SIAMO GEEK

Categoria: Internet

  • Il bug che non ti aspetti

    Per chi lavora in ambito IT è una esperienza comune sentire un utente lamentarsi per un programma che ha un errore e non funziona correttamente.
    Per quanto il mondo informativo sia spesso oggetto di scherno, sappiamo che in generale gli applicativi vengono sottoposti a un debug abbastanza attento prima del rilascio e normalmente non contengono errori di grande entità, soprattutto in relazione alla loro complessità. Normalmente si tratta semplicemente di un utente che non ha mai letto il manuale e sta cercando di far fare al software qualche operazione in maniera scorreta.
    Tuttavia i bug esistono e se ne trovano anche in software blasonati.

    Settimana scorsa stavo scrivendo un frammento di codice che interpreta un feed RSS e crea tanti oggetti quanti sono i posts in modo da poterli manipolare all’interno della mia applicazione. Le proprietà dell’oggetto post nel mio applicativo sono fortemente tipizzate, quindi la classe post contiene una proprietà PubDate che rappresenta un oggetto di tipo DateTime. Dato che la data nel feed è semplicemente una stringa di testo, questa va sottoposta a una operazione di Parsing per essere identificata come una data.

    Questo è molto semplice da fare nel .NET Framework: la data nel feed è formattata in quello che è volgarmente definito RFC1123 (che in effetti si basa sullo standard ISO8601) e il framework mette a disposizione la funzione DateTime.Parse che fa tutto il lavoro di conversione dandole semplicemente come input la stringa di testo.

    Provo la funzione, tutto bene.
    Tutto bene fino a quando il software non arriva a processare la data Sun, 15 Mar 2009 22:02:44 +0000. (altro…)

  • Download degli installer

    Installer downloadUna volta i software li comperavi su floppy, poi su CD/DVD, adesso li scarichi.

    Nulla di male nell’idea, salvo alcuni problemi di implementazione legati a casi specifici.

    La maggior parte dei produttori di software offre la possibilità di scaricare i pacchetti in http[s], come ci si aspetta che avvenga normalmente. In questo caso si può accedere al sito anche da un server che rimane sempre acceso e avviare il download in tranquillità. Kaspersky, Veeam, F-Secure, Microsoft e altri fanno così: hanno una banda adeguata (o delle tecnologie adatte di distribuzione dei server) tale per cui i pacchetti di installazione arrivano ad una velocità pari quasi al massimo della banda.

    VMware offre il meglio dei due mondi: quando si scarica un pacchetto di installazione si può scegliere se utilizzare http[s] oppure avviare un client Java che, reinventando BitTorrent, si collega a più server e scarica velocemente il software. Se si dispone di una bella banda i file arrivano veramente alla velocità del suono.

    Poi c’è Symantec. (altro…)

  • Le password nel commercio elettronico

    Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF].

    Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password di un sito, il punteggio relativo viene assegnato ad esso. Il punteggio può variare da -100 a +100.

    Prima di esaminare la classifica alcuni dati aggregati degni di nota:

    • il 55% dei siti accetta password del tipo 123456 o password;
    • il 51% non blocca l’account dopo dieci tentativi di collegamento errati, tra questi siti ci sono anche Amazon, Dell, Best Buy e Macy’s;
    • il 64% ha delle regole molto discutibili in merito alle password, la qual cosa ha portato ad un punteggio negativo;
    • il 61% non fornisce alcuna indicazione su come creare una password sicura durante la creazione di un account;
    • il 93% non fornisce in tempo reale una valutazione della forza della password durante la digitazione della medesima
    • 8 siti inviano la password via mail in chiaro.

    Per gli amanti delle top 10 ecco la classifica dei siti migliori. (altro…)

  • Controllate il vostro NTP

    CloudFlare è stato attaccato con un pesante DDoS basato su un baco dell’implementazione di NTP.

    Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd per amplificare un attacco di DDoS. Al momento della pubblicazione dell’articolo già molte distribuzioni aggiornate di Linux erano indenni da questo problema, ma rimanevano comunque una gran quantità di server vulnerabili.

    Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.

    Le versioni di ntpd dalla 4.2.7 compresa in su non hanno più la funzione monlist; nelle vecchie versioni si può utilizzare l’opzione noquery in ntp.conf.

    Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.

    Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.

  • DuckDuckGo

    DuckDuckGoDuckDuckGo è un motore di ricerca che garantisce l’anonimato e offre alcune feature interessanti.

    L’anonimato è il punto fondamentale del motore: DuckDuckGo non traccia la storia delle ricerche effettuate da un singolo utente e, quindi, non profila gli utenti e le loro ricerche basandosi su ciò che hanno cercato. Come ha rilevato Mikko Hyppönen, la cronologia delle ricerche effettuate da ciascuno può essere utilizzata per incriminarlo o comunque imbarazzarlo.

    Il motore di ricerca permette di salvare le impostazioni, ma in maniera assolutamente anonima e volontaria; in ogni caso non viene salvata la cronologia dei termini cercati. Il tutto è protetto da una password, che non può essere recuperata se viene dimenticata, in quanto non viene registrata nessuna informazione che identifica l’utente.

    Tutte caratteristiche degne di nota, ma c’è  di più: una cornucopia di funzioni utili a geek, smanettoni e curiosi. (altro…)

  • Testo nelle immagini

    Naked Security illustra i dettagli di un tipo di attacco molto subdolo.

    Si tratta di nascondere un codice JavaScript nei pixel di un’immagine a toni di grigio; una versione modificata ad arte di jQuery è in grado di decodificare i dati contenuti nel file ed eseguirli come JavaScript.

    Questo metodo potrebbe evadere molti, se non tutti, tipi di scansione perché il codice JavaScript non è riconoscibile come pattern.

    Incuriosito da questa tecnica, ho provato a ricreare il metodo per codificare e decodificare un testo in un’immagine PNG. (altro…)

  • Mal di testa vettoriale

    xmlMi sto dedicando in questi giorni a una revisione del mio sito web e sono incappato in un interessante problema la cui soluzione penso possa interessare gli altri geek.
    Dovevo inserire alcune icone social da utilizzare sia nella classica dimensione 32×32 pixel, sia in altre grandezze in pagine diverse. La soluzione iniziale a cui avevo pensato era salvare le immagini nella dimensione più grande necessaria e poi utilizzarle ridimensionadole dove servivano più piccole.
    Idea apparentemente buona, ma all’atto pratico non molto gradevole esteticamente: il layout engine del browser si occupa anche di scalare le immagini e applicare lo anti-aliasing dove necessario, ma i risultati visivi variano di molto. Mentre Firefox e Chrome fanno un lavoro abbastanza buono, Internet Explorer – guarda un po’ – fa una riduzione pessima; in nessuno dei tre casi, però, il risultato è ottimale.
    Tutte le immagini erano in formato PNG, quello che possiamo definire a grandi linee il GIF dell’informatica moderna: supporta, tra le altre cose, lo alpha compositing e la tavolozza RGB a 24bit. Non è adatto per la grafica professionale – dove dominano JPEG, TIFF e i vari formati proprietari – ma è perfettamente equipaggiato per fornire le grafiche decorative su internet.

    Per risolvere il problema della riduzione in maniera definitiva, avrei dovuto preparare immagini di diverse dimensioni a monte: un software di fotoritocco può rimpicciolire una immagine in maniera decisamente migliore rispetto a motore di rendering di un browser. In questo caso però avrei dovuto creare tante copie della immagine quante le dimnsioni di cui avevo bisogno.
    Ho quindi iniziato a ragionare su una soluzione diversa più pratica e, possibilmente, più geek. (altro…)

  • Se l’attacco è mirato

    Le mail di phishing arrivano quasi quotidianamente, nonostante le protezioni antispam e alcune sono talmente grossolane da strapparci qualche secondo di ilarità.

