Spie, a memoria credo che sia la prima volta che ascolto una notizia del genere, ma forse sono troppo “piccolo” per ricordare di notizie di guerra fredda nei TG nostrani, ho seguito un pò di straforo la questione dei 10 arresti e delle vicende annesse spizzicando qua e la e non ho potuto veramente fare a meno di trarne qualche spunto (dopo tutto si tratta di errori eccellenti):

Crittografa la tua wifi

Le spie a quanto traspare dai fatti, usavano connessioni wifi per comunicare. Molto intelligentemente, invece di utilizzare il medesimo access point effettuavano delle connessioni adHoc (WIN).

Il grande pregio di una soluzione come questa è che esclude di fatto la possibilità di essere spiati tramite una infrastruttura di comunicazione che non si possa controllare (internet point, gestore, wisp) costringendo l’FBI a fare degli appostamenti nei pressi di caffè/bar/abitazioni e/o altri luoghi di incontro con i rappresentanti dell’ambasciata.

Tuttavia nel tentativo di “far commettere” un errore agli agenti dell’FBI non si sono resi contro dell’enorme errore a cui sono andati incontro: le adHoc network supportano solo l’encryption via WEP (MEGA FAIL) quindi a meno di non crittografare end to end tutte le sessioni, le comunicazioni risultavano reversibili esponendo MAC address (se non modificato) e contenuti alla mercè degli agenti.

Usate delle password sicure

Durante gli ultimi anni di indagini (non è che si becca una spia dall’oggi al domani) gli agenti avevano rinvenuto e copiato, durante una perquisizione nella casa di una spia, una serie di harddisk peccato per loro che fossero però codificati (WIN). Tuttavia un agente in una di queste perquisizioni ha notato un appunto con una stringa di 27 caratteri alfanumerica, non c’è voluto molto a capire che quella fosse la password (FAIL) non solo, all’interno degli HD rinvenuti c’erano una serie di tool/siti e altre risorse utilizzate per steganografare e scambiarsi informazioni, insomma hanno lasciato il cifrario incustodito (double FAIL) direttamente fornito da Schneier e tratto da cnet:

Ricci said the steganographic program was activated by pressing control-alt-E and then typing in a 27-character password, which the FBI found written down on a piece of paper during one of its searches

Obscurity non è security

I contenuti scambiati nei siti di cui sopra venivano steganografati cioè, modificati ed inseriti all’interno di altri file (es. immagini). Questo garantiva all’informazione l’impossibilità di esser “vista” a colpo d’occhio (WIN) tuttavia però è buona pratica, quando si steganografano delle informazioni cifrarle in modo da non rendere facilmente reversibili le info, specialmente se per fare tutte queste operazioni si stanno utilizzando dei software “comuni” (FAIL) e specialmente se (vedi punto precedente) si tengono questi manuali di decrifrazione tutti insieme nello stesso point of failure (EPIC FAIL)

Perfect forward secrecy – PFS

Il concetto è un pò contorto ma tenterò di spiegarlo brevemente.

Se in un sistema informatico (qualunque) si usasse la password precedente per generare o codificare la password futura, basterebbe intromettersi in un anello qualsiasi di questa catena per scoprire passo dopo passo tutte le “password” che sono state create nel tempo.

Così nella nostra spy story, le spie utilizzavano sempre i soliti sistemi di comunicazioni per pianificare incontri futuri e/o per scambiarsi password o protocolli atti a decifrare le loro comunicazioni, così agli agenti dell’FBI è bastato abbattere un muro (quello delle comunicazioni wifi) per rendere vani tutti gli altri articolati metodi per codificare le informazioni (GAME OVER)

Remember: La velocità di una flotta è data dalla nave più lenta che la compone!

Pagina del Sole24Ore rubata da Pandemia

Inutile nascondersi dietro ad un dito sono un Google Fan della prima ora (mi esaltavo per Suggest, mi stupivo per Scholar ed imploravo per IMAP)  ma con quel minimo d’obiettività che (credo) mi contraddistingue sono molto orgoglioso del lavoro svolto dal team che si occupa di queste apps.

Ho visto crescere la soluzione da semplice “accozzaglia” di startup comprate all’asta (chi ha detto writely e jotspot?) a prodotti di una maturità quasi imbarazzante (alcuni miei utenti/clienti scambiano sistematicamente la finestra del browser per quella del “wordprocessor”) e, al di la delle competenze dei singoli, questo la dice lunga sulle possibilità e sull’integrazione espresse da queste applicazioni.

