procedure burocratica particolari perché l’autenticazione si basa sull’invio di mail;
• in 5 o 10 minuti dall’inizio della procedura si dispone del certificato pronto all’uso;
• entrambi i fornitori che ho provato offrono ampia e dettagliata documentazione per installare i certificati su varie piattaforme, trovate anche qui un articolo per Linux.

I certificati SSL a basso prezzo hanno, ovviamente, alcune limitazioni:

• sono garantiti da una CA intermedia, il cui certificato deve essere installato sull’host assieme a quello acquistato;
• bisogna poter creare indirizzi email (o alias) sul dominio che si vuole certificare: è a uno di questi indirizzi scelti dall’emittente che verrà inviato il certificato.

Questo tipo di prodotto è l’ideale per certificare il proprio mail server o in tutti quei contesti in cui si vuole dare ai propri utenti qualcosa in più a costi ridicoli.

Qualche settimana fa, nel menu di una certa pizzeria che fa consegne a domicilio, in cui vengono elencati sia i supplì che i supplì al telefono, ho notato quella che consideravo un’incoerenza: i supplì al telefono non fanno il filo, mentre i supplì sì. Stando alla “norma”, dovrebbe essere esattamente il contrario.

Poi, l’altro ieri, ho avuto un’illuminazione tipicamente da geek. Chi ha compilato quel menu dev’essere nato (come me) in un’epoca in cui tutti i telefoni dovevano necessariamente essere collegati via filo. Il cuoco, invece, dev’essere nato più di recente, e probabilmente non ha mai visto un telefono di quel genere. Oggigiorno, fra cordless casalinghi, cellulari e satellitari, parecchi telefoni sono senza filo.

Viviamo in un’epoca wireless, cari miei, e anche i supplì al telefono devono adeguarsi…

Tutti ne parlano.

In pochi hanno una vaga idea di cosa sia veramente.

In pochissimi l’hanno provato e anche loro non ci hanno capito molto.

E nessuno di loro usa gli opportuni sistemi di protezione.

[Sperando che nel mondo non ci sia chi voglia cominciare una partita...]

La prima notizia è che Google, per fronteggiare la crisi economica galoppante, ha deciso di aggiungere un nuovo layer a Google Maps.
Questo strato, denominato Treasure può essere selezionato con il solito pulsante in alto a destra e consente appunto ai più arditi tra i noi di lanciarsi alla scoperta di tesori e di usare quindi l’aiuto informatico per trovare fortuna.
Affrettatevi ad utilizzare questo strumento perché, pare, potrebbe non essere più disponibile fra qualche ora.

Seconda novità, di nuovo da Google è che YouTube chiuderà i battenti questa sera.
Sì, avete letto bene: il sito, nato come contest per selezionare il migliore video amatoriale su internet, ha deciso di completare la sua missione iniziale e quindi di non accettare più la pubblicazione di nuovi video, ma di dedicarsi alla selezione del migliore video in assoluto.
Qui di seguito vi incorporo il video con cui si annuncia la chiusura:

e, in questo canale live, le nomination

Per chiudere l’argomento Google, oggi veramente vulcanica nel rinnovo della sua offerta, parliamo anche del nuovo servizio Google Olezzo.
Questo strumento che è brevemente definito come “il tuo sommelier personale” promette di rivoluzionare il modo in cui fruiamo dei servizi web, integrando finalmente un nuovo senso nella nostra esperienza online.
Il servizio è ancora in beta, tuttavia possiede già la funzione SafeSearch inclusa per filtrare gli odori sgradevoli.

Quarta e ultima importante notizia – che interesserà tutti gli amici Trekkers in modo particolare - è l’uscita del nuovo numero del Nacelles Monthly Magazine, datato Marzo 2259.
L’anteprima di questo numero, ancora sponsorizzato da TrekMovie, è disponibile in un post sul sito.
Vi ricordo che anche la precedente uscita era stata preannunciato sullo stesso sito.
La rivista è la pubblicazione di punta sulla tecnologia delle gondole a Curvatura ed è stata oggetto anche di una discussione da parte dell’ubiquo JJ Abrams a proposito del reboot del 2009:

The key is to appreciate that there are purists and fans of “Star Trek” who are going to be very vocal if they see things that aren’t what what they want. But I can’t make this movie for readers of Nacelles Monthly

Certo di avervi fatto un gradito servizio con queste quattro chicche, vi auguro buona giornata

Problema: identificare un semplice test che permetta di capire quale sia il ruolo adatto di una persona all’interno di un’organizzazione.

Tanto tempo fa quando era la fonte delle informazioni sul mondo dell’informatica, BYTE aveva pubblicato un articolo in cui veniva proposta una semplice soluzione: assegnare al candidato il compito di andare in Africa a cacciare un elefante bianco.

