SIAMO GEEK

  • Perfect Forward Secrecy

    Il protocollo HTTPS come è implementato da molti siti o browser ha un problema con il futuro.

    Ipotizzando che qualcuno stia registrando tutto il traffico HTTPS di un sito adesso potrebbe solamente avere in mano dei dati illeggibili. Ma cosa succederebbe se venisse trafugata la chiave segreta, oppure se un domani i computer riuscissero in poche settimane a scardinare la chiave utilizzata?

    C’è un passaggio fondamentale nei primi millisecondi del protocollo HTTPS:

    Il browser, verificato il certificato, invia un messaggio al server che contiene un altro numero casuale cifrato con la chiave pubblica del server

    Quindi, chi riuscisse a calcolare o trafugare la chiave privata del server potrebbe decifrare tutto il traffico HTTPS protetto con quella coppia di chiavi, ipoteticamente salvato negli anni, che fino a quel momento non era decifrabile (retrospective decryption).

    Lo scambio di una chiave segreta condivisa su un canale non sicuro è un problema non nuovo. Whitfield DiffieMartin Hellman e Ralph Merkle avevano trovato una soluzione già negli anni ’70 del secolo scorso elaborando quello che poi sarebbe diventato il protocollo Diffie-Hellman per lo scambio di chiavi (brevetto US4200770 ora scaduto).

    Anche in questo caso bisogna fare un passo indietro per vedere come funzionano le cose dietro le quinte.

    (altro…)

    Luigi Rosa

  • Nuovi gTLD in arrivo

    Sono in arrivo nuovi domini generici di primo livello.

    Il prossimo 11 novembre partirà il sunrise di questi gTLD:

    • .bike
    • .clothing
    • .guru
    • .holdings
    • .plumbing
    • .singles
    • .ventures

    Mentre il prossimo 3 dicembre partirà il sunrise di questi altri:

    • .camera
    • .equipment
    • .estate
    • .gallery
    • .graphics
    • .lighting
    • .photography
    • .sexy
    • .tattoo

    In base al regolamento ICANN, è obbligatorio stabilire un periodo iniziale di sunrise di almeno 30 giorni durante il quale la registrazione di nomi sotto quel gTLD è riservata ai possessori di marchi.

    (altro…)

    Luigi Rosa

  • La fine di Winamp

    WinampIl prossimo 20 dicembre AOL chiuderà il sito di Winamp e i relativi server che gestiscono i servizi accessori.

    Ce n’eravamo quasi dimenticati, ma negli anni 90 Winamp era il programma più utilizzato per ascoltare gli MP3 (scaricati da Napster…)

    Per anni le playlist di Winamp ci hanno tenuto compagnia, fino a quando il player integrato di Windows ha implementato tutte le caratteristiche di Winamp rendendo di fatto inutile l’installazione di un secondo player per i brani musicali.

    Winamp è passato sotto il controllo di AOL nel 1999 quando la NullSoft è stata acquisia per 80 milioni di dollari in azioni. In seguito a ciò, Winamp era nella posizione di poter diventare il client di una piattaforma di vendita di contenuti multimediali, ma alcune decisioni errate di AOL hanno compromesso la sua posizione occupata negli anni successivi da iTunes.

    Winamp, it really whips the llama’s ass.

    Luigi Rosa

  • 357116 Attivissimo (2001 WH)

    AttivissimoUn asteroide è stato battezzato Attivissimo, in onore di Paolo Attivissimo.

    Su questa pagina del JPL si possono vedere le caratteristiche dell’asteroide e della sua orbita (per visualizzare l’orbita è necessario aver installato Java).

    Si tratta di un asteroide della cintura principale posizionata tra le orbite di Marte e Giove.

    Complimenti a Paolo oltre che per avere un asteroide a suo nome che gira attorno al sole, soprattutto per dare un grosso contributo ad illuminare la tenebra dell’ignoranza (in senso etimologico) di tutti noi sia con i suoi articoli sia con gli spunti di approfondimento che contengono.

