SIAMO GEEK

  • PEBKAC

    Il titolo si riferisce ad uno dei tanti modi per indicare l’equivalente informatico del fattore umano.

    Negli ultimi tempi, infatti, parlare della sicurezza di un sistema operativo senza considerare il suo utente è pura propaganda markettara. Bisogna, invece, considerare l’utente e il computer nel suo insieme: un sistema sarà sicuro quando sia il computer sia l’utente avranno un altro grado di sicurezza.

    Uno dei test più semplici per valutare il fattore umano è quello, oramai diventato un classico, di disseminare delle chiavette USB nei pressi (parcheggi) dell’organizzazione da testare o in zone strategiche (aree break). Ovviamente queste chiavette contengono un malware studiato ad hoc per vedere quanti utenti contravvengono alle più banali regole di sicurezza.

    Un test simile svolto di recente presso il Department of Homeland Security americano ha rivelato un 60% di persone che hanno infilato la chiavetta nel PC di lavoro; la percentuale sale al 90% se la chiavetta è marchiata con un logo noto, un ottimo elemento di social engineering da tener presente.

    Dal momento che più grossa è l’organizzazione e maggiore è la probabilità che i computer non siano aggiornati con le ultime patch, è facile capire come sia relativamente semplice impiantare un malware in uno o più PC, che possono essere utilizzati come teste di ponte per accedere ai dati dell’organizzazione. (via Mikko Hypponen, TNW, Bloomberg)

    Luigi Rosa

  • Strategic Cyber Security

    Strategic Cyber Security è il titolo di un libro elettronico gratuito di Kenneth Geers.

    L’autore, membro del Naval Criminal Investigative Service (NCIS), è assegnato al Cooperative Cyber Defence Centre of Excellence (CCDCOE) della NATO a Tallin, Estonia.

    Il libro sostiene la tesi che la sicurezza informatica si stia trasformando da un mero problema di sicurezza ad una questione strategica.

    L’opera può essere scaricata gratuitamente e senza registrazione in formato PDF o ePUB. (via Mikko Hypponen)

    Luigi Rosa

  • DNS poisoning

    Leggo che il tema del DNS poisoning è ancora attuale, circa tre anni dopo la sua esplosione.

    Prima di tutto, un’introduzione per chi non conosce il funzionamento del DNS.

    Ogni macchina su Internet è identificata da un indirizzo numerico (per ora, principalmente nella forma a.b.c.d dove le lettere rappresentano dei numeri da 0 a 255 decimale), ma è un dato difficile da ricordare e su uno stesso IP possono vivere più server virtuali, nel caso di httpd. È stato quindi creato un sistema che associa delle sequenze più facili da ricordare ad un indirizzo numerico: è più facile ricordare siamogeek.com piuttosto che 84.19.182.37. Il sistema per passare dal nome usato dagli umani all’indirizzo numerico utilizzato dalle macchine è detto risoluzione del nome, il quale si basa sul sistema dei nomi a dominio (DNS). Quando voglio risolvere siamogeek.com, il mio computer genera un numero di sicurezza a caso tra 0 e 65.535 e lo scrive in una richiesta che invia al server DNS di riferimento (quello definito nelle impostazioni del TCP/IP del computer). Il server DNS, elabora la richiesta e risponde allegando quel numero nella risposta per fare in modo che io abbia la (relativa) sicurezza che mi ha risposto il server legittimo e non un malintenzionato. Prima del 1995 i numeri erano scelti in sequenza e, quindi, facilmente indovinabili; ora tutti i computer li scelgono a caso, ma la bontà della casualità della scelta dipende dalla piattaforma che la esegue e, quindi, potrebbe essere facilmente indovinabile. (altro…)

    Luigi Rosa

  • La paura dell’ignoto

    È di oggi la notizia che il Consiglio di Stato avrebbe modificato il regolamento di un concorso i cui era previsto che i testi venissero inviati unicamente per posta elettronica.

