SIAMO GEEK

Autore: Luigi Rosa

  • Code Spaces

    codespacesCode Spaces era un servizio di ospitazione di sorgenti software e gestione progetti.

    Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda.

    Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di ridondanza per garantire l’uptime, ma, come sanno i professionisti del settore, la ridondanza non ha nulla a che fare con i backup e, soprattutto, con i restore.

    Secondo il sito, un malvivente avrebbe guadagnato l’accesso al pannello di controllo di EC2 e avrebbe lasciato dei messaggi in cui, sostanzialmente, chiedeva un riscatto in danaro.

    Quando i legittimi proprietari del sito hanno cambiato le password di accesso al pannello è iniziata la fine: il malvivente aveva creato degli altri accessi di backup con i quali ha distrutto tutti i dati. (altro…)

  • Effetto Streisand

    elaborazione di AppFigures
    elaborazione di AppFigures

    Le persone che non conoscono uno strumento e pensano di imporre le loro regole a ciò che non conoscono finisco sempre sconfitte.

    Questa è una conclusione che si può trarre guardando la cronaca degli anni passati, ma tutti sanno che l’unica cosa che la Storia insegna è che nessuno impara dalla Storia. Uno degli effetti più eclatanti dell’ignoranza di uno strumento o della poca lungimiranza delle persone è il cosiddetto effetto Streisand.

    I taxisti sono bravi a guidare i taxi e a portare i clienti a destinazione, meno bravi nelle relazioni pubbliche

    A meno che non sia pagato dal titolare o dal cliente, l’utente quadratico medio non occasionale del taxi non è un giovane smanettone, ma una persona che, appunto, si può permettere un taxi al posto di un mezzo pubblico o di un passaggio di un amico o collega. Questa persona non conosce Uber, se non per sentito dire, ma non è uno stupido.

    Considerate ora una persona che apprende la notizia che i taxisti di tutta Europa fanno sciopero contro un programma gratuito che permette di risparmiare sui taxi. Qual è la reazione ovvia e immediata di questa persona? La risposta l’ha data AppFigures in un articolo sintetizzato con efficacia dall’immagine qui sopra.

    Con ciò non voglio entrare né nel merito del problema dei taxi né di quello sociale della perdita di lavoro a causa delle tecnologie. Uno dei problemi che vengono spesso taciuti da tutti è che i taxisti spesso fanno notevoli sforzi economici per comperare (googlare acquisto licenze taxi nero) una fetta di monopolio che si sta rivelando una promessa non mantenuta da parte di chi quel monopolio lo mantiene in forza di legge.

  • OpenSSL e software open

    Sono state scoperte e corrette altre sei vulnerabilità di OpenSSL. Enfasi su “corrette”.

    Dopo Heartbleed qualcuno ha dubitato della bontà del software open, altri hanno visto quel problema come un argomento a favore di una circolazione limitata dei sorgenti.

    Sono argomenti facilmente confutabili con l’esperienza della storia e le basi della sicurezza informatica.

    (altro…)

  • Dragon V2

    Pannello comandi Dragon V2

    Ci sono molti articoli a riguardo e non starò qui a ricopiare le schede tecniche che si trovano un po’ dappertutto. Una sola considerazione: i fan seguono la fantascienza, ma solo i veri geek (miliardari, è vero) la costruiscono.

  • TrueCrypt

    TrueCryptTrueCrypt era un programma open multipiattaforma di cifratura in tempo reale dei dischi.

    Era perché da ieri un laconico messaggio sul loro sito annuncia la fine del progetto in quanto conterrebbe dei “problemi non corretti” (unfixed issues).

    Gli autori del software sono sempre rimasti anonimi e per ora non c’è alcuna presa di posizione formale da parte loro.

    Il programma utilizzabile per la sola decifratura dei dati che è stato pubblicato sul sito reca la firma digitale del team di sviluppo, quindi chi l’ha pubblicato è in possesso della chiave privata.

    Con queste premesse, l’uso di TrueCrypt da oggi è del tutto sconsigliabile. Purtroppo non esiste nessun altro prodotto analogo multipiattaforma: si può usare GPG, ma non è la medesima cosa. (altro…)

  • Protocolli S nella posta elettronica

    Alcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet.

    Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica.

    Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta in uscita) con il protocollo SMTP, i server parlano tra di loro in SMTP e alla fine un client scarica un messaggio con IMAP o POP3 (server di posta in arrivo).

    (altro…)

  • SMTP STARTTLS in crescita

    Un rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”.

    Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro.

    L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata utilizzando la medesima connessione TCP.

    (altro…)

  • Conformità non significa sicurezza

    Molte aziende valutano l’opzione di certificarsi secondo alcuni standard per poter acquisire nuovi clienti.

    Alcuni manager presumono che la conformità a leggi, linee guida (come ad esempio ITIL) o standard industriali di qualità sia da sola sufficiente per garantire la sicurezza del sistema informativo.

    In realtà l’introduzione delle procedure e dei comportamenti previsti da leggi, standard o best practice è il punto di partenza per arrivare ad una sicurezza informatica accettabile.

    (altro…)

  • Data Centre in scatola

    Data Centre in a shoeboxAgli eventi del VMUG IT c’è sempre qualcosa da imparare.

    Tra i panel della VMUGIT User Conference dello scorso 7 maggio ce n’era uno di Chris Roeleveld e Dennis Hoegen Dijkhof in cui spiegavano le differenze sul campo tra i dischi rotanti e i dischi SSD. Apparentemente nulla di nuovo, senonché la presentazione è avvenuta con l’ausilio del gioiellino geek ritratto qui a fianco.

    Si tratta di un cluster VMware con tre nodi e uno storage condiviso.

    Chris e Dennis hanno utilizzato delle Intel NUC D54250WYB, vere e proprie micro motherboard con un Core i5 4250U, una porta SATA, due USB 3.0, altrettanti USB 2.0 e un’altra manciata di porte.

    I rack arancioni visibili nella foto sono stati realizzati con una stampante 3D.

    Visto l’hardware in gioco, non stiamo certo parlando di performance stellari, ma è la dimostrazione che si può mettere in pochissimo spazio un sistema VMware con consumi di corrente assai ridotti e con caratteristiche di ridondanza analoghe ai sistemi che girano su hardware molto più potente e carrozzato.

  • DoS tramite SNMP

    Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.

    Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.

    (altro…)

  • 50 anni di BASIC

    HELLO

    DARTMOUTH TIMESHARING ON AT 4:07AM ON MAY 1, 1964

    2 USERS

    OLD BASIC50***

    READY

    RUN

    Sembra che sia questo l’output quando, 50 anni fa, è stato lanciato il primo programma scritto in BASIC. (altro…)

  • Quanto vale un computer hackerato?

    Mikko Hyppönen ha spiegato che il malware viene scritto principalmente per tre motivi: soldi, attivismo politico e lotta tra Stati.

    Spesso le persone che non seguono le vicende della parte oscura di Internet non riescono a capire come un computer infetto possa valere dei soldi. La risposta breve è: mercato.

    (altro…)