Dalla scatola alla nuvola

cspartQualcuno dirà che è finita una epoca, e sarebbe difficile dargli torto.

Sono passati oltre 25 anni da quando la Adobe ha lanciato sul mercato due prodotti software che avrebbero definito il mondo della grafica non solo per gli anni, ma per le geenrazioni a venire.
Come tutti sapranno già, negli anni Adobe è cresciuta in maniera drastica anche attraverso l’acquisizione di altre software house storiche come Aldus e Macromedia.
Tutte le tecnologie acquisite e incorporate sono poi servite per ampliare la gamma di prodotti di grafica e di sviluppo dell’Azienda.
Nel campo dell’informatica penso sia difficile trovare qualcuno che non conosca la Adobe Creative Suite: un pacchetto in bundle che appunto incorpora una buona parte delle applicazioni.

La storia della CS è iniziata nel 2003 con la prima versione a cui ne sono seguite altre sei, ma, poco meno di dieci anni dopo, la vita di questo prodotto come pacchetto software è conclusa.
Durante l’ultima Adobe MAX Conference, infatti è stato annunciato che la CS6 non sarà mai aggiornata e rimarrà l’ultima versione pacchettizzata della suite, insieme con le versioni singole delle varie applicazioni che la compongono. Leggi tutto “Dalla scatola alla nuvola”

Sempre colpa dei computer

I computer sono oramai diventati il default gateway delle colpe quando qualcosa va storto.

Non fa nulla se i computer sono utilizzati dalle persone, se i software sono (dovrebbero essere) approvati dalle persone, se i dati sono caricati dalle persone, se la supervisione è affidata alle persone.

La colpa è del computer.

Così nessuno ha colpa, nessuno è responsabile, nessuno paga. Comodo.

Ultimo ma non ultimo il caos di questa mattina dei convogli Trenord nell’area di Milano. La colpa? Il software di gestione dei turni del personale.

Non chi ha omesso le verifiche, non chi ha firmato il verbale di collaudo del software, non chi non ha richiesto opportuni test, non chi ha steso il bando di gara, non chi ha approvato la fornitura. Loro no, il software sì.

Aggiornamento 11/12/2012 – Dai twit che leggo sembra che oggi la situazione non sia migliorata di molto. Maledetti software…

I nuovi superamenti dei limiti dei tatuaggi

Un giovine decide un bel dì di farsi un tatuaggio. Oggidì non c’è più niente di sorprendente a riguardo visto lo sdoganamento di quest’arte ormai da decenni. Tuttavia il nostro baldo giovinotto ha deciso che non di tatuaggio normale dovesse trattarsi ma di uno munito di Qr Code. Enjoy!

Peggio dei Dalek

Lo streaming video della premiazione dei premi Hugo gestito da Ustream è stato interrotto da un sistema automatico contro le violazioni del copyright.

Vobile, il sistema di censura automatica utilizzato da Ustream, ha interrotto il discorso di Neil Gaiman perché erano state proiettate delle scene di Dr. Who.

Non è una battuta: la trasmissione della premiazione di un autore di un episodio televisivo è stata censurata perché le immagini utilizzate per presentare il suo lavoro sono state ritenute una violazione del copyright da parte di un sistema automatico.

Leggi tutto “Peggio dei Dalek”

Linux e numeri casuali

L’importanza della generazione dei numeri random in un sistema operativo server è tale che non può più essere lasciata al caso.

Linux utilizza /dev/random e /dev/urandom per fornire ai programmi una fonte di numeri pseudo-casuali. L’entropia di /dev/random deriva dall’interazione dell’utente (mouse e tastiera), dall’attività del disco e dagli interrupt di sistema. Purtroppo nei server headless parte delle fonti di entropia non sono disponibili, diminuendo la casualità dei numeri generati.