    La motivazione si colloca tra l’incredibile, il grottesco e il ridicolo:

    «La trasmissione informatica può diventare troppo onerosa e richiedere tempi di confezionamento e lettura più lunghi» rispetto a quella «in formato cartaceo»

    Il Consiglio di Stato ha cancellato con una sentenza oltre 20 anni di sforzi di informatizzazione nella PA. Complimenti.

    Stiamo parlando di un concorso da professore universitario con 180 commissioni, 900 esaminatori e una previsione di 25.000 candidati.

    Assieme alla domanda ogni candidato deve presentare una copia delle sue pubblicazioni, che vanno dagli articoli ai libri.

    Facciamo due conti. La Raccomandata1 di Poste Italiane costa 9 Euro fino a un chilo e 12 Euro fino a 2 chili. Immaginiamo che tutti siano bravi e stiano entro il chilo. 25.000 persone che inviano un plico a mezzo Raccomandata 1 sarebbero, quindi 225.000 Euro, poca roba per le Poste, ma un costo ingiusto per i cittadini.

    Ognuno di quei plichi, poi deve essere accettato da un addetto, registrato (magari su un foglio di Excel…), catalogato e archiviato. Ipotizzando che l’operazione richieda 5 minuti per ogni pratica, sono 2083 ore pari a 260 giorni/uomo (11 mesi/uomo) di lavoro. Ipotizzando un dipendente che prende sugli 800 Euro al mese, sono un costo di 17.600 Euro (per l’azienda il costo di un dipendente è circa il doppio dello stipendio netto). Questo costo è in capo alle Università.

    Una volta che i plichi arrivano devono essere fotocopiati e/o distribuiti tra gli esaminatori. Non conosco i meccanismi di tutto questo, ma credo che una stima molto conservativa sia di altri 50.000 Euro tra spese varie.

    Tra il serio e il faceto siamo a quasi 300.000 Euro.

    Con questi soldi potremmo pagare un corso di alfabetizzazione informatica e di ingresso nel XXI secolo ai membri del Consiglio di Stato e potremmo finanziare un restyling del sito del Consiglio di Stato, basato sui frame, con pagine create da Word in Comic Sans. Avanzerebbero ancora un sacco di soldi e si risparmierebbero chilometri quadrati di carta, risparmi che non fanno proprio male alla Pubblica Amministrazione, attenta a piangere miseria ad ogni pie’ sospinto.

    E poi, magari, alla fine qualcuno metterà tutta la carta che arriva in uno scanner per trasformarlo in PDF e distribuirlo o archiviarlo e quel qualcuno si chiederà «Ma non potevano chiedere subito una spedizione in elettronico?»

    Potenza della burocrazia.

    Luigi Rosa

  • Tante lettere nell’alfabeto

    Dopo il reboot di Star Trek nell’ultimo film della premiata ditta JJ Abrams & Soci, molti Trekker potevano pensare – a ragion veduta – di non poter vedere nessuna novità dal lato prettamente visuale nel futuro della saga dopo le vicende viste in Countdown.
    Infatti, tutto quello che succede in Star Trek dopo la conclusone di Voyager viene appunto raccontato da libri dove, essendo l’aspetto visuale il meno importante, non vediamo più una pletora di nuove astronavi o nuovi interni per mantenere attiva e focalizzata la nostra attenzione di telespettatori.
    Enterprise e, appunto, il nuovo Star Trek hanno dovuto re-inventarsi il passato, rimanendo quindi imbrigliati tra la necessità di fare qualcosa di nuovo sullo schermo, ma che non risultasse nuovo nella linearità della storia.
    Una interessante eccezione a questo trend è stato nel 2005 il concorso lanciato dalla Simon & Schuster per invitare i lettori della serie Star Trek: Titan a progettare le navi stellari classe Luna, affidandosi quindi all’entusiasmo e alla creatività dei fans.

