SIAMO GEEK

  • Userei una password complessa, ma…

    CartaSISono anni che si sprecano litri di inchiostro e gigabyte di storage per spiegare l’importanza di una password non banale. Alla fine i suggerimenti sono sempre gli stessi, ma non sempre è possibile metterli in pratica.

    Una password come ad esempio siamogeek.com potrebbe essere rifiutata da molti siti che impongono che le password siano formate solamente da lettere o cifre. Il sito dei Servizi Interbancari è uno di questi, qui sopra si vede l’errore che mi è apparso questa mattina; non dirò quale carattere speciale avevo messo nella password, ma posso assicurare che quel carattere speciale è noto ai bambini che frequentano i primi anni delle scuole elementari. Ci sono moltissimi siti che presentano un comportamento analogo.

    La maggior parte dei siti utilizza (o dovrebbe utilizzare) una codifica che permette di avere nella stessa frase  caratteri di qualsiasi alfabeto della Terra (e non), passato e presente. Nonostante ciò, c’è ancora chi obbliga a scrivere le password con un insieme di caratteri così limitato che avrebbe fatto ridere anche i programmatori di 30 anni fa.

    Forse qualcuno teme che un utente metta come password ;DROP DATABASE;--

    O probabilmente tutti i layer Java[Script] che si frappongono tra l’utente e il database sottostante sono scritti o integrati così male che solo un apice nella password farebbe crollare tutto. Però il sito ha una bella grafica, eh! Sarà contento il Baiocchi [NSFW]

    (altro…)

    Luigi Rosa

  • La prima legge di Kurgan (o anche “Del contrappasso”)

    “Quanto piu` un cliente snobba le piu` elementari misure di protezione (backup, raid, ups) tanto meno avra` incidenti disastrosi”

    Corollario:

    “Chi applica  misure di protezione multiple e ridondanti subira` incidenti talmente disastrosi da mettere a dura prova tutte queste misure di protezione”

     

    Ma vediamo un paio di esempi significativi…

    (altro…)

    Kurgan

  • Beata incoscienza

    C’era una volta, molti anni fa, un me stesso decisamente piu` incosciente del me stesso di oggi. Vi raccontero` una avventura (da sistemista) di quel me stesso.

    Erano i tempi di Windows NT4, e c’era un cliente che aveva un server Compaq con un disco SCSI connesso a un controller SCSI non RAID. Questo cliente aveva deciso che voleva installare un controller RAID e 3 dischi (due nuovi piu` quello che gia` aveva) per metterli in RAID5.

    Aveva quindi comperato il controller e due dischi, e aveva chiesto all’azienda per la quale lavoravo di installarlo. Io avevo suggerito di installare 3 dischi nuovi e tenere per sicurezza i dati sul  disco vecchio, ma chiaramente mi e` stato detto che non se ne parlava nemmeno: comperare 3 dischi nuovi al posto di 2 era un costo che non volevano pagare.

    Ed e` cosi` che, con due ore di tempo massimo di fermo del server, e senza alcun backup (perche` il cliente ovviamente non l’aveva, e non aveva ne` intenzione ne` modo di farne uno al volo), ho tentato l’impresa.

    Ho installato su NT4 il driver del controller RAID, alla cieca, confidando che al riavvio avrebbe visto il controller. Poi ho spento la macchina, riavviato con un dischetto con il Norton Ghost, fatta una immagine ghost del disco originale su un altro computer in rete (una sola, perche` non avevo il tempo per farne due e nemmeno per fare un check che l’immagine fosse a posto), smontato il controller non RAID, installato il controller RAID e altri due dischi, creato un RAID5 con i 3 dischi (perdendo tutti i dati dal disco originale), riavviato il Ghost, fatto il restore dell’immagine (con resize automatico alla nuova dimensione) sul nuovo RAID5, e riavviato Windows NT4, pregando che vedesse il controller RAID e non andasse in bomba blu.

    Grazie a una serie incredibile di miracoli (nessun errore nell’immagine Ghost, il dischetto DOS del Ghost che vede il controller RAID senza problemi come un unico disco a livello di BIOS, Windows NT che riesce a fare il boot sul nuovo controller senza inceppamenti) questa storia ha avuto un lieto fine.

    Se mi avessero chiesto oggi di fare un lavoro del genere in due ore senza backup, e tutto per non pagare il prezzo di un disco nuovo in piu`, gli avrei riso in faccia.

    Kurgan

  • La bella idea degli annunci automatici

    RFI, la società che gestisce l’infrastruttura ferroviaria, ha da anni automatizzato gli annunci alle stazioni.