Il matematico si reca in Africa, scarta tutto quello che non è un elefante bianco e prende uno a caso di ciò che rimane.

Il matematico esperto tenta di dimostrare l’esistenza univoca di almeno un esemplare di elefante bianco e, se ha successo, eseguirà l’algoritmo del matematico come esercizio.

Il professore di matematica dimostra l’esistenza di almeno un esemplare di elefante bianco e lascia il compito di catturarlo come esercizio agli studenti.

L’informatico crea un Algoritmo A così definito:

1. Andare in Africa
2. Posizionarsi su Capo di Buona Speranza
3. Attraversare il continente da ovest a est e viceversa facendo un passo verso nord al raggiungimento dell’oceano
4. Ad ogni passo catturare ogni animale in vista, compararlo con un elefante bianco noto e fermarsi se la comparazione ha successo.

L’informatico esperto colloca un elefante bianco dalle parti del Cairo per assicurarsi che l’algoritmo termini con successo.

Il programmatore Assembler esegue l’Algoritmo A procedendo a carponi.

L’ingegnere si reca in Africa e caccia animali bianchi a caso, fermandosi quando ne trova uno che pesa come un elefante bianco medio, più o meno 15%.

L’economista non caccia elefanti perché pensa che, se vengono pagati a sufficienza, si cacciano da soli.

Lo statistico caccia N volte il primo animale che vede e lo chiama “elefante bianco”.

Il consulente non caccia elefanti, bianchi o grigi che siano, e magari non ha la benché minima idea di cosa sia la caccia, ma emette fattura per una consulenza oraria con lo scopo di insegnare alle persone come si cacciano gli elefanti bianchi.

Il consulente della ricerca riesce anche a valutare la correlazione tra il colore del proiettile, il suo calibro e l’efficienza delle strategie di caccia all’elefante bianco, se solo qualcun altro riuscisse ad identificare un elefante bianco.

Il politico non si sporca le mani nella caccia, ma sarà ben felice di condividere l’elefante cacciato con tutti coloro i quali hanno votato per lui.

L’avvocato non va a caccia di elefanti bianchi, ma ne segue i branchi discutendo in merito a quale membro del branco appartengano gli escrementi lasciati indietro.

L’avvocato esperto di cause sul software dice di possedere un intero branco di elefanti bianchi esibendo come prova l’aspetto e il colore dei loro escrementi.

Il manager anziano attua una politica aziendale di caccia all’elefante bianco basandosi sull’assunto che un elefante sia come un topo di campagna, ma con una voce più profonda.

L’ispettore del controllo qualità ignora ogni tipo di elefante bianco e si concentra sugli errori commessi da altri cacciatori durante la preparazione della jeep utilizzata per la caccia.

Il venditore non ha la benché minima idea di cosa implichi cacciare un elefante bianco ed impegna il proprio tempo a vendere gli elefanti che non ha ancora cacciato in modo che siano consegnati al cliente due giorni prima dell’apertura della stagione della caccia all’elefante bianco.

Il venditore di software spedisce al cliente la prima cosa bianca che gli capita a tiro ed emette fattura per la vendita di un elefante bianco.

Il venditore di hardware si procura una lepre, la dipinge di bianco e la vende al cliente come elefante bianco da scrivania.

Buona caccia.

Innanzi tutto la risposta alla domanda legittima: cosa diavolo viene amplificato in questo attacco?

L’amplificazione consiste nella differenza tra i byte che l’attaccante trasmette alla vittima e quelli che la vittima trasmette indietro. In altre parole è la differenza tra la banda necessaria per portare l’attacco e la banda che viene consumata sui server della vittima.

Un ipotetico attacco portato ad un server FTP ha un fattore di amplificazione vicino all’unità perché se vogliamo occupare la banda in upload del server FTP ci vuole anche qualcuno che abbia altrettanta banda in download per accettare i suoi pacchetti TCP.

Differente è un attacco portato ad un server DNS: con una query di poche decine di byte via UDP si ottengono risposte molto importanti, ecco un esempio:

$ dig -t ANY siamogeek.com +edns=0

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6.3 <<>> -t ANY siamogeek.com +edns=0
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61880
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 5, ADDITIONAL: 25

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;siamogeek.com. IN ANY

;; ANSWER SECTION:
siamogeek.com. 3601 IN SOA dns1.registrar-servers.com. hostmaster.registrar-servers.com. 2012101500 3600 1801 604800 3601
siamogeek.com. 1800 IN MX 10 mx.insconsulting.biz.
siamogeek.com. 583 IN A 78.47.70.164
siamogeek.com. 583 IN AAAA 2a01:4f8:d15:1c00::beef
siamogeek.com. 1800 IN NS dns3.registrar-servers.com.
siamogeek.com. 1800 IN NS dns1.registrar-servers.com.
siamogeek.com. 1800 IN NS dns2.registrar-servers.com.
siamogeek.com. 1800 IN NS dns5.registrar-servers.com.
siamogeek.com. 1800 IN NS dns4.registrar-servers.com.