    Nonostante quel concorso sia rimasto un caso isolato per anni, recentemente i membri del team creativo del MMPORG Star Trek Online si sono mossi nella stessa direzione. Necessitando loro una continua innovazione visiva – almeno visiva: dal lato contenutistico la piattaforma langue terribilmente, ma questa è un’altra storia –  per progettare quella che all’interno del gioco sarà la Enterprise-F e probabilmente  una nuova classe di navi basata su questo disegno, alla Cryptic hanno deciso di nuovo di affidarsi ai Trekker più capaci.
    Il risultato, dopo un rimaneggiamento della proposta di Adam Ihle che ha vinto il concorso, è il modello digitale mostrato in apertura di questo post ed è discusso in dettaglio in un post del Produttore Esecutivo e in uno del Art Lead sul sito ufficiale di star Trek Online.

    Non sono sicuro se il fatto che Star Trek sia sempre più nelle mani dei Trekker sia una cosa positiva o un allarmante segnale di una mancanza assoluta di idee da parte di chi possiede il prodotto e che dovrebbe crearne i contenuti.

     

    Luca Mauri

  • FabFi

    FabFi è una rete mesh ibrida open source nata in Afghanistan e attiva anche in Kenya.

    Le reti mesh operano in un modo molto simile a come era stata prevista Internet dall’ARPA,  dal momento che ogni nodo ha il compito di rilanciare anche i dati di altri nodi per collaborare alla loro distribuzione. In altre parole, se un gruppo di nodi va giù, una rete mesh può comunque far funzionare i nodi attivi cambiando il routing del traffico.

    FabFi utilizza materiali facilmente reperibili per realizzare i ponti radio tra i vari nodi. Le parabole che interconnettono i router sono realizzate utilizzando come riflettore diversi oggetti metallici.

    L’estrema versatilità di FabFi consente di collegare due nodi sia via radio sia via cavo.

    Il software che gira sui router si basa su OpenWrt e permette il monitoraggio in tempo reale della rete (link al grafico dell’Afghanistan), il sistema di tariffazione, il controllo di accesso centralizzato e un sistema di caching locale. Le ultime release del software permettono di gestire anche i router 802.11n.

    La rete funziona grazie allo sforzo degli operatori dei singoli nodi, che dedicano le loro risorse di tempo e denaro per attivare e manutenere il loro nodo, permettendo a tutta la rete di funzionare correttamente. Non vi ricorda un po’ FidoNet? 😉

    Luigi Rosa

  • Computer multimediali, 10 anni fa

    Mi è capitata tra le mani la copia di gennaio 2000 di Computer Music.

    Nella terza di copertina c’è la pubblicità di un assemblatore oramai defunto che offriva un computer multimediale con le caratteristiche qui a fianco.

    Notare i due dischi separati da 8,6 Gb (boot) e 10,2 Gb (dati) e  ben 128 Mb di RAM.

    Quelle sono caratteristiche che adesso si applicano agli smartphone.

    Luigi Rosa

  • CAFFÈ!

    [youtube=http://www.youtube.com/watch?v=OTVE5iPMKLg&w=480]

    Luigi Rosa

  • Reset delle password di WordPress.org

    Ieri le password degli account di WordPress.org sono state resettate e gli utenti devono sceglierne una nuova.

    La decisione segue una serie inusuale di aggiornamenti di vari plugin molto utilizzati, tra cui AddThis, WPtouch e W3 Total Cache. Un’analisi ha rivelato che tutti questi aggiornamenti contenevano una backdoor e che le nuove versioni non erano state caricate dagli sviluppatori.

    Gli amministratori hanno ripristinato la versione dei plugin senza backdoor e hanno deciso di resettare le password di tutti gli utenti.

    Se avete un account su WordPress.org andate su questa pagina per impostare la nuova password.

    Come al solito, vale la regola che non è una buona idea utilizzare la medesima password per siti differenti.

    Luigi Rosa

  • Super Star Destroyer in LEGO

    [youtube=http://www.youtube.com/watch?v=Ny9rhYG4t_g&w=480]

    LEGO ha annunciato per il primo di settembre la disponibilità del kit del Super Star Destroyer.

    Una volta costruito il modello dell’astronave di Guerre Stellari sarà lungo 124,5 centimetri.