    Luigi Rosa

  • Porta USB di Android

    usb uartL’acceso fisico ad un computer equivale all’accesso di root.

    Sebbene questo sia il mantra che viene ripetuto da chi si occupa di sicurezza, c’è la presunzione che cellulari e tablet siano meno attaccabili di un normale computer sotto questo aspetto. Illusi.

    I sistemi di estrazione dei dati dai cellulari sono relegati alle apparecchiature per l’uso forense, che costano (quelle belle) oltre diecimila euro, escluso l’abbonamento annuale per gli aggiornamenti.

    Michael Ossmann e Kyle Osborn hanno dimostrato {video} come sia possibile con costi contenuti e con materiali facilmente reperibili accedere alla console di debug di Android di molti dispositivi, anche se la funzione di debug è disabilitata. Il metodo utilizzato è semplicissimo, una volta che si conosce come funzionano le cose.

    (altro…)

    Luigi Rosa

  • Nedelin

    Memoriale della catastrofe di Nedelin (da Wikipedia)

    Questo nome da solo fa venire i brividi a chi si interessa di storia della missilistica.

    Mitrofan Ivanovich Nedelin (Митрофа́н Ива́нович Неде́лин) è stato un militare dell’esercito sovietico che ha spinto l’adozione dei missili balistici intercontinentali come vettore per bombardare, in caso di guerra nucleare, l’allora nemico americano.

    Il metodo politico e burocratico con cui venivano portati avanti i progetti nell’Unione Sovietica documentato nei libri di Chertok è alla base di quella che è ora nota come la catastrofe di Nedelin. Quando le più basilari regole di sicurezza e le opinioni dei tecnici qualificati vengono deliberatamente ignorate per perseguire stupidamente un obbiettivo politico il risultato non può che essere catastrofico.

    Il conteggio delle vittime della catastrofe di Nedelin non è preciso. Si va dalle 90 alle 250 persone morte immediatamente e come conseguenza delle ustioni e dell’avvelenamento.

    (altro…)

    Luigi Rosa

  • False promesse

    Molte persone non tecniche credono che un algoritmo di crittografia inattaccabile in tempi ragionevoli favorisca solamente i criminali.

    Chiariamo subito che la frase “se non hai nulla da nascondere, non devi nascondere nulla” è tipica dei regimi dittatoriali o totalitari e deve essere ribaltata in “se non ho nulla da nascondere non devi venire a cercare nulla qui da me”.

    Dobbiamo partire dal principio inviolabile che la privacy sia un diritto non negoziabile e mantenere saldo questo principio, ad ogni costo.

    (altro…)

    Luigi Rosa

  • Mikko Hyppönen sulla NSA

    [ted id=1861]

    Mikko Hyppönen ha tenuto questo discorso ad un evento TED Talk a Bruxelles.

    A differenza di quello del 2011 in cui ha spiegato perché esistono i virus, in questo spiega come la NSA abbia minato la sicurezza di tutti noi e ribatte ad alcune argomentazioni che tentano di mitigare gli effetti delle azioni di spionaggio collettivo.

    Ho collaborato con Paolo Attivissimo per la stesura della traduzione italiana di questo discorso.

    Che sia l’originale inglese o la versione tradotta, vale la pena di ascoltare o leggere quelle parole e di farle leggere agli altri, soprattutto chi ritiene che sia legittimo rinunciare alla propria privacy per una promessa di maggior sicurezza.

    Luigi Rosa

  • Remix

    Il bello di Internet è che prende qualcosa, lo adatta per i propri scopi e lo utilizza per finalità non previste dall’inventore/creatore.

    Ci sono alcune ditte che detestano questo comportamento e fanno di tutto per impedirlo, ma sono problemi loro e di chi vuole essere legato ad un guinzaglio.