Tuttavia c’è ancora molto da lavorare:

• L’integrazione con Postini è ancora troppo superficiale e non permette di sfruttare a pieno le caratteristiche di questo mail gateway
• Google Site è rimasto così com’era ai tempi dell’acquisizione di Jotspot, una soluzione troppo acerba per essere preso in considerazione come “portale intranet”
• Google Groups è ancora un ibrido tra una soluzione usenet on steroids ed uno strumento ben integrato col resto della suite
• Google Video è (a mio avviso) troppo chiuso per essere preso in considerazione come una sorta di youtube aziendale
• Google Contacts (ancora in beta però) DEVE dare molto di più a tutta la suite

… ma son finezze se guardiamo a:

• Gmail è oramai una soluzione solida con livelli di uptime triple 9
• Google Calendar non ha niente da invidiare ai suoi omologhi “da banco” con tanto di gestione delle risorse aziendali (macchine, uffici, materiale vario)
• Google Docs permette livelli di interazione e collaborazione in fase di scrittura secondi solo a Google Wave (la lotta è tutta intestina)
• L’intuitività e la semplicità delle applicazioni velocizzano l’operatività ( molte volte ho sentito dire “Ma era così semplice?”)

tutto questo sottendendo due vantaggi rispetto ad altre soluzione più blasonate (e monolitiche):

• l’ubiquità (ogni dispositivo mobile permette virtualmente l’accesso alla suite)
• ed il fatto che la soluzione sia totalmente in SaaS (espressione business del concetto di web 2.0, acquistando una licenza Google Apps si accede ad un servizio non si copra un software)

Fino ad oggi non mi sono mai spinto in installazione superiori alle 50 utenze, ma chi crede che queste descritte siano soluzioni da PMI si sbaglia di grosso anzi:

• il control pannel per l’amministrazione è stato, nel tempo, notevolmente migliorato
• c’è la possibilità di forzare parametri di sicurezza a tutti i servizi, con livelli di granularità che arrivano anche alla specifica di condivisione del singolo documento/gruppo/messaggio
• E’ possibile integrare gli users con domini LDAP e/o altri sistemi di SSO (Oauth e OpenID in primis)
• Secure Data Connector permette l’accesso ai dati in LAN senza troppo sforzo e garantendo riservatezza e integrità
• Provisionng API e Migration tool sono solo 2 dei tanti sistemi possibili per gestire la migrazione da un qualsiasi sistema a GApps

Senza parlare di GApps Script e del nuovo Marketplace. Beh, ce n’è abbastanza da far venire un pò d’appetito e vi invito tutti a registrarvi al Webminar che si terrà il 22 Giugno p.v. alle 5:00 pm London time

PS: mi scuso per l’approccio markettaro ma mi sono infervorato man mano che scrivevo

Era il 26 Dicembre 2005 quando passavo dalla 1.X alla 2.0 cinque anni più tardi il progetto wordpress è vivo più che mai e continua a covare in seno delle sorprese.

Ma veniamo alle novità:

1. Sarà possibile cambiare lo username: finalmente hanno capito che lasciare lo username admin di default era causa di selvaggio bruteforcing
2. Cambia il tema di default (era ora) che diventa TwentyTen
3. E’ possibile impostare uno sfondo per il blog (lo cito giusto per dovere di cronaca)
4. Fusione tra WordPress (single) e WordPress MU ogni blog potrà diventare (quasi) automaticamente una piccola community
5. Post, Pages e … quello che volete: è stata aggiunta la possibilità di personalizzare la natura dei post
6. Tassonomie rinnovate e gerarchiche
7. FINALMENTE una gestione dei menù degna di questo nome, tanto per rendere questo prodotto un pò più CMS
8. Template per le pagine Author
9. Una Media Librari completamente riscritta
10. Possibilità degli “short link” (cosa che non ho ancora capito)

WordPress, Automattic, BuddyPress, Gravatar, IntenseDebate, bbpress e polldaddy la famiglia, cresce, s’aggiorna e prospera

Update:
Eccovi il video della release

Si parte con Defense Information Systems Agency:

• WINDOWS SERVER 2008 SECURITY CHECKLIST – Version 6, Release 1.8 + Appendici
• BlackBerry Enterprise Server (BES) 5.0.1 – STIG (tool)

Inoltre mi sono accorto solo oggi della presenza delle PCI DSS in ita (me tapino)

• PCI DSS Version 1.2

Non resta che augurarvi buona lettura

Un post alla volta sono andato a ritroso fin ai primi articoli con cui salutavo il mondo del web per la prima volta, è stato strano come estrarre dall’armadio un vecchio diario e cominciare a sfogliare pagine a caso, il bello è che non mi era mai capitato, dopo tutto non ho mai avuto un diario e non ho potuto fare a meno di constatare come tante cose siano cambiate.

