SIAMO GEEK

Autore: Luigi Rosa

  • Hacking dei siti: un bene o una scocciatura?

    Di recente c’è stato un incremento di hacking di siti e pare che le nuove vittime siano i sistemi di videoconferenza.

    Certamente non è simpatico per un SysAdmin o responsabile IT scoprire da Twitter che il sito di cui si è responsabili ha delle falle di sicurezza che sono state sfruttate da dei simpaticoni che hanno spiattellato la falla sulla home page del sito stesso. Tanto chi vuoi che sia interessato al nostro sito! dicono in tanti.

    Questi eventi dimostrano come prima cosa una teoria: la sicurezza dei siti Internet è, nella migliore delle ipotesi, sottovalutata. Password ovvie, credenziali condivise tra troppi attori, nessun test serio per gli attacchi standard, modifiche strutturali fatte all’ultimo momento, fornitori abili nella grafica web ma completamente ignoranti in tema di sicurezza, progetti gestiti dal dipartimento sbagliato, subappalti dei lavori… queste sono alcune delle cause che alzano notevolmente le probabilità che un sito venga compromesso.

    Le attività di hacking non sono simpatiche, specie se ci si trova dalla parte della vittima, ma credo siano utili.

    (altro…)

  • Numberphile

    L’Università di Nottingham negli ultimi anni ha avviato iniziative online davvero lodevoli.

    Tutto è iniziato con The Periodic Table of Videos, che ha trasformato Martyn Poliakoff in una celebrità.

    A seguire è stata creata la serie Sixty Symbols, che va oltre la chimica e abbraccia fisica, astronomia, cosmologia e altre discipline.

    Ultimo ma non ultimo è Numberphile, l’immancabile serie di video sui numeri e la matematica.

    Questo è quello che ci si aspetta delle università: che siano le fontane, non i pozzi del sapere.

  • Ci teniamo il secondo intercalare

    La Conferenza Mondiale sulle Radiocomunicazioni ha deciso di non decidere e di rinviare ogni decisione in merito al secondo intercalare.

    Come è facile immaginare non esiste un solo tempo universale standard, ma ce ne sono tanti tra cui si può scegliere.

    In sostanza abbiamo due modi per calcolare il tempo: o ci riferiamo alla ciclicità dei movimenti della Terra, oppure ci riferiamo alla ciclicità dei movimenti degli elettroni. Inutile dire il primo è meno preciso del secondo.

    (altro…)

  • Postfix 2.9

     Wietse Venema ha rilasciato la versione 2.9 di Postfix.

    Tra le nuove caratteristiche:

    • supporto di id lunghi e non ripetibili dei messaggi elaborati; la funzione si attiva aggiungendo al file di configurazione la direttiva enable_long_queue_ids = yes
    • supporto di memcache;
    • introduzione del concetto di gradual degradation: se un database utilizzato dal programma non è (più) disponibile, Postfix non si blocca con un errore fatale, ma cerca di continuare a funzionare mantenendo attive le funzioni che non dipendono dal database;
    • miglioramento dell’utility postconf;
    • nuove misure per rallentare la risposta nel caso in cui venga rilevato un DoS a livello applicativo.

    La versione completa dell’annuncio è qui.

    Contestualmente all’uscita della nuova versione di Postfix, è stata rilasciata la nuova versione 1.1.4 di Pflogsumm.

  • A cosa servono gli standard?

    Come se non bastasse il fatto che il bello degli standard è che ce ne sono tanti tra cui scegliere, qualcuno ci mette del suo per inventarne di nuovi.

    Stamattina sono andato da un cliente per configurare la sua nuova connessione a Internet, per far funzionare la quale era necessario che venisse steso un cavo UTP.

    La persona che ha steso il cavo ha molto gentilmente pensato di realizzare anche i connettori UTP. Per scrupolo ho controllato la sequenza e al posto di quella standard mi sono trovato un fantasioso bArancio-Arancio-bVerde-Blu-bMarrone-Verde-bBlu-Marrone. La differenza era particolarmente marcata dal fatto di avere un marrone lì in mezzo a tutti gli altri colori.

    Quando io mi trovo davanti a queste cose la prima domanda che mi pongo è “Perché?” Che senso ha inventarsi delle sequenze quando esistono quelle codificate?

    Domande che resteranno senza una risposta.

  • Sinclair ZX81 in LEGO

    My Lego ZX81!Il primo modello di casa Sinclair, lo ZX80, veniva venduto già assemblato oppure in kit.