    Il vantaggio è innegabile: gli annunci sono oramai chiari, privi di inflessioni locali e vengono fatti con le tempistiche corrette.

    (altro…)

    Luigi Rosa

  • HTTPS: come funziona?

    Abbastanza bene, ma non è una bacchetta magica.

    Prima di spiegare HTTPS è necessario spiegare cosa sia la Public Key Infrastructure (PKI) e prima ancora la crittografia asimmetrica, il vero mattone con cui è costruito tutto quanto: se qualcuno scoprisse come crackare velocemente una cifratura asimmetrica verrebbe giù tutto o peggio.

    I sistemi di crittografia più noti sono simmetrici, ovvero quelli che richiedono una chiave, la stessa, per cifrare e decifrare un testo: dal cifrario di Cesare a Enigma era questo il modo di nascondere le informazioni fino a qualche decennio fa.

    (altro…)

    Luigi Rosa

  • Buffalo e la concorrenza

    Sei o sette anni fa i NAS Buffalo erano quanto di meglio si potesse comperare nella fascia SMB o SOHO.

    Non erano esattamente a buon mercato e utilizzavano dei dischi certificati da loro che garantivano una certa stabilità di prestazioni e di affidabilità. Erano considerati ottimi prodotti semplicemente perché l’alternativa era spenndere molti più soldi e andare fuori budget oppure rivolgersi verso soluzioni di fascia nettamente inferiore sia come prestazioni sia come affidabilità. Per lo standard del periodo il software di gestione era “buono”, anche se poteva migliorare.

    Poi sono arrivati altri storage di quella fascia, tra cui i QNAP. All’inizio i QNAP avevano un software veramente spartano, ma avevano il vantaggio di registrare il firmware su uno storage allo stato solido (quello dei Buffalo è sugli hard disk e se dovete ricaricarlo tanti auguri!) e i QNAP arrivano senza dischi, sta all’utente (o al rivenditore) popolarli. Esiste una HCL per i QNAP, ma da esperienza personale anche quelli non presenti vanno benissimo.

    Il nuovo software di gestione 4.0 di QNAP è un vero salto in avanti e fa veramente un sacco di cose, forse troppe per alcuni usi aziendali, ma si possono disattivare le funzioni superflue o rimuovere i pacchetti non utilizzati per alleggerire il sistema.

    TeraStation statusE Buffalo? Loro sono ancora fermi a 7 anni fa, non è cambiato praticamente nulla. Alcune funzioni considerate oramai necessarie come la gestione dell’autoaccensione in caso di blackout non sono ancora disponibili. Ma la cosa peggiore è una cronica assenza di un sistema decente per informare l’utente. Si può attivare il log, per nulla informativo, su un target syslog oppure su uno share del disco.

    Se un disco ha problemi bisogna divinare lo stato del NAS. Questo a fianco è tutto quello che appare nella console web quando un disco di una TeraStation ha problemi. Mi ero accorto del guasto non perché il Buffalo mi abbia tempestato di mail di segnalazione, ma perché un rsync che ha sempre durato mezz’ora ha iniziato a durare otto ore.

    È facile indovinare da che marca verrà sostituita quella TeraStation dopo 7 anni di onorato servizio.

    Luigi Rosa

  • Calibre 1.0

    CalibreDopo quasi sette anni si sviluppo (il progetto è nato il 31 ottobre 2006), Calibre ha raggiunto la versione 1.0.

    Il famoso programma di Kovid Goyal per la gestione degli ebook e dei dispositivi di lettura, fondamentale per ogni utilizzatore avido di queste tecnologie, è il tipico esempio di progetto open. È un programma con funzioni che nessun software commerciale potrebbe includere i cui rilasci, spesso frequenti, sono dettati dal raggiungimento di traguardi del codice sottostante, non dalla necessità imposta da qualche ufficio marketing i cui addetti non conoscono cosa stanno vendendo.

    La versione 1.0 è ricca di novità tra cui:

    • un nuovo e più efficiente database la cui gestione è stata riscritta da zero;
    • un nuovo metodo (opzionale e personalizzabile) per visualizzare le copertine dei libri in una sorta di scacchiera;
    • biblioteche virtuali per aggregare a piacere i libri della propria biblioteca;
    • conversione integrata dei documenti Word in grado di convertire anche tabelle, note a piè di pagina e liste;
    • nuove fonti per l’acquisizione dei metadati dei libri
    • il convertitore ha il pieno supporto dell’embedding dei font
    • nuova funzione per modificare la tabella dei contenuti di un libro
    • riscrittura della funzione di esportazione in PDF
    • nuova funzione di ripulitura dei libri elettronici in formato EPUB o AZW3

    Luigi Rosa

  • Windows XP: una bomba a orologeria per la sicurezza

    Quando è uscito nel 2002 tutti detestavano XP, chi per l’interfaccia Disney, chi perché non sapeva installarlo o gestirlo e voleva tenersi Windows 98, chi perché credeva che il “vero” sistema operativo doveva avere un disco rigido leggibile anche partendo da floppy con MS-DOS, chi perché credeva che fosse Windows 2000 con un’altra shell…

    Adesso dite a queste stesse persone che non devono più usare XP e scoppia il finimondo.

