SIAMO GEEK

Autore: Luigi Rosa

  • Tette per la Scienza

    tette per la scienza

    Inutile scrivere altro perché non lo leggerebbe nessuno. Tette per la Scienza [NSFW].

  • Trenord: non si fa così

    Quando devo andare a Milano per lavoro utilizzo preferibilmente il treno perché la linea suburbana da Pavia è quasi come una metropolitana e le carrozze sono climatizate.

    Viaggiando occasionalmente non ho nessun abbonamento, ma compero il biglietto semplice online il giorno in cui lo utilizzo. Dal momento che Trenord, il gestore della linea suburbana, ha attivato un sito ho provato alcune volte a comperare il biglietto lì anziché dal sito di Trenitalia.

    È un disastro.

    (altro…)

  • Cancellare i file: CMD vs. PowerShell

    La buona abitudine di usare gli script sta tornando anche nell’ambiente Windows.

    Dopo alcuni aborti come VBscript e alcune soluzioni di terze parti come KiXtart, sembra che PowerShell sia diventato il linguaggio di scripting sulla cui disponibilità nei client si può fare affidamento per l’immediato futuro.

    PowerShell è una CLI molto potente e non ha nulla a che fare con CMD.EXE. L’ostacolo maggiore è che ha una serie di comandi e una sintassi completamente diverse da CMD.EXE, perciò l’amministratore di un sistema Windows deve impararsi di fatto un linguaggio nuovo.

    Tra le differenze c’è l’interpretazione delle wildcard nella cancellazione dei file. (altro…)

  • È sufficiente il backup

    Brano dall'articolo "Dea, un altro blocco dei pc" apparso su La Provincia Pavese del 26/10/2014 e riportato in accordo al diritto di citazione
    Brano dall’articolo “Dea, un altro blocco dei pc” apparso su La Provincia Pavese del 26/10/2014 e riportato in accordo con il diritto di citazione

    Il quotidiano locale di Pavia oggi riporta la notizia di un disservizio del DEA che si protrarrebbe da alcuni giorni.

    Tra le righe, benché non venga citato espressamente il nome nell’articolo, si capisce che il problema è stato causato da una delle varianti di Cryptolocker.

    La chiusa dell’articolo, riportata a fianco, dice espressamente che il pagamento del riscatto è “l’unico modo conosciuto finora per decrittare i dati”.

    Affermazione vera nella forma, ma che lascia intendere una falsità nella sostanza. (altro…)

  • Verizon traccia gli utenti mobili

    Alcuni utenti hanno scoperto (qui e qui per citare degli esempi) che Verizon traccia gli utenti mobili.

    Il modo in cui lo fa è particolarmente fastidioso, in quanto ogni richiesta HTTP diretta da un dispositivo mobile verso un server viene aggiunto un header X-UIDH.

    L’header X-UIDH viene citato nel brevetto US8763101 B2 concesso quest’anno proprio a Verizon in cui, però, lo scopo dichiarato dell’header è di identificare univocamente un dispositivo per realizzare un’autenticazioni a più fattori.

    In questo caso l’header viene applicato a tutto il traffico in uscita ed è una sorta di super-cookie di tracciabilità: i server possono capire se un utente arriva da Verizon e possono tracciare quell’utente utilizzando X-UIDH anche senza inviare alcun cookie al browser dell’utente.

    Sembra che nelle opzioni offerte all’utente non ci sia la possibilità di chiedere a Verizon di non iniettare X-UIDH, ma si può solamente chiedere al provider di non rivendere a terzi i dati.

    Se in Italia esistono regole più restrittive in merito al trattamento dei dati personali, alcuni servizi potrebbero nascondere negli anfratti del loro contratto di servizio qualche consenso a tecnologia analoghe. Per questo su Siamo Geek è disponibile un visualizzatore degli header inviati dal browser per controllare quali sono gli header ricevuti dal server. (via Web Policy)

  • Zero-Day contro PowerPoint

    Ieri Microsoft ha rilasciato un bollettino di sicurezza su una vulnerabilità della tecnologia OLE.

    Il bollettino parla di limitati exploit in circolazione che sfruttano PowerPoint, altri non sono così ottimisti. Sono interessate tutte le versioni a 32 bit di Microsoft Office. Attenzione che il 32 bit si riferisce alla versione di Office, non del sistema operativo, quindi un Office a 32 bit che gira su un Windows a 64 bit è vulnerabile.

    Chi ha potuto esaminare l’exploit riporta che, se è attivo UAC, viene richiesto il permesso per eseguire un programma con privilegi elevati, la qual cosa dovrebbe insospettire l’utente (ma ci sono poche speranze).

    Microsoft ha rilasciato anche un QuickFix in attesa della patch definitiva via Windows Update, a testimonianza del fatto che la diffusione dell’exploit potrebbe non essere così limitata.

    Il consiglio è di installare quanto prima il QuickFix e di non aprire allegati di documenti Office (PowerPoint, Word, Excel) che provengono da fonti sconosciute, specialmente se contenuti in file compressi (ZIP).

  • Ricostruire Alpha

    Un ambiente dove prevalgono il bianco e le linee curve, con un gusto che molti chiamerebbero di design dove la gente vive, lavora o passa del tempo.