;; AUTHORITY SECTION:
siamogeek.com. 1800 IN NS dns2.registrar-servers.com.
siamogeek.com. 1800 IN NS dns1.registrar-servers.com.
siamogeek.com. 1800 IN NS dns4.registrar-servers.com.
siamogeek.com. 1800 IN NS dns5.registrar-servers.com.
siamogeek.com. 1800 IN NS dns3.registrar-servers.com.

;; ADDITIONAL SECTION:
mx.insconsulting.biz. 322 IN A 78.47.70.164
mx.insconsulting.biz. 322 IN AAAA 2a01:4f8:d15:1c00::badd:ecaf
dns1.registrar-servers.com. 153476 IN A 69.16.244.25
dns1.registrar-servers.com. 153476 IN A 38.101.213.194
dns1.registrar-servers.com. 153476 IN A 50.7.230.26
dns1.registrar-servers.com. 153476 IN A 66.90.82.194
dns1.registrar-servers.com. 153476 IN A 68.233.250.45
dns3.registrar-servers.com. 153476 IN A 67.228.228.216
dns3.registrar-servers.com. 153476 IN A 173.224.125.12
dns3.registrar-servers.com. 153476 IN A 184.173.112.216
dns3.registrar-servers.com. 153476 IN A 188.138.96.213
dns3.registrar-servers.com. 153476 IN A 204.45.254.2
dns2.registrar-servers.com. 153476 IN A 208.64.122.244
dns2.registrar-servers.com. 153476 IN A 208.64.122.242
dns4.registrar-servers.com. 153476 IN A 184.171.163.91
dns4.registrar-servers.com. 153476 IN A 184.173.147.66
dns4.registrar-servers.com. 153476 IN A 37.58.77.234
dns4.registrar-servers.com. 153476 IN A 50.23.83.48
dns4.registrar-servers.com. 153476 IN A 173.236.55.99
dns5.registrar-servers.com. 153476 IN A 213.229.119.229
dns5.registrar-servers.com. 153476 IN A 69.160.33.75
dns5.registrar-servers.com. 153476 IN A 72.20.38.137
dns5.registrar-servers.com. 153476 IN A 95.211.9.35
dns5.registrar-servers.com. 153476 IN A 188.138.2.23

;; Query time: 33 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 30 11:02:31 2013
;; MSG SIZE rcvd: 748

748 byte ricevuti, oltre dieci volte la dimensione del pacchetto inviato. Ho scelto il nome a dominio di questo blog, ma se si prova con altri nomi si possono superare i 3.000 byte di risposta, con un fattore di amplificazione di quasi 50 volte.

Siccome il protocollo DNS viaggia prevalentemente su UDP, è anche facile contraffare il mittente del pacchetto, in quanto l’UDP non richiede un handshake come il TCP, facendo in modo che le risposte non vengano inviate all’attaccante, ma a qualcun altro.

I guai sono tutt’altro che finiti. Come dall’inizio di Internet fino a pochi anni prima della fine del millennio scorso era normale che un server SMTP accettasse mail da tutti, così adesso continuano a proliferare i cosiddetti open DNS, ovvero i server DNS che rispondo a query da tutta Internet in merito a qualsiasi nome a dominio (query ricorsiva).

Secondo l’Open DNS Resolver Project attualmente 25 dei 27 milioni degli open DNS disponibili su Internet sono utilizzabili concretamente per un attacco di DNS amplification.

In altre parole, un botnet di zombie controllato da un’associazione criminale potrebbe sfruttare questi 25.000.000 di server DNS per portare un attacco analogo a quello che ha colpito Spamhaus.

Chi gestisce un server DNS potrebbe disabilitare la ricorsione o limitarla solamente agli IP della propria rete (BIND, Microsoft DNS). Chi deve o vuole proprio lasciare aperto il server DNS può limitare la frequenza delle risposte del server (solamente per BIND). Chi usa server differenti può sempre RTFM.

The Measurement Factory offre una serie di tool e i link ad una serie di siti che possono aiutare i SysAdmin a verificare le configurazioni dei loro DNS.

Per verificare se il server DNS all’indirizzo IP a.b.c.d ammette query ricorsive è sufficiente utilizzare dig:

dig -t ANY @a.b.c.d google.com

Se si ottiene una risposta valida, o si sta interrogando un DNS autoritativo per la zona google.com o si sta interrogando un DNS che ammette ricorsione.