SIAMO GEEK

  • Per la scienza e per la ricerca

    Tette per la ScienzaQualche giorno fa Luigi ha postato una foto estratta dal blog “Tette per la scienza” ed è proprio da questo che voglio partire.

    Viviamo, purtroppo, in un paese strano. Molto strano… quasi assurdo.
    Un paese dove le esperienze delle vicende Mamma Ebe, Wanna Marchi e Di Bella non sono servite a nulla al punto da permettere ad un nuovo imbonitore, Vannoni, di porsi come nuovo santone della medicina italiana, senza che non sia stata prodotta una qualsiasi prova scientificha (e sottolineo scientifica) delle sue “cure”. Un paese dove si permette a trasmissioni televisive (prima fra tutte “Le Iene“) di spacciare per soluzioni e rimedi scientifici delle teorie che di scientifico non hanno assolutamente nulla, trasformando beveroni vegani in cure per reali malattie degenerative dando credibilità a libri che sono stati strasbugiardati dalla medicina, quella vera. Un paese dove si da retta a chi trasforma le leggi fisiche in assurdi complotti perpetrati da altrettanto assurde entità che gestiscono il mondo. Un paese dove (altro…)

    Kazuma

  • Tette per la Scienza

    tette per la scienza

    Inutile scrivere altro perché non lo leggerebbe nessuno. Tette per la Scienza [NSFW].

    Luigi Rosa

  • Trenord: non si fa così

    Quando devo andare a Milano per lavoro utilizzo preferibilmente il treno perché la linea suburbana da Pavia è quasi come una metropolitana e le carrozze sono climatizate.

    Viaggiando occasionalmente non ho nessun abbonamento, ma compero il biglietto semplice online il giorno in cui lo utilizzo. Dal momento che Trenord, il gestore della linea suburbana, ha attivato un sito ho provato alcune volte a comperare il biglietto lì anziché dal sito di Trenitalia.

    È un disastro.

    (altro…)

    Luigi Rosa

  • Cancellare i file: CMD vs. PowerShell

    La buona abitudine di usare gli script sta tornando anche nell’ambiente Windows.

    Dopo alcuni aborti come VBscript e alcune soluzioni di terze parti come KiXtart, sembra che PowerShell sia diventato il linguaggio di scripting sulla cui disponibilità nei client si può fare affidamento per l’immediato futuro.

    PowerShell è una CLI molto potente e non ha nulla a che fare con CMD.EXE. L’ostacolo maggiore è che ha una serie di comandi e una sintassi completamente diverse da CMD.EXE, perciò l’amministratore di un sistema Windows deve impararsi di fatto un linguaggio nuovo.

    Tra le differenze c’è l’interpretazione delle wildcard nella cancellazione dei file. (altro…)

    Luigi Rosa

  • È sufficiente il backup

    Brano dall'articolo "Dea, un altro blocco dei pc" apparso su La Provincia Pavese del 26/10/2014 e riportato in accordo al diritto di citazione
    Brano dall’articolo “Dea, un altro blocco dei pc” apparso su La Provincia Pavese del 26/10/2014 e riportato in accordo con il diritto di citazione

    Il quotidiano locale di Pavia oggi riporta la notizia di un disservizio del DEA che si protrarrebbe da alcuni giorni.

    Tra le righe, benché non venga citato espressamente il nome nell’articolo, si capisce che il problema è stato causato da una delle varianti di Cryptolocker.

    La chiusa dell’articolo, riportata a fianco, dice espressamente che il pagamento del riscatto è “l’unico modo conosciuto finora per decrittare i dati”.

    Affermazione vera nella forma, ma che lascia intendere una falsità nella sostanza. (altro…)

    Luigi Rosa

  • Verizon traccia gli utenti mobili

    Alcuni utenti hanno scoperto (qui e qui per citare degli esempi) che Verizon traccia gli utenti mobili.

    Il modo in cui lo fa è particolarmente fastidioso, in quanto ogni richiesta HTTP diretta da un dispositivo mobile verso un server viene aggiunto un header X-UIDH.

    L’header X-UIDH viene citato nel brevetto US8763101 B2 concesso quest’anno proprio a Verizon in cui, però, lo scopo dichiarato dell’header è di identificare univocamente un dispositivo per realizzare un’autenticazioni a più fattori.

    In questo caso l’header viene applicato a tutto il traffico in uscita ed è una sorta di super-cookie di tracciabilità: i server possono capire se un utente arriva da Verizon e possono tracciare quell’utente utilizzando X-UIDH anche senza inviare alcun cookie al browser dell’utente.

    Sembra che nelle opzioni offerte all’utente non ci sia la possibilità di chiedere a Verizon di non iniettare X-UIDH, ma si può solamente chiedere al provider di non rivendere a terzi i dati.

    Se in Italia esistono regole più restrittive in merito al trattamento dei dati personali, alcuni servizi potrebbero nascondere negli anfratti del loro contratto di servizio qualche consenso a tecnologia analoghe. Per questo su Siamo Geek è disponibile un visualizzatore degli header inviati dal browser per controllare quali sono gli header ricevuti dal server. (via Web Policy)

    Luigi Rosa

  • Zero-Day contro PowerPoint

    Ieri Microsoft ha rilasciato un bollettino di sicurezza su una vulnerabilità della tecnologia OLE.

    Il bollettino parla di limitati exploit in circolazione che sfruttano PowerPoint, altri non sono così ottimisti. Sono interessate tutte le versioni a 32 bit di Microsoft Office. Attenzione che il 32 bit si riferisce alla versione di Office, non del sistema operativo, quindi un Office a 32 bit che gira su un Windows a 64 bit è vulnerabile.

