SIAMO GEEK

Autore: Luigi Rosa

  • Abbiamo il diritto di aver qualcosa da nascondere

    F-Secure ha pubblicato un articolo in cui viene spiegato perché è legittimo che le persone oneste abbiano qualcosa da nascondere.

    Ho aiutato Paolo Attivissimo a tradurre l’articolo in italiano; qualsiasi sia la lingua, vi consiglio una lettura di quel breve testo.

    Il diritto alla privacy non è negoziabile. La storiella che rinunciando alla propria privacy si aiuta a costruire una società più sicura è una clamorosa bugia dimostrabile con i fatti. Chi rinuncia alla propria privacy alimenta uno stato di sorveglianza in cui i diritti vengono erosi uno alla volta. Oggi è la privacy, domani cosa sarà?

    How much is too much?

    La giusta conclusione dell’articolo è che le persone che rinunciano alla propria privacy forzano i loro amici e contatti a rinunciare alla loro perché i dati che rivelano riguardano anche terzi.

    Come non ci fideremmo a consegnare dati o valori materiali ad organizzazioni che non dimostrano di avere una giusta cura nella loro conservazione, così dovremmo iniziare a ridurre le informazioni condivise con chi non pone la giusta attenzione nella gestione dei dati.

    Sembra un’affermazione forte, ma se ci si pensa è quello che molti fanno inconsciamente da sempre. Non si rivela un’informazione a chi sappiamo che la direbbe a tutti e rifiutiamo un contatto sui social a persone che hanno contatti che non ci piacciono. È un nostro diritto di auto-tutela e non dobbiamo sentirci colpevoli per questi comportamenti.

  • Blues Brothers: scena del centro commerciale in LEGO

    [youtube=http://www.youtube.com/watch?v=bJ_uqlNgSU8&w=500]

    L’inseguimento all’interno del centro commerciale ricostruito con mattoncini e minifig LEGO.
    Bonus: versione side by side e making (via Boing Boing)

  • CentOS 6.5

    CentOSÈ stata rilasciata la versione 6.5 di CentOS, la distribuzione linux gratuita compatibile anche a livello binario con RedHat.

    Come di consueto, i sistemi su cui era attiva la Continuous Release (CR) hanno di fatto ricevuto tutti gli aggiornamenti la scorsa settimana.

    Tra le novità si possono segnalare:

    • pieno supporto del Precision Time Protocol, precedentemente classificato come technology previrew. Il PTP è un protocollo che permette una precisione maggiore di NTP per i contesti dove è necessaria la sincronizzazione ad altra precisione senza dover installare un ricevitore GPS su ogni host;
    • OpenSSL è stato aggiornato a 1.0.1 e supporta TLS 1.1 e 1.2;
    • KVM è stato migliorato e supporta l’hotplug delle CPU;
    • sono stati aggiornati i driver di Hyper-V;
    • Evolution 2.32;
    • LibreOffice 4.0.4.

    Si possono scaricare le immagini ISO delle installazioni via torrent (i386, x86_64) oppure da uno dei mirror.

  • Blackout dei sistemi SOGEI

    Una notizia riportata da pochissimi: il 25 novembre i server di SOGEI sono andati offline.

    SOGEI negli anni ha propagandato la sua grandeur raggiunta con i soldi dei contribuenti con lo scopo (anche) di spiare i contribuenti.

    Pochi giorni dopo l’audizione autocelebrativa dell’AD di SOGEI in Commissione Vigilanza, i server si sono spenti.

    Il comunicato stampa che ne è seguito è uno spaccato di burocratese da nomenklatura sovietica in cui si tenta di spiegare che i server si sono spenti perché il cielo ci è caduto sulla testa mentre era in corso un’invasione aliena durante un allineamento planetario poco favorevole. John Belushi davanti a Carrie Fisher era un dilettante. Leggete il comunicato stampa, ne vale la pena: è il tipico scritto dell’ente pubblico italiano che non perde occasione di pavoneggiarsi, anche quando farebbe meglio a soprassedere.

    Altre fonti riportano che il sistema di backup elettrico automatico non funzionava.