    Microsoft non supporterà più Windows XP a partire all’8 aprile 2014, fra 228 giorni. Non sono tanti, sono 32 settimane, 160 giorni di lavoro, 1280 ore di lavoro medie  (senza contare le festività infrasettimanali).

    Il termine del supporto non significa banalmente che non verranno più rilasciati aggiornamenti (qualche sconsiderato potrebbe anche essere felice), ma significa che dal 9 aprile prossimo ogni Windows XP diventerà l’anello debole della sicurezza. Terminato il supporto di Microsoft, anche gli altri produttori di software cesseranno di rilasciare aggiornamenti, quindi oltre a un Windows vulnerabile ci saranno anche Java, Acrobat Reader, Flash…

    Il motivo di questo pericolo è presto detto.

    Ogni qual volta che viene rilasciata una patch questa è spesso accompagnata da una nota tecnica. Gli esperti di sicurezza e, prima di loro, i malviventi analizzano sia la nota tecnica sia la patch medesima per capire esattamente quale sia la vulnerabilità che viene corretta e, nel caso dei malviventi, come sia possibile sfruttarla. Questo accade sempre perché c’è un’ampia possibilità che i computer non vengano aggiornati subito, quindi c’è una finestra temporale ridotta per poter sfruttare quella vulnerabilità.

    Spesso lo stesso problema riguarda più versioni di Windows, le cui patch escono tutte assieme.

    Ma se un sistema operativo non è più supportato le patch non escono più. E se una vulnerabilità nota di Windows Vista, 7 oppure 8 è presente anche in Windows XP nessuno più porrà rimedio al problema, con estrema gioia di chi scrive malware.

    Ed ecco che dal prossimo 9 di aprile ogni Windows XP sarà un potenziale pericolo per tutti.

    228 giorni, tic, toc, tic, toc…

    Luigi Rosa

  • DRM e il mondo alla rovescia

    Sull’idiozia intrinseca del DRM ci siamo già espressi a profusione.

    Charles Stross ha appena annunciato la disponibilità dell’ebook di The Atrocity Archives a 1,99 sterline fino al 5 settembre prossimo. Una bella occasione per chi vuole sanare un ebook non acquistato oppure vuole ringraziare in maniera tangibile la bravura dell’autore.

    Stross è stato un professionista dell’IT e sa benissimo quanto siano inutili i DRM, ma è obbligato a metterli.

    La situazione si fa paradossale quando sul suo stesso blog, nella stessa pagina in cui annuncia la disponibilità degli ebook a prezzo scontato mette anche le istruzioni per togliere i DRM:

    strossdrm

    Se avevamo bisogno di un’ulteriore dimostrazione dell’inutilità della pantomima del DRM che non fa altro che ingrassare Adobe e ridurre i margini di editori e autori, questa è una delle migliori disponibili.

    Luigi Rosa

  • Wikipedia passa in HTTPS

    wikihttpsA partire da oggi Wikipedia utilizza HTTPS per il login degli utenti e mantiene il protocollo crittografato per il resto degli accessi al sito.

    Questa decisione, già parte del percorso di tutela della sicurezza, è stata anticipata alla luce dei recenti eventi legati alle rivelazioni di Edward Snowden secondo le quali Wikipedia sarebbe stata uno dei metodi per tracciare le persone poste sotto sorveglianza.

    Per il momento HTTPS non viene attivato sulle versioni di Wikipedia di Paesi che scoraggiano o vietano quel protocollo: cinese (zh.*), fārsì (fa.*), gilaki (glk.*), curdo (ku.*), mazanderani (mzn.*) e soranî (ckb.*). In seguito la decisione di utilizzare o meno HTTPS sarà basata sulla geolocalizzazione dell’indirizzo IP dell’utente che visita Wikipedia.

