freeuser.org

Duecentosettantuno, Mythos, il kernel e quello che CURL ha capito trent'anni fa

2026-05-25T22:35:34.363+02:00

Duecentosettantuno. È il numero di vulnerabilità di Firefox chiuse da Mozilla in una singola release. Tutte trovate, in un solo run, da un modello che Anthropic chiama Mythos. Bug accumulati negli anni (alcuni vecchi di un decennio) scovati uno a uno da un LLM lasciato libero di scorrazzare nel codice con un prompt che, in sostanza, dice: "trovami una vulnerabilità."

Duecentosettantuno. In una passata, piano terra, Mozilla, prima caos... poi ordine.

Adesso spostatevi un piano sotto, dove Daniel Stenberg, il maintainer di curl, uno che mantiene da solo (con una squadra di volontari) la "libreria HTTP" più usata del pianeta, apre la sua casella di HackerOne. Lo stesso Mythos gli ha consegnato il suo report. Una ventina di bug segnalati, descritti bene, quasi senza falsi positivi. Solo che... nessuno di questi è una vulnerabilità di sicurezza. Sono bug, sì. Cose da sistemare, certo. Ma niente RCE, niente memory corruption sfruttabile, niente che giustifichi un CVE.

Zero vulnerabilità. Su una codebase che gestisce qualsiasi cosa abbia un URL, dal vostro smart TV ai rover su Marte.

E un piano ancora più sotto, in fondo a una mailing list privata, c'è Linus Torvalds che alza le braccia. La lista di sicurezza del kernel, quella riservata, dove dovrebbero finire solo le robe critiche e da coordinare in silenzio, è "praticamente ingestibile" (parole sue, nel post di rilascio della 7.1-rc4). Cinque-dieci segnalazioni al giorno, erano due-tre alla settimana due anni fa, in larga parte duplicati. Stessa AI, stesso prompt, stesso bug, scoperti da ricercatori diversi nello stesso pomeriggio. I maintainer passano il tempo a inoltrare email e a rispondere "è già stato fissato il mese scorso." Pointless churn, lo chiama Torvalds. Lavoro inutile travestito da diligenza, per uno che non è proprio conosciuto per essere "Linus il calmo" è quasi record non aver ucciso qualcuno.

Linus Torvalds detto il calmo

Tre scene, una stessa storia. E una domanda che dovremmo farci tutti, perché ci riguarda parecchio: questi super-modelli LLM aiutano i criminali o affogano l'uomo comune?

Partiamo da quello che è ovvio (almeno, dovrebbe esserlo). Mythos è un mostro. Non lo dico io: lo dice Anthropic stessa; anche se è di parte e anche se non sono il solo a pensare che possa esserci troppo hype vero Bruce (Schneier)?

E qui ci sta pure la dialettica scomoda. Anche se Mythos fosse, per dirla pari pari con Stenberg, "an amazingly successful marketing stunt", cosa aspettiamo? Che la tecnologia rallenti per conservare il nostro status quo? Che gli LLM siano educatamente meno bravi a trovare bug perché noi facciamo ancora fatica a digerirne il flusso? Velasco lo dice in palestra ai suoi schiacciatori, ma il concetto vale qui dentro tale e quale: non puoi chiedere all'avversario di battere piano, di modo da ricevere bene (semi-quote). La palla arriva, arriva come arriva, e il tuo mestiere è risolverla, non commentarla. Anche perché i criminali, garantito, non staranno a discutere se Mythos era marketing o no... lo useranno e basta (e i loro cugini open-weight pure).

Talmente un mostro che ha deciso di non rilasciarlo al pubblico per "concerns about cybersecurity capabilities." Lo dice il fatto che ha trovato un bug di 27 anni in OpenBSD, sì, proprio OpenBSD, quello che da decenni si vende come l'OS più security-hardened sulla faccia della terra. Lo dice il fatto che ha messo insieme catene di exploit con sandbox escape e JIT heap spray, roba che fino a ieri era da top-tier vulnerability researcher (quelli che si contano sulle dita di una mano monca, per intenderci).

E qui c'è la prima crepa nella narrativa rassicurante.