Una delle caratteristiche di /dev/random è che può essere anche scritto per alimentare il generatore con dell’entropia. Esistono alcune soluzioni che si basano su dispositivi hardware esterni, sul rumore termico della scheda audio, o su altri sistemi che generano grandezze non deterministiche legate a fattori esterni. La dipendenza da un hardware dedicato o specifico e la scarsa disponibilità di questi tipi di soluzioni sui server virtuali o in hosting ha portato Gary Wuertz e Jirka Hladky a trovare una soluzione alternativa.

I due hanno creato havaged, un programma che si basa su HAVEGE per alimentare /dev/random con la giusta dose di entropia al fine di migliorare la casualità dell’output.

Su un normale Linux CentOS la sequenza configure-make-make install funziona alla perfezione; il processo di make crea anche lo script da mettere in init.d per poter avviare il programma in modalità demonica.

La pagina di man di haveged contiene anche alcuni esempi di utilizzo interattivo del programma per generare password o per sovrascrivere file o partizioni con dati veramente casuali.

Open source nella PA

Il Decreto Sviluppo 2012 all’articolo 22 comma 10 contiene una modifica al comma 1 dell’articolo 68 del codice dell’amministrazione digitale che ridefinisce l’ordine di priorità con cui la Pubblica Amministrazione (PA) deve scegliere il software.

Il nuovo ordine di priorità è il seguente:

  1. software sviluppato per conto della pubblica amministrazione;
  2. riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
  3. software libero o a codice sorgente aperto;
  4. software combinazione delle precedenti soluzioni.

La modifica di cui sopra include anche questa frase: solo quando la valutazione comparativa di tipo tecnico ed economico dimostri l’impossibilità di accedere a soluzioni open source o già sviluppate all’interno della pubblica amministrazione ad un prezzo inferiore, è consentita l’acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d’uso.

Leggi tutto “Open source nella PA”

Secure boot e Windows 8

Da diverso tempo monta la polemica sulla decisione di Microsoft di certificare per Windows 8 solo i sistemi dotati di UEFI secure boot.

Per chi non lo sapesse si tratta di un sistema di interfaccia tra il BIOS ed il sistema operativo atto ad impedire il BOOT di qualsiasi dispositivo sprovvisto di firma digitale.

Questo è ovviamente visto da molti come l’ennesimo tentativo di Microsoft di limitare la libertà dell’utente, impedendogli di fatto l’utilizzo di sistemi operativi diversi.
Per fare un esempio le attuali distro LINUX live non potrebbero essere avviate su un PC dotato di questo dispositivo se non disattivandolo (operazione non alla portata di tutti).

Leggi tutto “Secure boot e Windows 8”

SQL injection

BackupQuesto articolo è per chi non sa cosa sia la SQL injection.

Con questo termine si identifica una classe di vulnerabilità dei software che consente ad un utente qualsiasi di aggirare i controlli del software e inviare direttamente al server comandi SQL.

Prima della diffusione dei server SQL i dati venivano archiviati e recuperati utilizzando funzioni di libreria del linguaggio di programmazione. Esisteva un comando/funzione del linguaggio per aprire un archivio di dati, uno per cercare un record, un altro per aggiornare i dati, un altro ancora per cancellarli e così via. Con questo sistema era di fatto impossibile portare attacchi tipo SQL injection perché i comandi relativi al trattamento dei dati erano parte del programma. In altre parole, le azioni che avevano come oggetto i dati erano cablate nel programma e non c’era modo di cambiarle se non cambiando il programma (e ricompilarlo).

La diffusione capillare dei server SQL ha cambiato le carte in tavola.

Leggi tutto “SQL injection”

Il bello del software open

Il software open non sarà bello da vedere, non avrà un’interfaccia di design , non verrà venduto in confezioni fighe, non verrà promosso da commerciali cocainomani in gessato e gemelli, non sarà intuitivo, ma funziona!

Prendiamo un esempio a caso: la VPN.