    Prendiamo Twitter, recentemente sbarcato in borsa con numeri da bolla .COM: quando era stato creato lo scopo era tra l’inutile e il pavoneggio perché sarebbe dovuto servire per dire “dove sono, cosa sto facendo”.

    Nel tempo qualcuno ha iniziato ad utilizzarlo per scopi più utili e adesso è diventato simile ad una grande agenzia stampa con notizie battute quasi prima su Twitter, quando Twitter stesso non è la fonte primaria. Verrebbe da supporre che se i creatori avessero vietato questa trasformazione e avessero imposto agli utenti di dire solamente “dove sono, cosa sto facendo”, il sito sarebbe stato abbandonato da tempo dagli utenti.

    Discorso analogo vale per github, un servizio nato per scrivere software in gruppo, in cui non solo vengono tracciate le modifiche ma che facilita e incoraggia i fork.

    Qualcuno ha pensato bene per usarlo in maniera alternativa, come creare un repository con tutte le ricette dei tacos.

    Anche in questo caso i gestori del sito non hanno vietato il remix. La pagina dedicata ai dati della pubblica amministrazione lo dimostra chiaramente.

    L’utilizzo alternativo di piattaforme o software è statisticamente più probabile dell’utilizzo canonico previsto dal suo creatore. Statisticamente perché un gruppo di poche persone, per quanto preparate, non può pretendere di avere più punti di vista e più idee del resto del mondo; è una mera questione di numeri.

    Luigi Rosa

  • Un altro zero-day per Internet Explorer

    Questa storia rischia di diventare una rubrica settimanale.

    FireEye Labs ha scoperto un nuovo zero-day di Internet Explorer. Si tratta di un attacco ROP portato al programma quando questo verifica la data dell’header PE di msvcrt.dll. Se l’attacco va a buon fine, il malware può eseguire codice arbitrario sul computer della vittima (remote code execution).

    Il campione di malware esaminato da FireEye è destinato a Windows XP e 7 con Internet Explorer 7 e 8 versione inglese. Tuttavia la vulnerabilità esiste in tutte le versioni di Internet Explorer e il malware può essere facilmente modificato per attaccare altre versioni e altre localizzazioni del software.

    Non sono disponibili patch per questo problema, l’unica soluzione è evitare di utilizzare Internet Explorer oppure installare e configurare Microsoft EMET. (via ISC)

    Aggiornamento 12/11/2013 – Questo baco verrà corretto con il patch tuesday di oggi.

    Luigi Rosa

  • Star Wars

    [youtube=http://www.youtube.com/watch?v=oCS8e-eZx_8]

    Star Wars tornerà al cinema a partire dal 18 dicembre 2015.

    Il settimo episodio della saga sarà diretto da JJ Abrams e scritto dallo stesso assieme a Lawrence Kasdan. Le riprese inizieranno nella primavera 2014 nei Pinewood Studios.

    John Williams scriverà la colonna sonora. (via Star Wars)

    Luigi Rosa

  • Errore DFS se si prepara Windows 2003 per l’upgrade

    Se si esegue il Server Migration Tool su un Windows Server 2003 per la migrazione del dominio a Windows Server 2012 può capitare che il programma visualizzi un errore in cui viene segnalato che il servizio DFS Replication (replica DFS in italiano) non è attivo.

    Purtroppo l’errore è bloccante, ma il DFS Replication non esiste su Windows Server 2003, in quanto è strato introdotto a partire da Windows Server 2003 R2.

    Inutile tentare di attivare repliche DFS su SYSVOL a caso, si tratta di un errore nello script PowerShell ed è lì che va applicata la soluzione.

    Il problema risiede nel file C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Baseline Configuration Analyzer 2\Models\SBSMigrationPrep.ps1; se per vostra sfortuna state operando su un Windows in una lingua diversa dall’inglese il path deve essere modificato di conseguenza, ma il nome del file è sempre quello.

    (altro…)

    Luigi Rosa