    Edoardo Narduzzi commenta bene questa figuraccia della tipica società pubblica bravissima a fare la ruota vantandosi di spendere fiumi di denaro pubblico, ma pavida e restia nella trasparenza e nell’efficienza che ci si aspetta da una società in cui “le migliori soluzioni tecnologiche siano poste, sempre, al servizio della collettività“.

  • Zero Day per Windows XP e Server 2003

    FireEye ha scoperto un malware che sfrutta una vulnerabilità non ancora corretta del kernel di Windows XP e Winodws Server 2003 che permette un guadagno locale di privilegi.

    Se questa vulnerabilità non permette direttamente di eseguire del codice da remoto, consente comunque di eseguire del codice con privilegi elevati.

    Esiste un documento PDF che sfrutta questa vulnerabilità assieme alla versioni di Acrobat Reader 9.5.4, 10.1.6, 11.0.2 e inferiori; il PDF esegue uno script shell che crea un eseguibile in una directory temporanea e lo esegue. Rer queste versioni di Acrobat reader esiste già un bollettino tecnico e una relativa patch.

    Microsoft ha rilasciato un bollettino tecnico che spiega anche come impedire che questa vulnerabilità venga sfruttata, ma al costo di disabilitare i servizi che si basano sulle API di  Windows Telephony (TAPI), tra cui il Remote Access Service (RAS) e le VPN.

    È verosimile che molti malviventi (e organizzazioni assimilate) che sfruttano le vulnerabilità dei sistemi per scopi illegali stiano aspettando la fine del supporto di Windows XP per utilizzare questi e altri bachi del sistema operativo. Ad oggi basta pazientare solamente per 131 giorni. (via ISC)

  • Perfect Forward Secrecy

    Il protocollo HTTPS come è implementato da molti siti o browser ha un problema con il futuro.

    Ipotizzando che qualcuno stia registrando tutto il traffico HTTPS di un sito adesso potrebbe solamente avere in mano dei dati illeggibili. Ma cosa succederebbe se venisse trafugata la chiave segreta, oppure se un domani i computer riuscissero in poche settimane a scardinare la chiave utilizzata?

    C’è un passaggio fondamentale nei primi millisecondi del protocollo HTTPS:

    Il browser, verificato il certificato, invia un messaggio al server che contiene un altro numero casuale cifrato con la chiave pubblica del server

    Quindi, chi riuscisse a calcolare o trafugare la chiave privata del server potrebbe decifrare tutto il traffico HTTPS protetto con quella coppia di chiavi, ipoteticamente salvato negli anni, che fino a quel momento non era decifrabile (retrospective decryption).

    Lo scambio di una chiave segreta condivisa su un canale non sicuro è un problema non nuovo. Whitfield DiffieMartin Hellman e Ralph Merkle avevano trovato una soluzione già negli anni ’70 del secolo scorso elaborando quello che poi sarebbe diventato il protocollo Diffie-Hellman per lo scambio di chiavi (brevetto US4200770 ora scaduto).

    Anche in questo caso bisogna fare un passo indietro per vedere come funzionano le cose dietro le quinte.

    (altro…)

  • Nuovi gTLD in arrivo

    Sono in arrivo nuovi domini generici di primo livello.

    Il prossimo 11 novembre partirà il sunrise di questi gTLD:

    • .bike
    • .clothing
    • .guru
    • .holdings
    • .plumbing
    • .singles
    • .ventures

    Mentre il prossimo 3 dicembre partirà il sunrise di questi altri:

    • .camera
    • .equipment
    • .estate
    • .gallery
    • .graphics
    • .lighting
    • .photography
    • .sexy
    • .tattoo

    In base al regolamento ICANN, è obbligatorio stabilire un periodo iniziale di sunrise di almeno 30 giorni durante il quale la registrazione di nomi sotto quel gTLD è riservata ai possessori di marchi.

    (altro…)

  • La fine di Winamp

    WinampIl prossimo 20 dicembre AOL chiuderà il sito di Winamp e i relativi server che gestiscono i servizi accessori.

