DNS amplification attack

VIA TRAFFICOI recenti fatti che hanno riguardato Spamhaus hanno rimesso in risalto il problema non nuovo di un DNS amplification attack al punto che anche l’US-CERT ha diramato un bollettino in merito.

Innanzi tutto la risposta alla domanda legittima: cosa diavolo viene amplificato in questo attacco?

L’amplificazione consiste nella differenza tra i byte che l’attaccante trasmette alla vittima e quelli che la vittima trasmette indietro. In altre parole è la differenza tra la banda necessaria per portare l’attacco e la banda che viene consumata sui server della vittima.

Un ipotetico attacco portato ad un server FTP ha un fattore di amplificazione vicino all’unità perché se vogliamo occupare la banda in upload del server FTP ci vuole anche qualcuno che abbia altrettanta banda in download per accettare i suoi pacchetti TCP.

Differente è un attacco portato ad un server DNS: con una query di poche decine di byte via UDP si ottengono risposte molto importanti, ecco un esempio: Leggi tutto “DNS amplification attack”

Laptop fai da te

NovenaAndrew “bunnie” Huang ha progettato un laptop open, battezzato Novena.

Sono stati utilizzati solamente componenti con specifiche prive di NDA che possono funzionare senza parti binarie di codice proprietario.

La progettazione è iniziata in giugno e pochi giorni fa una ditta ha consegnato ad Andrew un prototipo funzionante di Novena.

Le caratteristiche hardware sono:

  • CPU ARM quad core;
  • firmware su microSD per il boot;
  • RAM DDR3 a 64bit, massimo 4 Gb;
  • SATA II;
  • slot mini PCI Express per la connettività wireless;
  • connettore LVDS a doppio canale per il display LCD (massima risoluzione 2048×1536) con un canale USB 2 per la telecamera;
  • due connettori interni USB 2 per mouse e tastiera;
  • controller per touchscreen resistivo;
  • microfono e speaker;
  • accelerometro.

Leggi tutto “Laptop fai da te”

Source Sans Pro

È il nome del primo font gratuito e open rilasciato da Adobe.

Come suggerito dal nome, è un font senza grazie, molto leggibile, adatto sia al video sia alla stampa con una bassa possibilità di far confusione tra glifi simili, come, ad esempio, la cifra 1 e la lettera L minuscola.

La prima versione pubblica 1.033 è del 31/7/2012; quella attuale è la 1.034 di due settimane dopo, che contiene alcune piccole correzioni.

La versione attuale della famiglia Source Sans Pro è composta da sei font di peso differente: black, bold, semibold, regular, light ed extralight.

I caratteri di questa versione coprono le lingue europee, il vietnamita, la romanizzazione pinyin del cinese e il navajo. Le prossime versioni includeranno nel breve termine il greco e il cirillico e, in seguito, arabo, ebraico, armeno, tamil e altri.

La famiglia può essere scaricata in formato OTF e TTF da Sourceforge, da cui è anche possibile scaricare i sorgenti del font. (via BoingBoing)

Open source nella PA

Il Decreto Sviluppo 2012 all’articolo 22 comma 10 contiene una modifica al comma 1 dell’articolo 68 del codice dell’amministrazione digitale che ridefinisce l’ordine di priorità con cui la Pubblica Amministrazione (PA) deve scegliere il software.

Il nuovo ordine di priorità è il seguente:

  1. software sviluppato per conto della pubblica amministrazione;
  2. riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
  3. software libero o a codice sorgente aperto;
  4. software combinazione delle precedenti soluzioni.

La modifica di cui sopra include anche questa frase: solo quando la valutazione comparativa di tipo tecnico ed economico dimostri l’impossibilità di accedere a soluzioni open source o già sviluppate all’interno della pubblica amministrazione ad un prezzo inferiore, è consentita l’acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d’uso.

Leggi tutto “Open source nella PA”

Il bello del software open

Il software open non sarà bello da vedere, non avrà un’interfaccia di design , non verrà venduto in confezioni fighe, non verrà promosso da commerciali cocainomani in gessato e gemelli, non sarà intuitivo, ma funziona!

Prendiamo un esempio a caso: la VPN.

OpenVPN è un orologio, si fatica (nemmeno poi tanto) per la configurazione iniziale, ma una volta fatta la prima le altre possono essere copiate da quella. Va in TCP e UDP, si può selezionare la porta, decidere il tipo di autenticazione e configurare mille altri parametri e raffinatezze.

È gratis e funziona.

Le altre soluzioni o sono vulnerabili, o sono care, o funzionano una volta su tre. Ci sono bellissime implementazioni di firewall commerciali che richiedono un bowser specifico, lanciano una granaiuola di applet Java non firmate (col cacchio che dico di fidarmi sempre!), lanciano un programma (solamente Windows, gli atri si attaccano) che dopo un’eternità stabilisce una connessione VPN… che non va!

OpenVPN va con qualsiasi tipo di trasporto e va sempre, basta solo configurarla correttamente.

Quando sceglierete la prossima VPN, pensateci bene.

code.NASA

La NASA ha lanciato il progetto Code.

Il progetto serve da punto di riferimento per tutte le iniziative open source della NASA. Oltre ai progetti attualmente in corso, sono disponibili le linee guida per creare altri progetti open.

Lo scopo finale del progetto, di cui sono previste varie fasi, è di avere una robusta piattaforma aperta per nuovi progetti open hardware e software e per il passaggio alla formula open dei progetti attuali.

L’ente spaziale americano si unisce, quindi, al coro di coloro i quali credono nella validità dei progetti aperti, in cui tutti quante le persone interessate offrono il loro contributo, anche se infinitesimo, per migliorare il progetto.

Godspeed code.NASA!

Sicurezza dell’Open Source

I detrattori del software open source ne criticano principalmente la presunta mancanza di sicurezza.

Chi conosce il software open è il primo a sapere quanto sia errata questa affermazione, ma per esprimere un giudizio affidabile in merito serve un’entità terza, altrimenti c’è il rischio del dubbio che si tratti di una posizione da tifoso.

Per questo il Cabinet Office britannico ha commissionato al CESG uno studio per valutare il livello di sicurezza del software open, spesso osteggiato dagli integratori di sistemi e dai fornitori.

Il risultato dell’indagine dice che è errato ritenere per assunto che il software open sia meno sicuro di altri tipi di software.

In base a ciò il Cabinet Office ha emanato la Policy Note 8/11 “When purchasing ICT solutions, Government Departments should ensure that open source software is fairly considered”.

Questa nota affianca l’Open Source Procurement Toolkit che dice chiaramente “Where appropriate, Government will procure open source solutions.” (via The Guardian)

The Document Foundation

Dopo una decina d’anni di vita, la comunità di OpenOffice.org diventa The Document Foundation.

La nuova fondazione si prefigge lo scopo di migliorare ed ampliare la vecchia struttura di OpenOffice.org, per promuovere la nascita di nuovi software e definire uno standard veramente open per lo scambio di dati office.

Oracle, l’attuale proprietario di OpenOffice.org è stata invitata a donare i marchi correlati ad OOo che ha ricevuto con l’acquisizione di Sun e a partecipare alla fondazione; in attesa di una decisione, la suite gratuita viene rinominata LibreOffice.

Tra i supporter dell’iniziativa ci sono la Free Software Foundation, Google, OASIS, Novell, RedHat, Canonical (Ubuntu), la GNOME Foundation, Neo-Office e altri.