    Ovviamente HTTPS non garantisce l’anonimato né la riservatezza assoluti di ciò che si sta visitando, ma contribuisce, in generale, a ridurre i rischi di furto di informazioni riservate. Esistono firewall normalmente acquistabili su cui si possono abilitare dei veri e propri attacchi di man-in-the-middle per poter analizzare le pagine visitate e confrontarle con le policy impostate. [via Wikimedia Meta]

    Luigi Rosa

  • Jurassic news, Back to the 80′

    Issue_46.jpg

    Era una sera dove, come spesso avrei dovuto fare un sacco di cose, ma altrettantemente non avevo voglia di fare un bel niente. Mentre vagavo astrattamente su alcuni siti, non so come e non so perché mi si è materializzata una immagine di una vecchio computer di cui ricordavo con precisione il nome e l’aspetto, e che ai suoi tempi, non ero mai riuscito ne a toccare ne a vedere dal vivo. E’ rimasto per sempre una specie di chimera. Tale computer si chiamava New Brain ed aveva un display VFD alfanumerico con un paio di righe per una manciata di caratteri e una piccola tastiera.

    Ho quindi concentrato le mie forze al fine di trovare un po’ di informazioni su quel computer, per vedere quale sia stata la sua sorte e quali erano le sue caratteristiche.
    Googla… Googla… ed arrivo ad un sito che mi attira particolarmente, lo studio meglio e non riesco più a staccarmi. Il sito in questione si chiama Jurassic News e come tanti altri siti è orientato al retrocomputing, con però una marcia in più.

    Il sito gestito da un gruppo di appassionati di lunga data, che grazie alla loro esperienza e passione cercano di mantenere attivo un patrimonio che è in via di estinzione
    attraverso delle ben fatte fanzine gratuite che ad ogni numero tratta in modo dettagliato una serie di dispositivi che vanno dalle prime schede di sviluppo con microprocessori tipo Z80, 6502, 6800, ai veri e propri computer sia piccoli HP41C che più grandicelli CRAY.

    Una delle cose che più mi ha colpito è la precisione e il dettaglio tecnico con cui vengono presentati i dispositivi. E’ evidente che chi scrive gli articoli sa bene di cosa si sta parlando.

    Inoltre vengono trattati corsi di linguaggi di programmazione estinti, curiosità ed aneddoti vari, vengono presentate le più diffuse testate dell’epoca, interviste a personaggi che diedero il loro contributo in quegli anni e molte altre cose ancora tutte succulente e curiose.

    Leggendole si viene letteralmente proiettati in periodi i quali per me, come per molti di voi, sono stati tra i più belli dell’incalzare del mondo dei computer.

    Questa estate mi sono farcito il mio tablet di tutti i numeri e mi sono fatto una full immersion avendo proprio l’impressione in alcuni momenti di essere tornato indietro nel tempo. Il sito offre anche un interessante archivio di riviste dell’epoca oramai estinte.
    Per certi versi è stato per me come aver trovato una macchina del tempo.
    Consiglio a tutti quelli che come me quando avevano 16 o 17 anni passavano i pomeriggi alla GBC smanettando sui PET e sui VIC20, diventando a lungo andare promotori involontari (e non stipendiati) della GBC.

    Buona immersione su JURASSIC NEWS

    D Gatti

  • Restano i punti nei nomi a dominio

    ICANN ha deciso che per ora i cosiddetti dotless domain names sono vietati.

    dotless domain names (strano che nessuno abbia ancora iniziato a chiamarli DDN) sono quei nomi a dominio che non contengono alcun punto separatore, ad esempio http://pippo

    La proposta era stata avanzata da Google per poter avere un nome a dominio search in modo tale che gli utenti potessero scrivere http://search per accedere alle funzioni di ricerca.

    Per esperienza diretta posso dire che, almeno fino a qualche anno fa, Microsoft USA (non so se valeva per il resto del mondo) al suo interno utilizzava dei dotless domain names per la intranet (ovviamente con IIS+SharePoint).

    Proprio l’utilizzo di nomi senza punto all’interno delle aziende è una delle argomentazioni contrarie all’utilizzo dei dotless domain names sostenute da una ricerca commissionata da ICANN [PDF]. Il rischio che ci sia sovrapposizione tra qualche nome a dominio senza punto (magari creato ad arte) e dei server nelle intranet aziendali è molto elevato al punto tale da non giustificare il via libera di ICANN.

    Purtroppo i rischi di sicurezza non sono legati solamente ai dotless domain names perché ICANN ha approvato da poco i primi gTLD, che, per giunta, non sono scritti in alfabeto latino:

    • .شبكة (Web in arabo)
    • .游戏 (Gioco in cinese)
    • .онлайн (Online in russo)
    • .сайт (Sito Web in russo)

    Luigi Rosa