    L’Enterprise di JJ Abrams? Un Apple Store (non che ci sia molta differenza con l’astronave appena citata)? Un’ambientazione di Ken Adam per il cattivo di turno di James Bond?

    La base lunare Alpha di Spazio 1999, che qualcuno si sta divertendo a ricostruire in un modello 3D:

    https://www.youtube.com/watch?v=aVlPG-KQEOw

    (altro…)

  • Dovecot+SQL: tracciare l’ultimo login

    In molti casi è utile sapere quando un utente ha effettuato l’ultimo login via IMAP o POP ad un server di posta elettronica.

    In una configurazione con Dovecot come server IMPA/POP e MySQL/MariaDB come backend per l’archivio degli utenti fin’ora era necessario utilizzare delle scappatoie per tenere traccia dell’ultima volta in cui un utente si era collegato.

    Dalla versione 2.2.14 rilasciata lo scorso 14 ottobre Timo Sirainen ha aggiunto il plugin Last Login.

    Al momento la documentazione del plugin è abbastanza scarna, chi volesse implementare la tracciabilità dell’ultimo login in una configurazione con Dovecot, Postfix e Postfix Admin come gestione degli utenti può procedere come segue. (altro…)

  • CyanogenMod

    CyanogenModCon eccessivo ritardo rispetto a quando avrei dovuto farlo, mi sono finalmente deciso ad installare CyanogenMod sul telefono che uso abitualmente (Samsung S4) e sul muletto per le prove (Google Nexus S).

    Ho anche voluto documentare la procedura e scrivere un manualetto per chi vuole utilizzare CyanogenMod. Rimando a questa pagina per le procedure e le eventuali avvertenze.

    CyanogenMod permette di assumere davvero il controllo del proprio dispositivo, con i privilegi e i rischi del caso.

    Senza installare nulla in più c’è una funzione che da sola vale tutto CyanogenMod: PrivacyGuard. Questa funzione è accessibile dal menu di impostazioni sotto Privacy e permette di regolare i privilegi delle varie applicazioni. Con Privacy Guard si possono revocare o monitorare i privilegi che le vari applicazioni chiedono al sistema operativo. In questo modo potete impedire alle applicazioni di ficcanasare troppo nei vostri dati.

    Potrebbe valere la pena fare una prova, magari utilizzando un telefono compatibile dismesso o acquistato di seconda mano per familiarizzare con l’ambiente prima di utilizzare CyanogenMod sul telefono principale.

  • POODLE

    POODLE (Padding Oracle On Downgraded Legacy Encryption) è un tipo di attacco alle connessioni https in grado di rubare informazioni sensibili, incluse, teoricamente, le password degli account.

    L’attacco si basa su una vulnerabilità di SSLv3, RFC6101, un protocollo del novembre 1996 poco sicuro che fa parte del gruppo di protocolli di scambio dati previsti da https e da tutti i protocolli che usano TLS, come IMAPS, POP3S, SMTP con STARTTLS, eccetera.

    Quando viene iniziata una connessione TLS client e server confrontano i protocolli supportati e negoziano il più sicuro tra quelli supportati da entrambi. Tuttavia è anche possibile che un attaccante in grado di disturbare la connessione tra client e server riesca a forzare usa sessione con il protocollo meno sicuro. (altro…)

  • Il DRM di Adobe spia gli utenti

    Gabbia dei libri / Books cageSul fatto che il DRM non sia una bella cosa ci siamo già ampiamente espressi.

    Si dice che nei social network e in molti contesti in cui non si paga per l’utilizzo l’utente è di fatto un articolo che il gestore del servizio vende a chi vuol fare pubblicità.

    Una persona che paga per avere una copia crittografata di un libro le cui chiavi sono in mano ad Adobe non si aspetta che Adobe spii ogni suo movimento fatto con il libro acquistato.

    Ars Technica e The Digital Reader hanno scoperto che l’ultima versione di Adobe Digital Editions tiene traccia di ogni tipo di utilizzo fatto con i libri acquistati e li comunica in chiaro ad Adobe. Il software non si limita a tenere traccia dei libri protetti da DRM, ma registra l’utilizzo di ogni tipo di file ePUB e comunica ad Adobe tutti questi dati. (altro…)

  • Dispositivi USB vulnerabili

    PS2251-03-Q
    by www.flashdrive-repair.com

    Questa estate era stata pubblicata la notizia di un problema di sicurezza di alcuni microcontroller USB prodotti da Phison.

    Il problema consiste nella possibilità da parte di un applicativo qualsiasi di riprogrammare il firmware di un dispositivo USB connesso ad un computer. Una volta riprogrammato, il firmware del dispositivo può comportarsi in maniera dannosa e mettere a repentaglio la sicurezza del computer a cui è connesso. I ricercatori che avevano fatto questa scoperta avevano deciso di non pubblicare alcuna informazione utile per sfruttare questa vulnerabilità.

    Pochi giorni fa Adam Caudill e Brandon Wilson hanno deciso di pubblicare su GitHub il software che sfrutta questa vulnerabilità.

    Il software pubblicato funziona con il controller PS2251-03 di Phison, che gli autori del software hanno trovato in alcuni device. Tuttavia i controller di Phison sono molto utilizzati e sicuramente la lista dei dispositivi pubblicata dagli autori non è completa.

    (altro…)