SIAMO GEEK – Pagina 44 – Sperimentatori, entusiasti della tecnologia

12/04/2014

Questionario

Lavorate per una società che distribuisce software di contabilità?

Siete le persone che intervengono presso i clienti (fisicamente o da remoto) per installare, aggiornare, o comunque manutenere quei software?

Siete tra quelli che creano ogni volta un backup completo di tutto il programma anche se aggiornate un solo file?

Il suddetto backup lo fate copiando tutta la struttura di directory in una directory con un nome casuale o comunque senza una logica che accomuna tutti i backup?

Non cancellate mai i vecchi backup dei programmi che voi avete creato intasando il server e, soprattutto, i backup (quelli veri) che fa il vostro cliente?

Se avete risposto SÌ a tutte queste domande sappiate che vi voglio male, vi odio e vi auguro le peggio cose ogni volta che devo mettere le mani sui server.

Luigi Rosa
11/04/2014

Heartbleed: anche le password

Ancora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti.

Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze sono ovvie.

Il consiglio a tutti gli utenti è quello di cambiare al più presto TUTTE le password di Home Banking, Facebook, Google, LinkedIn, PayPal, Amazon e di tutti i vari servizi in giro sul web a cui siete iscritti (specie quelli in cui c’è movimento di denaro o dati di carte di credito) perché potrebbero essere state compromesse. E’ difficile ma dobbiamo presumere per sicurezza che sia stato fatto.

Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI! Se craccano il servizio esterno mettete in pericolo pure l’infrastruttura dove lavorate. Se l’avete fatto in passato occorre cambiare anche quella password (supponendo che le regole interne non vi obblighino già a farlo regolarmente).

Mai, mai, mai, mai utilizzare la stessa password su più siti diversi. MAI! Se viene compromesso un sito possono (anzi lo fanno di sicuro) provare a vedere se lo stesso account è presente su altri servizi.

Ad esempio se vi catturano la password di Facebook che mettiamo sia uguale a (esempio assurdo) quella del vostro Home Banking pensate che di essere al sicuro?

Avere password differenti è importante, pensate al vostro portachiavi. Avete un unica chiave oppure una chiave per ogni porta che dovete aprire?

Per quanto riguarda la complessità della password… lasciamo stare la teoria che vorrebbe password lunghe chilometri con ghirigori, maiuscole, minuscole, numeri, simboli, giravolte, sbirigudi ed antani. Proteggiamo pesantemente (magari con l’autenticazione multipla e con SMS di avviso) l’account che per voi è fondamentale. Quello su cui magari vi arrivano le notifiche dagli altri account e tramite il quale possono accedere agli altri servizi. Per gli altri servizi si può utilizzare una password più semplice da ricordare (ATTENZIONE: semplice non significa banale o completamente idiota) e magari dove disponibile attivare sempre l’autenticazione multipla.

Per fare un esempio recentemente è saltata fuori la storia di un giornalista a cui hanno rubato tutti gli account semplicemente perché sono riusciti ad introdursi nella sua posta elettronica. Una volta preso il controllo delle mail gli hanno cambiato le password di tutto, rubato gli account Twitter, Facebook, Google+ e i domini Internet dei propri siti web. Fate voi.

E se pensate “a me non succederà mai perché chi vuoi che mi attacca a me” siete le vittime perfette. Pensate che la maggior parte di questi attacchi non sono mirati ma fatti con script automatici. A loro non interessa chi siete ma solo i vostri account.

L’ho già detto “Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI!” ? Ve lo ridico giusto per essere sicuri.

Fine del pippone.

Air Force One
10/04/2014

Heartbleed: non solo i server

Quando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.

Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂

Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.

I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.

La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.

È quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.

Aggiornamento 13 aprile 2014 – Uno script in Python permette di verificare se un client è vulnerabile.

Luigi Rosa
10/04/2014

Cosa ci serve?

La definizione chiara delle necessità è uno degli aspetti più trascurati quando si progetta di cambiare parte del sistema informativo.

La ragionevolezza vorrebbe che quando si decide di cambiare o aggiornare una parte del sistema ICT si faccia un’attenta analisi della situazione attuale, delle necessità e dei fondi disponibili. Con questi dati si valutano assieme ai professionisti e ai fornitori le soluzioni tecniche disponibili che soddisfano le necessità, rientrano nel budget e si integrano il più possibile con la situazione attuale. Questa valutazione produrrà un elenco di una o più soluzioni tra cui verrà scelta quella da adottare.

Sembra una procedura abbastanza ragionevole e lineare, anche se qui sopra è stata espressa per sommi capi e in maniera molto succinta.
(altro…)

Luigi Rosa
09/04/2014

Heartbleed

Heartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse.

OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.

Microsoft Internet Information Server non è interessato da questo problema.

I prodotti Apple non sono interessati dal problema, con l’eccezione dell’AirPort per cui è disponibile un aggiornamento.

Tutto è cominciato nel 2012 con la release di OpenSSL 1.0.1 che introduce il supporto di RFC6520 e implementa l’heartbeat sulle connessioni TLS. Questa funzione serve a mantenere il canale aperto e impedire, quindi, che client e server debbano rinegoziare la connessione in caso di temporanea inattività. L’espediente dell’heartbeat o keep-alive è utilizzato in molti contesti in cui si invia un pacchetto dati senza informazioni con il solo scopo di resettare eventuali contatori di inattività.

