SIAMO GEEK – Pagina 51 – Sperimentatori, entusiasti della tecnologia

13/12/2013

RedHat 7.0 beta 1
RedHat ha annunciato la disponibilità di RedHat Enterprise Linux 7 Beta 1.

La versione beta è liberamente scaricabile da tutti per la valutazione e per segnalare anche eventuali problemi.

A differenza dalla precedente versione 6, sarà possibile effettuare un aggiornamento in place della versione 6.5 senza la necessità di riformattare o reinstallare da zero.

Non è più possibile installare la versione 7 su processori a 32 bit, il cui supporto è garantito attraverso la virtualizzazione oppure un layer di compatibilità software.

Le nuove installazioni della distribuzione avranno per default il file system xfs, anche se sono comunque supportati i file system ext.

Tra le novità e i limiti di Red Hat 7 si possono annoverare:
- 3 Tb di RAM massima, 1 Gb di RAM minima (per la versione x86_64);
- file system di massimo 500 Tb e singolo file di massimo 16 Tb con xfs;
- kernel 3.10.0;
- systemd sostituisce gli script di init e altri aspetti di avvio del sistema;
- ext2 ed ext3 sono sconsigliati e dovrebbero essere sostituiti in place da ext4;
- webalizer, thunderbird e compiz sono stati rimossi;
- MariaDB ha sostituito MySQL;
- sendmail è sconsigliato, anche se non ci voleva Red Hat…
Questo è solamente un assaggio della novità che sono elencate in dettaglio nelle note di rilascio.

Chi utilizza o amministra RedHat o CentOS dovrebbe familiarizzare con la versione 7 prima di metterla in produzione perché alcune novità, come systemd, sono davvero strutturali.

Il team di CentOS sta già lavorando per costruire l’ambiente della versione 7.
Luigi Rosa
12/12/2013

FreeBSD abbandona i RNG sui chip

Il gruppo di lavoro che si dedica alla sicurezza di FreeBSD ha deciso di abbandonare l’utilizzo del generatore di numeri casuali (RNG) presente sui chip.

Il motivo principale di questa scelta risiede nel timore che tra le attività della NSA rivelate da Snowden ci sia stata anche quella di indebolire l’entropia di questi generatori come è successo con gli standard di crittografia del NIST.

Al posto del supporto del RNG sul silicio ci sarà un software che potrebbe essere Yarrow oppure il suo successore Fortuna.

Nella versione 10 di FreeBSD RdRand di Intel e Padlock di Via Technology verranno, quindi, abbandonati e sostituiti con un generatore via software; gli applicativi potranno comunque continuare ad utilizzare quelle funzioni al posto di /dev/random

Linux continua ad utilizzare i RNG sui chip, ma non come uniche fonti di entropia, contenendo l’eventuale (ma non ancora dimostrata [PDF]) limitazione artificiale del generatore di numeri casuali. Una possibile soluzione, specialmente per le macchine virtuali, potrebbe essere haveged, anche se la materia è ancora oggetto di discussione.

Una buona generazione di numeri casuali è fondamentale per garantire la sicurezza delle trasmissioni crittografate, quindi non si tratta di una questione di pura estetica.

Luigi Rosa
11/12/2013

iddqd idkfa idspispopd

Venti anni fa la Id Software pubblicava doom1_0.zip

Il gioco shareware ha avuto una diffusione rapidissima, rimbalzando da un sito FTP ad un altro e da una BBS ad un’altra, anche se in quel periodo molti file venivano scambiati incontrandosi di persona e portando con sé borsate di floppy da usare per scambiare file e programmi.

DOOM non è stato il primo FPS, ma è stato il più famoso, quasi iconico per il genere. La stessa Id Software aveva già pubblicato Wolfenstein 3D, ma DOOM era un’altra cosa.

Era forse il primo gioco che, se giocato al buio usando le cuffie, ti faceva letteralmente saltare sulla sedia.

Il programma di DOOM 1.0 dovrebbe girare ancora senza problema in un Windows a 32 bit. Chi “non c’era” potrebbe provarlo. Lo troverà molto semplice, ma deve considerare che è nato tutto da lì: sembra che DOOM sia stato giocato da dieci milioni di persone nei primi due anni dopo la pubblicazione. Senza la pervasività di Internet che abbiamo adesso. (via Extreme Tech)

Luigi Rosa
09/12/2013

Il lato negativo

Nel campo della fotografia digitale, tutti sanno che esistono alcuni formati standard che negli anni sono diventati ubiqui: per citare i più famosi ricordiamo il TIFF e JPEG normalmente usati per la “fotografia” come generalmente intesa.
Per quanto questi formati siano compresi solo in maniera superficiale dagli utenti – provate solamente a menzionare la compressione lossy o lossless in una conversazione e i risultati saranno esilaranti – e di conseguenza spesso utilizzati a sproposito, si tratta ad ogni modo di sigle e concetti che sono più o meno entrati nel gergo comune, sia a casa che sul posto di lavoro.