FreeUser ha subito alti e bassi un pò umorali, un pò dovuti, forse, alla noia, il tutto quasi misurabile dal numero di post. Ho visto come, da blog personale, questo spazio si è trasformato in un punto di ritrovo su tematiche specifiche per poi ritornare in quella sorta di oblio in cui le comunicazioni si facevano rarefatte… è stato bello rileggerlo.

Tra i tanti post ce n’è uno che mi ha colpito particolarmente, una canzone, che avevo quasi del tutto dimenticato ma i diari servono a questo no?Ops volevo dire blog

Un pensiero improvviso m’illumina
Come una lanterna
Non so come si sia acceso
Ma un motivo di sicuro ci sarà
Mi dico che devo tenere
I piedi ben piantati a terra
Per far radicare desideri
Che nessuno mai nessuno estirperà

Tali “jumbo cookie”, o come ama chiamarli Adobe LSO (Local Shared Object), infatti hanno le seguenti caratteristiche

• Possono “sostare” all’interno del computer per un tempo indeterminato
• Archiviano, per default, 100Kb di dati senza potenziale limite massimo
• NON sono rimossi dall’eliminazione dei dati temporanei del browser
• Mandano informazioni su history e “visite precedenti” senza permesso (policy allow all per dafalut)

Ce n’è abbastanza per rimanere esterrefatti del fatto che se ne parli così poco, se pensiamo poi che Flash è installato sul 98% delle macchine che navigano su internet (ricordatevi che è crossplatform) beh allora lo scenario si complica ulteriormente.

Qualcuno potrà dire: “Ma come possibile che non me ne sono mai accorto?”

Certo che è possibile! Adobe s’è guardata bene dal creare un pannello amministrativo locale che permetta di gestire le policy dei propri plugin.

Il modo ufficiale per gestire tali policy è quello di accedere al seguente indirizzo:

http://www.macromedia.com/…jada jada jada…/settings_manager06.html

Vi si aprirà una finestra come quella che vedete di sopra, ma immagino che la vostra sia ben popolata da una moltitudine di siti web che stanno “imbiscottando” la vostra navigazione web.

Quindi? Che fare? (e me lo chiedete pure?)

Primo fra tutti nel pannello qui sopra:

• Eliminate tutto
• Negate l’accesso futuro

Secondo accedere al secondo tab da sinistra:

• Spuntare l’opzione “Non chiedere più”
• Non “Consentire a contenuto Flash di terze parti di memorizzare dati sul computer”

E già che ci siete date pure un’occhiata a tutte le altre impostazione, fosse mai che trovare qualcosa di poco gradito (chi ha detto uso di webcam e microfono?)

Spesso quando i “big” parlano guardano le paglie ma non si accorgono delle proprie travi, Adobe Flash a mio avviso è e resta uno dei più grandi pericoli per la sicurezza delle postazioni web ed annovero in questa personalissima classifica anche Adobe PDF … gli 0-day si sprecano!!!

Navigare sul web in anonimato non è poi una chimera basta seguire dei semplici accorgimenti, a presto

Ne apprezzo molte moltissime caratteristiche sia in merito ai prodotti sia in merito alla gestione aziendale (sapevate che è organizzata come un startup?)

Oggi però qualcosa mi ha fatto storcere il naso, dimostrandoMi che non sono poi così assuefatto al loro marketing.

Si discute da giorni, mesi se volete, della guerra tra Adobe e Apple sulla questione Flash, io personalmente non ho mai nascosto il mio apprezzamento per tutte quelle “big company” che abbracciano gli standard (e vice versa il mio odio per chi ne crea di proprietari), questa volta però Apple nel suo amoreggiare con html5 è passata dal lato del marketing facendo quasi proprio uno “panel” di cui è “solo” membro.

Nel rafforzare  la sua posizione il caro Steve “non stiamo facendo una guerra ad Adobe” Jobs al WWDC10 appena tenutosi ha pubblicizzato Html5 come la piattaforma alternativa per lo sviluppo di (web)application sulla piattaforma iPhone/iPad e fin qui…

In sordina viene rilasciata la nuova versione di Safari 5, e anche qui… MA vedersi questa bella scritta campeggiare all’indirizzo http://www.apple.com/html5/ già mi puzza…

… e vedersi rifiutare la visualizzazione delle demo perché non si sta utilizzando Safari mi fa incazzare!