    La storia cambia notevolmente se una persona o un’organizzazione viene presa di mira con un attacco mirato, detto tecnicamente spear phishing.

    A differenza del phishing che pesca a strascico (come le notifiche da banche in cui non solo non abbiamo un conto, ma di cui ignoriamo l’esistenza), un attacco mirato avviene al termine di un’indagine sulla vittima.

    (altro…)

  • Finto FileZilla che ruba le credenziali

    FileZillaavast! ha scoperto una versione modificata di FileZilla che ruba le credenziali e le trasmette ad un server gestito da malviventi.

    Le versioni modificate hanno numero di release 3.7.3 e 3.5.3, si possono riconoscere essenzialmente in due modi: non eseguono l’auto-aggiornamento e le informazioni nella finestra di About sono diverse. Queste versioni sono perfettamente funzionanti e, se utilizzate, non presentano altre differenze rispetto alla versione legittima del programma.

    (altro…)

  • L’Internet delle cose insicure

    L’elettrodomestico e la casa in rete è un ritornello più vecchio della diffusione di massa di Internet.

    A questa promessa abbastanza inutile si sono aggiunte negli ultimi anni e nelle ultime settimane le promesse che tutti gli oggetti saranno online: termostati, orologi, frigoriferi, lampadine, calzini…

    Bisogna riconoscere che adesso la tecnologia c’è quasi tutta per rendere veritiere queste promesse: ogni casa tecnologica ha una connessione a Internet con un access point. Il prossimo protocollo IPv6 permetterebbe, allo stato attuale, di assegnare non meno di 264 indirizzi univoci ad ogni abbonamento residenziale.

    (altro…)

  • Vergogna!

    150Offerta di lavoro per un webmaster, grafico, esperto di SEO (già qui…) e per di più appassionato di motociclismo (non faccio commenti a sfondo sessuale, ma avete capito dove andrei a parare).

    Retribuzione: 150 euro.

    ALL’ANNO!

    Signori, capisco che si interessa di motociclismo non debba avere la benché minima conoscenza delle professionalità del web, ma voi esperti centauri vi fareste cambiare i freni da una persona che viene pagata 150 euro l’anno?

    Non è finita: una ‘APP’ verrebbe compensata con ben 100 euro.

    Essere una startup non vuol dire fare gli straccioni.  Se non avete un business plan, fatelo prima di partire, se non sapete fare un business plan, lasciate perdere. Se non avete soldi per pagare un collaboratore, usate cose come Wix, ma non offendete chi la professionalità se l’è guadagnata con studi e applicazione costanti nel tempo. (via Marco M.)

  • Defacement del sito di OpenSSL

    OpenSSLIl 29 dicembre scorso verso le 01:00UTC la home page del sito di OpenSSL ha subito un defacement ed è stata sostituita con il messaggio TurkGuvenligiTurkSec Was Here @turkguvenligi + we love openssl _

    I file del sito sono stati ripristinati entro le due ore successive, ma i dettagli dell’attacco si sono fatti attendere.

    Solamente due giorni dopo è apparso un breve messaggio che spiegava in modo molto generico e onestamente un po’ dubbioso l’accaduto:

    Initial investigations show that the attack was made via hypervisor through
the hosting provider and not via any vulnerability in the OS configuration.
Steps have been taken to protect against this means of attack in future.

    Messa così sembrava che il software che governa le macchine virtuali fosse stato attaccato; l’hypervisor è lo strato più basso di un sistema di virtualizzazione, nella virtualizzazione bare metal è anche l’ultimo strato di software prima dell’hardware. Un’affermazione di questo tipo implicava un attacco alla macchina host del provider, con tutte le conseguenze del caso.

    (altro…)