La stessa cosa non può dirsi per quanto riguarda le immagini cosiddette RAW ovvero quei formati immagine (normalmente corredati da appositi meta-dati) che memorizzano i dati grezzi provenienti dai sensori di immagini delle fotocamere digitali. Per fare un confronto con la pellicola – per quanto in termini semplicistici – potremmo dire che un file RAW rappresenta la negativa mentre una immagine JPEG è più simile a una stampa.
L’immagine RAW contiene sostanzialmente tutte le informazioni catturate dal sensore ottico, una foto JPEG è il risultato di una elaborazione (e normalmente anche di una compressione lossy) di queste stesse informazioni: si tratta quindi di un prodotto finito creato però in base a parametri necessariamente meccanicistici dei processori di immagine all’interno della fotocamera. Per tornare alla metafora di prima, qualcosa di simile ai minilab che sviluppano e stampano le negative senza, o quasi senza, intervento umano. (altro…)

Luca Mauri
09/12/2013

Le diecimila password peggiori

Mark Burnett ha raccolto nel tempo varie password che sono state pubblicate per buchi nella sicurezza.

Adesso ha deciso di pubblicare le 10.000 password più utilizzate, quindi le 10.000 password da non utilizzare mai.

Le password sono in un file di testo, che può essere importato in un archivio di black-list per evitare che gli utenti scelgano password troppo facili da indovinare.
(altro…)

Luigi Rosa
06/12/2013

Avete un utente admin su WordPress?

Se sì e se è un utente valido siete dei gonzi.

La tabellina a fianco mostra l’elenco di IP che in meno di 10 ore ieri hanno tentato almeno 5 login come admin a questo sito.

Probabilmente è un programma utilizzato da qualche script kiddie, ma non per questo meno pericoloso, specialmente se poi il sito viene trapanato.

Il report è generato dal plugin Limit Login Attempts, che merita sicuramente di essere installato su un WordPress esposto ad Internet.

Le funzioni del plugin sono essenziali, ma ci sono tutte quelle che servono: numero di tentativi, durata della prima blacklist, tentativi che scatenano la seconda blacklist e relativa durata, tempo dopo il quale vengono resettati i contatori. Si può anche fare in modo di notificare l’amministratore (quello legato all’utente admin…) quando scatta una blacklist di secondo livello.

Un plugin come Limit Login Attempts è fondamentale in quanto in WordPress non sono (ancora?) disponibili funzioni integrate di lockout degli utenti.

Luigi Rosa
05/12/2013

Abbiamo il diritto di aver qualcosa da nascondere

F-Secure ha pubblicato un articolo in cui viene spiegato perché è legittimo che le persone oneste abbiano qualcosa da nascondere.

Ho aiutato Paolo Attivissimo a tradurre l’articolo in italiano; qualsiasi sia la lingua, vi consiglio una lettura di quel breve testo.

Il diritto alla privacy non è negoziabile. La storiella che rinunciando alla propria privacy si aiuta a costruire una società più sicura è una clamorosa bugia dimostrabile con i fatti. Chi rinuncia alla propria privacy alimenta uno stato di sorveglianza in cui i diritti vengono erosi uno alla volta. Oggi è la privacy, domani cosa sarà?

How much is too much?

La giusta conclusione dell’articolo è che le persone che rinunciano alla propria privacy forzano i loro amici e contatti a rinunciare alla loro perché i dati che rivelano riguardano anche terzi.

Come non ci fideremmo a consegnare dati o valori materiali ad organizzazioni che non dimostrano di avere una giusta cura nella loro conservazione, così dovremmo iniziare a ridurre le informazioni condivise con chi non pone la giusta attenzione nella gestione dei dati.

Sembra un’affermazione forte, ma se ci si pensa è quello che molti fanno inconsciamente da sempre. Non si rivela un’informazione a chi sappiamo che la direbbe a tutti e rifiutiamo un contatto sui social a persone che hanno contatti che non ci piacciono. È un nostro diritto di auto-tutela e non dobbiamo sentirci colpevoli per questi comportamenti.

Luigi Rosa
04/12/2013

Blues Brothers: scena del centro commerciale in LEGO

[youtube=http://www.youtube.com/watch?v=bJ_uqlNgSU8&w=500]

L’inseguimento all’interno del centro commerciale ricostruito con mattoncini e minifig LEGO.
Bonus: versione side by side e making (via Boing Boing)

Luigi Rosa
02/12/2013

CentOS 6.5
È stata rilasciata la versione 6.5 di CentOS, la distribuzione linux gratuita compatibile anche a livello binario con RedHat.

Come di consueto, i sistemi su cui era attiva la Continuous Release (CR) hanno di fatto ricevuto tutti gli aggiornamenti la scorsa settimana.