Mi fa incazzare questo utilizzo tipicamente markettaro dell’ignoranza delle persone, sfruguglio un pò in giro e fortunatamente mi accorgo di essere in buona compagnia, lo stesso Christopher Blizzard membro del CdA della Mozilla Foundation commenta ironico sul suo blog:

My god, what a beautiful thing. They are the web. I love that. I could have written it myself. I should have written it myself.

… andandoci molto molto pesante sull’argomento e tirando in ballo l’onestà intellettuale (dopo tutto FireFox 4.0 supporterà il 98% della specifica html5).

Lo stesso Christopher suggerisce un sito (caniuse.com) dove poter confrontare l’aderenza allo standard dei vari browser:

Noterete come pure Microsoft, dopo anni di paleolitico, sta velocemente recuperando il gap supportando html5 e css3 senza le luci della ribalta e con un approccio molto “easy” (ma anche lì il silenzio serve forse a mascherare il ritardo? Sono maligno lo so…)

Detto questo, Apple non ha mai brillato per il suo approccio verso le “Community” e forse questo è l’unico difetto veramente di rilievo che le si può imputare… o no?

Anzi forse qualcosa si che la posso chiedere, magari un LCD che abbia un maggior contrasto alla luce del sole visto che il mio MBP 2004 è equipaggiato con un monitor retroilluminato a neon contro i modernissimi monitor led… ma aspettate un attimo che bello sarebbe avere un monitor che prende la luce per la retroilluminazione proprio dal sole?

Una cosa tipo…

Che si possa chiudere…

Magari che si possa realizzare facendo qualche piccola modifica agli LCD attuali…

… maledetti omini Apple ne pensano una più del diavolo! XD

Brevetto e articolo dettagliato sul funzionamento rispettivamente qui e qui

Circa un anno fa il consiglio regionale piemontese emanava una legge che stabiliva privilegiava “i programmi appartenenti alla categoria del software libero e i programmi il cui codice è ispezionabile dal titolare della licenza” (art. 6 co. 2°) [...] fonte ossblog

Nella sentenza di replica all’impugnazione del “presunto favoreggiamento all’opensource” c’è una frase magica pensata sicuramente da qualcuno che il lume della ragione ancora lo tiene bene acceso:

[...] non sarebbe dato comprendere come la scelta di un ente rispetto ad una caratteristica, e non ad un prodotto … possa essere considerata invasiva della norma sulla tutela della concorrenza [...] fonte: ASSOLI

Mia cara demenza del coniglio dei ministri sarà il caso che tu, nella figura di chi pensa a questi ricorsi, vada a riguardare la differenza tra

Diceva Albert Einstein: “i problemi non possono essere risolti allo stesso livello di pensiero che li ha generati“, il che vuol dire anche, parafrasando un pò, che certe cariatidi non comprenderanno mai il perché dei cambiamenti; stagnanti come sono nella loro forma mentis retrograda

… tutto serve a crescere!

Tutti hanno diritto ai propri 15 minuti di Denial of Service.

Chi sta in sleep-mode non prende phishing.

Cielo a pecorelle, desktop Windows classico.

Non si sa mai chi bussa alla backdoor.

Uomo avvisato, invia segnalazioni errori / non inviare.

Impara l’arte e fai un backup.

Se dai a un uomo un pesce lo nutri per un giorno, se gli insegni a programmare avrà fame per il resto della vita.

La skin non fa il monaco.

Sbagliando s’impalla.

Occhio non vede, monitor out of range.

Non c’è 00000010 senza 00000011.

via Uomo morde cane

Quest’uomo venderebbe l’anima al demonio per far parlare di se, ma questo “Al lupo al lupo” va ascoltato

[...]Taormina ci racconta che sta proponendo leggi (processo breve) che in realtà non ha intenzione di far passare. Gli servono per far imbufalire l’opposizione e poi presentare leggi più digeribili e farle scivolare via, una volta che l’opposizione si e’ esaurita in manifestazioni contro un falso bersaglio.
Credo che sia importante capire che Silvio usa la strategia dei falsi bersagli per sfottere l’opposizione (che ci casca costantemente). Modestamente su questo blog ripetiamo da anni che deviare l’attenzione e’ lo strumento centrale della sua tattica. Abbiamo già detto che non ha nessuna intenzione di fare il nucleare. Ci sta solo prendendo per il culo.[...]