Il problema di OpenSSL è che una riposta al’heartbeat modificata ad arte può rivelare all’attaccante informazioni di vario tipo. Non è possibile utilizzare questa vulnerabilità per eseguire codice sul server remoto, ma questo non è certo un fattore mitigante, vediamo perché. (altro…)

Luigi Rosa
08/04/2014

Di informatica, burocrazia, sicurezza

La burocrazia (etimologicamente: il potere dell’ufficio) è da più parti considerata un male; molti scritti autorevoli dimostrano anche che sia un fattore criminogeno.

Tra IT e burocrazia è stata subito guerra aperta perché sono due discipline le cui filosofie stanno più che mai agli antipodi. Le caratteristiche di determinismo, rapidità e tracciabilità mal si sposano con chi inventa regolamenti per il puro gusto di farlo e tira in lungo per esercitare un potere meschino che non può durare.

E non pensate che queste cose si verifichino solamente nel settore pubblico.
(altro…)

Luigi Rosa
07/04/2014

L’amore ai tempi del computer… cambia!

Qualche giorno fa sono stata al cinema per vedere Her (Lei). E’ il tentativo di esplorare il rapporto tra l’uomo e la macchina, un tentativo delicato e soffuso di malinconia. Non che non sia, ovviamente, a volte preda di momenti morti e comicità involontaria. E quella volontaria a volte lasciava perplessi… roba che il gatto di Schrodinger viene usato in maniera molto creativa in caso di ipotetico rilascio dalla sua scatola!

Leggendone su wikipedia ho scoperto di un film di 30 anni fa esatti che cercava di fare lo stesso in maniera più scanzonata e creando un menage a trois con il computer Edgar ad intromettersi tra i due innamorati. Non l’ho ancora visto ma il dvd è stato preso e donato. Se ne prevede la visione a breve e spero di riuscire a tirare un parallelo migliore tra Lei ed Electric Dreams (1984). Intanto canzoni e trailer a confronto! (altro…)

Fiordortica
07/04/2014

Marketing
- A new generation of computing equipment was introduced today
- […] represents a sharp departure from concepts of the past in designing and building computers
- The result will be more computer productivity at lower cost than ever before.
- This is the beginning of a new generation
Domanda: riuscireste a capire quando sono state scritte queste parole?

Risposta.
Luigi Rosa
07/04/2014

Houston abbiamo il codice sorgente
Nel 2009 dalle parti di Google, per festeggiare degnamente il 40° anniversario della missione Apollo 11, hanno trascritto il codice del Modulo di Comando (CM) e del Modulo lunare (LM) a partire dalle pagine scansionate del codice sorgente. Questo ha consentito di farlo girare nel yaAGC (un emulatore di AGC open source) del Virtual AGC and AGS project.

Alcuni link al codice sorgente:
Tutto questo ovviamente non sarebbe mai stato possibile se ogni più piccolo dettaglio delle missioni lunari non fosse stato minuziosamente documentato e rilasciato al pubblico dominio.

(via archeologiainformatica.it)
Air Force One
02/04/2014

Software obsoleto

Da poco tempo si sono svegliati tutti, incluse le pubblicità con target generico, nel ricordare ad nauseam che è imminente la fine del supporto di Windows XP.

Per quanto riguarda il sistema operativo di Microsoft c’è una pagina dedicata con tutte le informazioni, che verrà aggiornata in caso di novità.

Nonostante secondo alcuni sondaggi relativi a fine marzo 2014 XP copra ancora il 20% dell’utenza di Internet, quel sistema operativo non è l’unico software obsoleto ad essere ancora in giro.
(altro…)

Luigi Rosa
31/03/2014

Spam nell’oggetto

Ogni tanto gli spammer riescono ancora a stupirmi.

Ieri sera ho ricevuto una mail di spam riprodotta a lato il cui messaggio di spam era tutto nell’oggetto.

Analizzando gli header, risulta che la mail è partita effettivamente da un account di Yahoo! giapponese, la cui validità è verificata anche dal DKIM, con buona pace di chi si illude che questa tecnologia possa servire ad evitare lo SPAM.

Il malfattore ha utilizzato l’IP 41.207.194.14 della Costa D’Avorio per collegarsi al webmail di Yahoo! e inviare la mail.

Se il sistema di filtro della posta elettronica lo permette e questo tipo di protezione non è già attiva, si potrebbe limitare la lunghezza dell’oggetto delle mail ad una dimensione ragionevole. Per la cronaca, la dimensione totale dell’header Subject della mail qui riprodotta è di 3501 byte.

Luigi Rosa
30/03/2014

Piccoli geek crescono (introduzione alla programmazione)

Scratch

Rimango continuamente stupito dalla facilità dei nostri figli di apprendere l’utilizzo di nuove tecnologie.

La loro generazione ha sviluppato un modello di apprendimento a ad hoc per riuscire a galleggiare nella tempesta di novità che la tecnologia mette in campo ogni giorno.

E’ una generazione di “smanettoni”: per risolvere un problema o imparare ad utilizzare qualcosa non legge il manuale (che ormai non esiste quasi più), semplicemente prova una soluzione, se è sbagliata fa un passo indietro e ne tenta un’altra. Il risultato di tutto ciò è che la soluzione arriva rapida ed il bagaglio individuale si arricchisce anche di esperienze negative che saranno utili la prossima volta.

Per molti aspetti questa è anche una forma di difesa verso una scuola pubblica che, incapace di rimanere al passo con i tempi, non è in grado di supportarli nell’apprendimento di cose nuove.

(altro…)

F Vettore