    Nel kit sono inclusi un modellino dello Star Destroyer in scala e quattro personaggi: Darth Vader, l’Ammiraglio Piett, Dengar, Bossk e IG-88.

    Luigi Rosa

  • Tu usa il mio che io uso il tuo

    Con notevole ritardo, questo fine settimana ho finalmente completato la visione del keynote presentato da Steve jobs nell’ultima Apple WWDC su YouTube.
    L’ho trovato un po’ sottotono rispetto alle presentazioni viste nei mesi passati, che erano state decisamente di impatto maggiore, nonostante in questo particoalre frangente le novità fossero molte e qualcuna anche interessante.

    Tutti ormai sapete che una delle novità presentate è stato iCloud, il sevizio di Apple che consoliderà l’offerta online esistente in un prodotto nuovo e apparentemente più funzionale.
    Per mostrare che Apple ha tutti i mezzi per supportare una infrastruttura cloud di questo tipo e con la capacità promessa, proprio negli ultimi minuti di presentazione, Jobs ha mostrato le fasi di costruzione della terza server farm della Azienda, sia all’esterno che all’interno.

    In qualche fotogramma che mostra per brevemente un corridoio freddo della farm, ho notato una cosa curiosa che potete anche voi vedere nelle due foto inserite in questo post.
    Vi sarete resi conto che nessuno dei server nei rack è un server Apple, ma anzi le mollette di dischi hot-swappable di colore bordeaux ci fanno capire subito che queste macchine sono prodotte da un’altra Azienda californiana abbastanza nota agli addetti al settore.

    Sarebbe stato di grande impatto mostrare come anche l’infrastruttura server che sta dietro le quinte dell’offerta consumer di Apple è basata su Mac e MacOS X, non tanto per i fan sfegatati – che per loro definizione rimangono tali indipendentemente che quello che succede – ma piuttosto nei confronti del mercato business.
    Il messaggio che passa allo spettatore, a mio parere, è che il Mac va bene per i giochini a casa, ma quando invece il gioco si fa duro e si parla di stabilità del business – e di profitti della Apple – bisogna rivolgersi a una informatica di tipo e marca diversa, forse più seria.
    Che il mago del marketing stavolta abbia toppato alla grande?

    Luca Mauri

  • Non è colpa degli hacker

    Ultimamente ci sono stati molti episodi di attacchi informatici a vari siti, a partire dal noto caso di Sony, di cui credo si sia perso il conto dei siti compromessi.

    The Hacker News segnala un errore nel sito di CNN che sono riuscito a riprodurre senza problemi.

    Se si visita l’URL http://cgi.money.cnn.com/tools/collegecost/collegecost.jsp?college_id='7966 (notare l’apicino) esce il bel messaggio d’errore

    ERROR!
SELECT G.NAME, G.STATE_CODE, G.CITY, E.TUIT_OVERALL_FT_D, E.TUIT_AREA_FT_D, E.TUIT_STATE_FT_D, E.TUIT_NRES_FT_D, E.FEES_FT_D, E.RM_BD_D, E.RM_ONLY_D FROM COLLEGE_EXPENSES E, COLLEGE_GENERAL G WHERE G.INUN_ID = '7966 AND G.INUN_ID = E.INUN_ID (+) ORDER BY E.ACAD_YR DESC
java.sql.SQLException: ORA-01756: quoted string not properly terminated

    e la videata riprodotta a qui sopra.

    Questo non è un sofisticato attacco di un esperto programmatore contro un sito dotato di tutte le normali difese che il buon senso richiede.

    Si tratta, invece, del più banale degli esempi di SQL Injection, così ovvio che è citato nella Wikipedia.

    Come narra la cronaca, la maggior parte degli attacchi contro vari siti ha avuto successo non perché portati da gente esperta, ma perché c’era una porta lasciata colpevolmente aperta che attendeva solamente che qualcuno entrasse.

    Un’ultima cosa:  visualizzare all’utente trace e dettaglio degli errori in un ambiente di produzione non è la più furba delle idee.

    Luigi Rosa