    Chi ha potuto esaminare l’exploit riporta che, se è attivo UAC, viene richiesto il permesso per eseguire un programma con privilegi elevati, la qual cosa dovrebbe insospettire l’utente (ma ci sono poche speranze).

    Microsoft ha rilasciato anche un QuickFix in attesa della patch definitiva via Windows Update, a testimonianza del fatto che la diffusione dell’exploit potrebbe non essere così limitata.

    Il consiglio è di installare quanto prima il QuickFix e di non aprire allegati di documenti Office (PowerPoint, Word, Excel) che provengono da fonti sconosciute, specialmente se contenuti in file compressi (ZIP).

    Luigi Rosa

  • Ricostruire Alpha

    Un ambiente dove prevalgono il bianco e le linee curve, con un gusto che molti chiamerebbero di design dove la gente vive, lavora o passa del tempo.

    L’Enterprise di JJ Abrams? Un Apple Store (non che ci sia molta differenza con l’astronave appena citata)? Un’ambientazione di Ken Adam per il cattivo di turno di James Bond?

    La base lunare Alpha di Spazio 1999, che qualcuno si sta divertendo a ricostruire in un modello 3D:

    https://www.youtube.com/watch?v=aVlPG-KQEOw

    (altro…)

    Luigi Rosa

  • Dovecot+SQL: tracciare l’ultimo login

    In molti casi è utile sapere quando un utente ha effettuato l’ultimo login via IMAP o POP ad un server di posta elettronica.

    In una configurazione con Dovecot come server IMPA/POP e MySQL/MariaDB come backend per l’archivio degli utenti fin’ora era necessario utilizzare delle scappatoie per tenere traccia dell’ultima volta in cui un utente si era collegato.

    Dalla versione 2.2.14 rilasciata lo scorso 14 ottobre Timo Sirainen ha aggiunto il plugin Last Login.

    Al momento la documentazione del plugin è abbastanza scarna, chi volesse implementare la tracciabilità dell’ultimo login in una configurazione con Dovecot, Postfix e Postfix Admin come gestione degli utenti può procedere come segue. (altro…)

    Luigi Rosa

  • CyanogenMod

    CyanogenModCon eccessivo ritardo rispetto a quando avrei dovuto farlo, mi sono finalmente deciso ad installare CyanogenMod sul telefono che uso abitualmente (Samsung S4) e sul muletto per le prove (Google Nexus S).

    Ho anche voluto documentare la procedura e scrivere un manualetto per chi vuole utilizzare CyanogenMod. Rimando a questa pagina per le procedure e le eventuali avvertenze.

    CyanogenMod permette di assumere davvero il controllo del proprio dispositivo, con i privilegi e i rischi del caso.

    Senza installare nulla in più c’è una funzione che da sola vale tutto CyanogenMod: PrivacyGuard. Questa funzione è accessibile dal menu di impostazioni sotto Privacy e permette di regolare i privilegi delle varie applicazioni. Con Privacy Guard si possono revocare o monitorare i privilegi che le vari applicazioni chiedono al sistema operativo. In questo modo potete impedire alle applicazioni di ficcanasare troppo nei vostri dati.

    Potrebbe valere la pena fare una prova, magari utilizzando un telefono compatibile dismesso o acquistato di seconda mano per familiarizzare con l’ambiente prima di utilizzare CyanogenMod sul telefono principale.

    Luigi Rosa

  • POODLE

    POODLE (Padding Oracle On Downgraded Legacy Encryption) è un tipo di attacco alle connessioni https in grado di rubare informazioni sensibili, incluse, teoricamente, le password degli account.

    L’attacco si basa su una vulnerabilità di SSLv3, RFC6101, un protocollo del novembre 1996 poco sicuro che fa parte del gruppo di protocolli di scambio dati previsti da https e da tutti i protocolli che usano TLS, come IMAPS, POP3S, SMTP con STARTTLS, eccetera.

    Quando viene iniziata una connessione TLS client e server confrontano i protocolli supportati e negoziano il più sicuro tra quelli supportati da entrambi. Tuttavia è anche possibile che un attaccante in grado di disturbare la connessione tra client e server riesca a forzare usa sessione con il protocollo meno sicuro. (altro…)

    Luigi Rosa

  • Venghino signori, venghino /2

    Articolo di tale M.FiniTale Massimo Fini (mi dicono sia un “giornalista”), ha scritto un pezzo su un giornale cartaceo a diffusione locale (mi sembra fosse il “Gazzettino del Nord-Est”) dal titolo “Il più grave pericolo per la civiltà non è l’Isis ma la scienza“. Quando ho visto la foto di questo articolo su FB ho immediatamente sperato che si trattasse di un fake, di una delle tante bufale che viaggiano in rete, ma la triste realtà è che questo è un articolo vero, effettivamente pubblicato su quel giornale.

    Un articolo che ho riletto più volte, soprattutto quando mi scontravo con frasi tipo “Il vero pericolo per la Civiltà e l’umanità è la Scienza. La Scienza tecnologicamente applicata che sembra non conoscere più limiti né opposizioni.” o come “Qui si tratta di stabilire se siano più cocciute e ottuse le persone che davanti a queste acrobazie tecnologiche provano, istintivamente, un brivido di orrore o gli scienziati che, ormai a ruota libera (perché non c’è chi osi opporsi alla Scienza, vera Dea della Modernità) le propongono.”. (altro…)

    Kazuma