Tra le novità si possono segnalare:
- pieno supporto del Precision Time Protocol, precedentemente classificato come technology previrew. Il PTP è un protocollo che permette una precisione maggiore di NTP per i contesti dove è necessaria la sincronizzazione ad altra precisione senza dover installare un ricevitore GPS su ogni host;
- OpenSSL è stato aggiornato a 1.0.1 e supporta TLS 1.1 e 1.2;
- KVM è stato migliorato e supporta l’hotplug delle CPU;
- sono stati aggiornati i driver di Hyper-V;
- Evolution 2.32;
- LibreOffice 4.0.4.
Si possono scaricare le immagini ISO delle installazioni via torrent (i386, x86_64) oppure da uno dei mirror.
Luigi Rosa
30/11/2013

Blackout dei sistemi SOGEI

Una notizia riportata da pochissimi: il 25 novembre i server di SOGEI sono andati offline.

SOGEI negli anni ha propagandato la sua grandeur raggiunta con i soldi dei contribuenti con lo scopo (anche) di spiare i contribuenti.

Pochi giorni dopo l’audizione autocelebrativa dell’AD di SOGEI in Commissione Vigilanza, i server si sono spenti.

Il comunicato stampa che ne è seguito è uno spaccato di burocratese da nomenklatura sovietica in cui si tenta di spiegare che i server si sono spenti perché il cielo ci è caduto sulla testa mentre era in corso un’invasione aliena durante un allineamento planetario poco favorevole. John Belushi davanti a Carrie Fisher era un dilettante. Leggete il comunicato stampa, ne vale la pena: è il tipico scritto dell’ente pubblico italiano che non perde occasione di pavoneggiarsi, anche quando farebbe meglio a soprassedere.

Altre fonti riportano che il sistema di backup elettrico automatico non funzionava.

Edoardo Narduzzi commenta bene questa figuraccia della tipica società pubblica bravissima a fare la ruota vantandosi di spendere fiumi di denaro pubblico, ma pavida e restia nella trasparenza e nell’efficienza che ci si aspetta da una società in cui “le migliori soluzioni tecnologiche siano poste, sempre, al servizio della collettività“.

Luigi Rosa
28/11/2013

Zero Day per Windows XP e Server 2003

FireEye ha scoperto un malware che sfrutta una vulnerabilità non ancora corretta del kernel di Windows XP e Winodws Server 2003 che permette un guadagno locale di privilegi.

Se questa vulnerabilità non permette direttamente di eseguire del codice da remoto, consente comunque di eseguire del codice con privilegi elevati.

Esiste un documento PDF che sfrutta questa vulnerabilità assieme alla versioni di Acrobat Reader 9.5.4, 10.1.6, 11.0.2 e inferiori; il PDF esegue uno script shell che crea un eseguibile in una directory temporanea e lo esegue. Rer queste versioni di Acrobat reader esiste già un bollettino tecnico e una relativa patch.

Microsoft ha rilasciato un bollettino tecnico che spiega anche come impedire che questa vulnerabilità venga sfruttata, ma al costo di disabilitare i servizi che si basano sulle API di Windows Telephony (TAPI), tra cui il Remote Access Service (RAS) e le VPN.

È verosimile che molti malviventi (e organizzazioni assimilate) che sfruttano le vulnerabilità dei sistemi per scopi illegali stiano aspettando la fine del supporto di Windows XP per utilizzare questi e altri bachi del sistema operativo. Ad oggi basta pazientare solamente per 131 giorni. (via ISC)

Luigi Rosa
24/11/2013

Perfect Forward Secrecy

Il protocollo HTTPS come è implementato da molti siti o browser ha un problema con il futuro.

Ipotizzando che qualcuno stia registrando tutto il traffico HTTPS di un sito adesso potrebbe solamente avere in mano dei dati illeggibili. Ma cosa succederebbe se venisse trafugata la chiave segreta, oppure se un domani i computer riuscissero in poche settimane a scardinare la chiave utilizzata?

C’è un passaggio fondamentale nei primi millisecondi del protocollo HTTPS:

Il browser, verificato il certificato, invia un messaggio al server che contiene un altro numero casuale cifrato con la chiave pubblica del server

Quindi, chi riuscisse a calcolare o trafugare la chiave privata del server potrebbe decifrare tutto il traffico HTTPS protetto con quella coppia di chiavi, ipoteticamente salvato negli anni, che fino a quel momento non era decifrabile (retrospective decryption).

Lo scambio di una chiave segreta condivisa su un canale non sicuro è un problema non nuovo. Whitfield Diffie, Martin Hellman e Ralph Merkle avevano trovato una soluzione già negli anni ’70 del secolo scorso elaborando quello che poi sarebbe diventato il protocollo Diffie-Hellman per lo scambio di chiavi (brevetto US4200770 ora scaduto).

Anche in questo caso bisogna fare un passo indietro per vedere come funzionano le cose dietro le quinte.

(altro…)

Luigi Rosa