    Ce n’eravamo quasi dimenticati, ma negli anni 90 Winamp era il programma più utilizzato per ascoltare gli MP3 (scaricati da Napster…)

    Per anni le playlist di Winamp ci hanno tenuto compagnia, fino a quando il player integrato di Windows ha implementato tutte le caratteristiche di Winamp rendendo di fatto inutile l’installazione di un secondo player per i brani musicali.

    Winamp è passato sotto il controllo di AOL nel 1999 quando la NullSoft è stata acquisia per 80 milioni di dollari in azioni. In seguito a ciò, Winamp era nella posizione di poter diventare il client di una piattaforma di vendita di contenuti multimediali, ma alcune decisioni errate di AOL hanno compromesso la sua posizione occupata negli anni successivi da iTunes.

    Winamp, it really whips the llama’s ass.

  • 357116 Attivissimo (2001 WH)

    AttivissimoUn asteroide è stato battezzato Attivissimo, in onore di Paolo Attivissimo.

    Su questa pagina del JPL si possono vedere le caratteristiche dell’asteroide e della sua orbita (per visualizzare l’orbita è necessario aver installato Java).

    Si tratta di un asteroide della cintura principale posizionata tra le orbite di Marte e Giove.

    Complimenti a Paolo oltre che per avere un asteroide a suo nome che gira attorno al sole, soprattutto per dare un grosso contributo ad illuminare la tenebra dell’ignoranza (in senso etimologico) di tutti noi sia con i suoi articoli sia con gli spunti di approfondimento che contengono.

  • Porta USB di Android

    usb uartL’acceso fisico ad un computer equivale all’accesso di root.

    Sebbene questo sia il mantra che viene ripetuto da chi si occupa di sicurezza, c’è la presunzione che cellulari e tablet siano meno attaccabili di un normale computer sotto questo aspetto. Illusi.

    I sistemi di estrazione dei dati dai cellulari sono relegati alle apparecchiature per l’uso forense, che costano (quelle belle) oltre diecimila euro, escluso l’abbonamento annuale per gli aggiornamenti.

    Michael Ossmann e Kyle Osborn hanno dimostrato {video} come sia possibile con costi contenuti e con materiali facilmente reperibili accedere alla console di debug di Android di molti dispositivi, anche se la funzione di debug è disabilitata. Il metodo utilizzato è semplicissimo, una volta che si conosce come funzionano le cose.

    (altro…)

  • Nedelin

    Memoriale della catastrofe di Nedelin (da Wikipedia)

    Questo nome da solo fa venire i brividi a chi si interessa di storia della missilistica.

    Mitrofan Ivanovich Nedelin (Митрофа́н Ива́нович Неде́лин) è stato un militare dell’esercito sovietico che ha spinto l’adozione dei missili balistici intercontinentali come vettore per bombardare, in caso di guerra nucleare, l’allora nemico americano.

    Il metodo politico e burocratico con cui venivano portati avanti i progetti nell’Unione Sovietica documentato nei libri di Chertok è alla base di quella che è ora nota come la catastrofe di Nedelin. Quando le più basilari regole di sicurezza e le opinioni dei tecnici qualificati vengono deliberatamente ignorate per perseguire stupidamente un obbiettivo politico il risultato non può che essere catastrofico.

    Il conteggio delle vittime della catastrofe di Nedelin non è preciso. Si va dalle 90 alle 250 persone morte immediatamente e come conseguenza delle ustioni e dell’avvelenamento.

    (altro…)

  • False promesse

    Molte persone non tecniche credono che un algoritmo di crittografia inattaccabile in tempi ragionevoli favorisca solamente i criminali.

    Chiariamo subito che la frase “se non hai nulla da nascondere, non devi nascondere nulla” è tipica dei regimi dittatoriali o totalitari e deve essere ribaltata in “se non ho nulla da nascondere non devi venire a cercare nulla qui da me”.

    Dobbiamo partire dal principio inviolabile che la privacy sia un diritto non negoziabile e mantenere saldo questo principio, ad ogni costo.

    (altro…)