    Paul Dunning ha realizzato un modello dello ZX81 in LEGO; è leggermente più grande dell’originale, ma molto rispettoso dell’originale, specialmente considerando i limiti dei mattoncini LEGO.

    Aspettiamo solo che qualche fan dell’altra parte realizzi una ricostruzione in LEGO di qualche computer Commodore.

  • Il bello del software open

    Il software open non sarà bello da vedere, non avrà un’interfaccia di design , non verrà venduto in confezioni fighe, non verrà promosso da commerciali cocainomani in gessato e gemelli, non sarà intuitivo, ma funziona!

    Prendiamo un esempio a caso: la VPN.

    OpenVPN è un orologio, si fatica (nemmeno poi tanto) per la configurazione iniziale, ma una volta fatta la prima le altre possono essere copiate da quella. Va in TCP e UDP, si può selezionare la porta, decidere il tipo di autenticazione e configurare mille altri parametri e raffinatezze.

    È gratis e funziona.

    Le altre soluzioni o sono vulnerabili, o sono care, o funzionano una volta su tre. Ci sono bellissime implementazioni di firewall commerciali che richiedono un bowser specifico, lanciano una granaiuola di applet Java non firmate (col cacchio che dico di fidarmi sempre!), lanciano un programma (solamente Windows, gli atri si attaccano) che dopo un’eternità stabilisce una connessione VPN… che non va!

    OpenVPN va con qualsiasi tipo di trasporto e va sempre, basta solo configurarla correttamente.

    Quando sceglierete la prossima VPN, pensateci bene.

  • Lo snapshot non è un backup

    È indubbio che la virtualizzazione stia diventando pian piano una tecnologia accettata anche dai più refrattari, non foss’altro che per una questione di costi.

    Il problema è la relativa inesperienza di alcuni SysAdmin che, per varie ragioni, non vogliono imparare la nuova tecnologia, ma si limitano ai soliti “sentito dire” e ad esperienze poco scientifiche come “quel giorno avevo i jeans e il server è saltato, quindi nessuno con i jeans può entrare nella computer room”. Non ridete, ce ne sono più di quanti pensiate.

    Quando ci si avvicina alla virtualizzazione, una delle cose che colpiscono è la possibilità di fare degli snapshot della macchina virtuale (VM). Questa funzione è utilissima quando si fanno modifiche sistemiche alla VM, ma deve essere utilizzata con estrema parsimonia e coscienza di causa.

    Qualche SysAdmin sprovveduto utilizza gli snapshot come se fossero dei backup, senza, evidentemente, porsi il problema di come fare velocemente un restore.

    Senza contare che mantenere per più di un paio di giorni degli snapshot di VM in produzione è un suicidio dal punto di vista delle performance.

  • …and so it begins

    Era solo questione di tempo: The Pirate Bay ha aperto Physibles una sezione per gli oggetti fisici.

    Gli scrittori di fantascienza come Charles Stross e Cory Doctorow l’avevano anticipato da anni: con l’abbassarsi dei prezzi delle stampanti 3D lo scambio di file che descrivono oggetti tridimensionali sarebbe diventato fiorente e sarebbe stato il nuovo bersaglio di chi combatte le guerre di copyright.

    Una stampante 3D può essere acquistata ad un prezzo attorno ai 1.000 dollari: la stampante di Cubify presentata al CES costa 1.300 biglietti verdi. Non è difficile immaginare che, se il mercato dovesse decollare, i prezzi scenderebbero.

    A cosa può servire una stampante del genere? Immaginate di aver bisogno di un sottovaso di dimensioni o forma particolare, oppure un fermalibri, o un’etichetta di plastica, o un qualsiasi altro oggetto. Anziché girare per i negozi per cercarlo, ve lo stampante a casa vostra.

    Il livello successivo è, ovviamente, scaricare da Internet i file che descrivono gli oggetti: potreste stamparvi da soli il kit per assemblare un modellino senza doverlo acquistare.

    Poi arriveranno i guerrieri del copyright e a questo punto ne vedremo delle belle. I file di descrizione degli oggetti sono relativamente piccoli, se paragonati ai film o alle canzoni e possono tranquillamente essere spediti in pochi istanti via posta elettronica. (via Boing Boing)

  • Ok gli attacchi di Anonymous, ma…

    Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.

    Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.

    Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.

    Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.

    Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.

    I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.

    Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.

    Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.