OpenVPN è un orologio, si fatica (nemmeno poi tanto) per la configurazione iniziale, ma una volta fatta la prima le altre possono essere copiate da quella. Va in TCP e UDP, si può selezionare la porta, decidere il tipo di autenticazione e configurare mille altri parametri e raffinatezze.

È gratis e funziona.

Le altre soluzioni o sono vulnerabili, o sono care, o funzionano una volta su tre. Ci sono bellissime implementazioni di firewall commerciali che richiedono un bowser specifico, lanciano una granaiuola di applet Java non firmate (col cacchio che dico di fidarmi sempre!), lanciano un programma (solamente Windows, gli atri si attaccano) che dopo un’eternità stabilisce una connessione VPN… che non va!

OpenVPN va con qualsiasi tipo di trasporto e va sempre, basta solo configurarla correttamente.

Quando sceglierete la prossima VPN, pensateci bene.

Sicurezza dell’Open Source

I detrattori del software open source ne criticano principalmente la presunta mancanza di sicurezza.

Chi conosce il software open è il primo a sapere quanto sia errata questa affermazione, ma per esprimere un giudizio affidabile in merito serve un’entità terza, altrimenti c’è il rischio del dubbio che si tratti di una posizione da tifoso.

Per questo il Cabinet Office britannico ha commissionato al CESG uno studio per valutare il livello di sicurezza del software open, spesso osteggiato dagli integratori di sistemi e dai fornitori.

Il risultato dell’indagine dice che è errato ritenere per assunto che il software open sia meno sicuro di altri tipi di software.

In base a ciò il Cabinet Office ha emanato la Policy Note 8/11 “When purchasing ICT solutions, Government Departments should ensure that open source software is fairly considered”.

Questa nota affianca l’Open Source Procurement Toolkit che dice chiaramente “Where appropriate, Government will procure open source solutions.” (via The Guardian)

Trello

Trello è un sito social per organizzare l’elenco delle cose da fare all’interno di gruppi di lavoro.

La società che ha creato questo sito è la Fog Creek cofondata da Joel Spolsky, che è stato, tra le altre cose, program manager per Excel presso la Microsoft.

Lo scopo del sito è anche quello di rimpiazzare bigliettini, muri di Post-It, lavagne riscrivibili, pareti magnetiche e altre amenità simili del mondo reale.

Uno degli scopi di Trello è per il programmatore avere una lista chiara delle cose da fare e per il coordinatore avere la situazione sotto controllo su chi sta lavorando a cosa.

Il tool è scritto da programmatori professionisti (anche) per programmatori, con tutte le features del caso e merita senza dubbio un’occhiata. (via Joel on Software)

Catalessi sugli allori

Piazza CastelloStatCounter è uno dei tanti siti che offre un servizio di analisi di traffico web. Il sito ha pubblicato una statistica anno su anno secondo la quale Internet Explorer sarebbe sceso poco sotto la quota psicologica del 50% di share.

Non ho trovato (se c’è) l’errore medio della statistica per capire quale sia l’errore di quel 49,87% dello share di Explorer in settembre, quindi il dato va preso per quello che è: una statistica.

Per la seconda volta vediamo un browser con quote bulgare di mercato perderle per cause più interne che esterne.

Leggi tutto “Catalessi sugli allori”

THC-Hydra

Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.

A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.

THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.

A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.

Mandelbulber

Ve lo ricordate Fractint e le interminabili ore ad attendere che il dannato frattale venisse terminato?

La nuova frontiera del frattale è il 3D con filmati da togliere il fiato (grazie a Luca per la segnalazione).

Il programma per realizzare immagini tridimensionali still o filmati è Mandelbulber.

Una volta installato ed eseguito, si può avviare il rendering dell’immagine di default, rappresentata a lato e divertirsi ad esplorarla.

Un manuale, completo di alcuni esempi grafici, viene in aiuto per la comprensione dei vari parametri di rendering.