Misteri italiani: il caso Taormina

Grazie a Matteo per la segnalazione

Il modello di macchina astratta creato da Turing si basa su di un “meccanismo” con un testina che è in grado di leggere e scrivere un dato su di un nastro potenzialmente infinito suddiviso in porzioni discrete di spazio dette celle. Ad ogni istante di tempo la macchina si trova in uno stato interno ben determinato, risultato dell’elaborazione compiuta sui dati letti.

…più o meno ci siamo

I non addetti ai lavori immagino che non abbiano capito granché di com’è fatta questa macchina, non vi preoccupate, tutto normale, perché la tendenza dell’uomo è quella di complicare le cose semplici, allora eccovi una bella immagine:

Fantasticamente retrò

Cos’ha di particolare questa macchina?

Church e Turing hanno postulato un teorema che recita più o meno così: “se un problema è intuitivamente calcolabile allora esiste una macchina di Turing che lo risolve” che in formalese viene “la classe delle funzioni calcolabili coincide con la classe di funzioni calcolabili con una macchina di Turing“.

Ancora nebbia fitta?

State vedendo il modello di macchina astratta che è alla base dei moderni computer e che ne emula il modello computazionale.
Ad onor del vero i computer “fisici” sono basati sul modello di Von Neumann ma se volete ve lo leggete perché questo tizio mi sta sul cazzo quindi da me non avrete alcuna informazione

Guardatevi questo affascinante video e pensate a quanto veloce possa essere il computer che state usando ora nell’effettuare le medesime operazioni,  75 anni a non dimostrarli

Veramente un bell’aggeggio tecnologico, si ringrazia Francesco per la segnalazione

“una diagnosi molto dura, molto estrema…” Santoro Dixit!

Gli italiani, gli intellettuali, gli artisti, sono poco coraggiosi? Sì, lo sono sempre stati. Sono stati vent’anni sotto un governo fascista, ridicolo, con un pagliaccio che stava lassù. Avete visto quello che ha combinato. Ci ha mandato l’Impero, le falangi romane lungo Via dell’Impero; ha fatto le guerre coloniali, ci ha mandato in guerra. Eravamo tutti contenti, che c’era uno che guidava lui, pensava lui, “Mussolini ha sempre ragione”, tutti stavano “bòni e zitti”. Adesso il grande imprenditore ha detto: «Lasciatemi governare, votatemi, perché io mi sono fatto da solo, sono un lavoratore, sono diventato miliardario, vi farò diventare tutti milionari».

Benissimo, hai voglia: sono 15 anni che aspettano e credono. Gli italiani sono fatti così: vogliono che uno pensi per loro. Se va bene, va bene. Se va male, poi lo impiccano a testa sotto. Questo è l’italiano. Gassman e Sordi ne “La Grande Guerra”? Avevano una loro spinta personale, un orgoglio, una dignità della persona che noi abbiamo perso, completamente.

Ormai nessuno si dimette, siamo tutti pronti a chinare il capo pur di mantenere il posto, di guadagnare. Pronti a sopraffarci, a intrallazzare. Uno la prima cosa che fa è di mettersi d’accordo con un altro per superare le difficoltà. Non c’è nessuna dignità, da nessuna parte. E’ proprio la generazione che è corrotta, malata, che va spazzata via. Non so da che cosa, non so da chi. O meglio: lo saprei. Ma lasciamo andare.

La speranza è una trappola. Una brutta parola, non si deve usare. La speranza è una trappola inventata dai padroni, quelli che ti dicono «state buoni, zitti, pregate, che avrete il vostro riscatto, la vostra ricompensa nell’aldilà, perciò adesso state buoni, tornate a casa – sì, siete dei precari, ma tanto fra 2-3 mesi vi assumiamo ancora, vi daremo un posto. State buoni, abbiate speranza». Mai avere la speranza. La speranza è una trappola, è una cosa infame, inventata da chi comanda.

Come finisce questo film? Non lo so. Io spero che finisca con quello che in Italia non c’è mai stato: una bella botta, una bella rivoluzione. C’è stata in Inghilterra, in Francia, in Russia, in Germania, dappertutto meno che in Italia. Quindi ci vuole qualcosa che riscatti veramente questo popolo che è sempre stato sottoposto, che è trecent’anni che è schiavo di tutti. Se vuole riscattarsi, il riscatto non è una cosa semplice. E’ doloroso, esige anche dei sacrifici. Se no, vada alla malora – che è dove sta andando, ormai da tre generazioni