Anthropic ha confezionato Mythos dentro Project Glasswing, un consorzio di Big Tech (Microsoft, Google, Apple, AWS, Cisco, Nvidia, JPMorgan, Linux Foundation, una quarantina di organizzazioni in tutto, con una feed di impegno di 100M$ in token) che lo usano per blindare le proprie infrastrutture. Bene. Bellissimo. La retorica è quella del "diamo un vantaggio ai difensori prima che gli attaccanti sviluppino qualcosa di equivalente." Anthropic stima sei-dodici mesi di vantaggio.

Sei-dodici mesi. E poi?

Poi succede quello che è già successo con tutto: la capability si democratizza, escono i modelli open-weight (Gemma 4 ha le sue versioni uncensored sui repository pubblici da settimane), e il "vantaggio del difensore" diventa una corsa armata in cui chi ha più tempo, più soldi e più disinvoltura morale vince. Indovinate chi... TU NO!.

Ma il punto interessante non è nemmeno questo. Il punto è la diagonale che attraversa le tre scene di cui sopra. Mozilla, curl, kernel Linux. Stesso tool, tre risultati radicalmente diversi. Perché?

Firefox è una bomba latente. Duecentosettantuno bug in una passata significano che la qualità del codice (di un browser che gira su metà dei PC del pianeta, scritto da persone pagate stipendi da Silicon Valley) è semplicemente quello che è. Stratificata, complessa, piena di legacy code, scritta sotto pressione di feature da rilasciare entro lo sprint. Mythos arriva e fa pulizia. Bene. Anche un po' inquietante, ma bene.

Curl è l'eccezione che conferma la regola al contrario (perché insidia la norma diceva Carmen). Stenberg da trent'anni mantiene una codebase ossessivamente, maniacalmente curata. Static analysis, fuzzer continui, compilatori con le opzioni più paranoiche attivate, code review chirurgiche. Da una vita. E quando arriva Mythos, il modello che ha trovato un buco di 27 anni in OpenBSD, su curl trova... bug minori. Una manciata di cose da sistemare. Niente di sfruttabile. Curl, in pratica, ha già fatto i compiti. Da decenni. Stenberg lo liquida così, testualmente: "an amazingly successful marketing stunt". E lo dice uno che il codice di curl lo conosce riga per riga, da quando il web era ancora una cosa elegante.

Il kernel Linux è la zona grigia. Migliaia di sviluppatori, milioni di righe, la base su cui poggia metà dell'internet del mondo. Qui Mythos (e i suoi cugini) trovano roba vera. Il "Copy Fail" exploit recente, un buco serio, RCE con escalation a root, che ha colpito praticamente ogni distribuzione, è stato trovato proprio così, con l'aiuto dell'AI. Ma per ogni "Copy Fail" arrivano cinque, otto, dieci segnalazioni duplicate dello stesso bug, perché tre ricercatori indipendenti hanno girato lo stesso scanner nello stesso pomeriggio.

Torvalds e i MEH a cui ci ha abituato

Tre scenari. Tre lezioni diverse. Una sola morale: la qualità del codice non è un dettaglio igienico. È la differenza tra sopravvivere all'era Mythos e venire smontati pezzo per pezzo.

E qui parte la domanda che ci dovremmo fare in pochi, noi che firmiamo CISO, CIO, CSO in fondo a un'email aziendale. Se curl è un gioiello e Firefox una bomba, non è una questione di budget (Mozilla ne ha mille volte di più di Stenberg). È una questione di processi. Di organizzazione del lavoro. Di strumenti scelti (o non scelti). Di obiettivi che qualcuno, in alto, ha fissato (male). Probabilmente tutte queste cose insieme, e tutte trasversali. C'è qualcuno in Mozilla che, ai vari piani della scala, avrebbe dovuto dire "fermi tutti, prima la qualità del codice e poi la feature." Non lo ha detto. O lo ha detto piano. O lo ha detto forte e nessuno lo ha ascoltato, che è ancora peggio: vuol dire che in board pesa zero. Ma allora che ci stiamo a fare? A produrre slide trimestrali sulla "postura" mentre il pavimento sotto i piedi è marcio da dieci release?

Adesso fate uno zoom out e mettete questi tre scenari in fila.

Da una parte: organizzazioni grandi che possono permettersi un AppSec team (e magari un AppSec team con accesso a Glasswing) che berranno dal firehose di Mythos, prioritizzeranno, patcheranno, sopravvivranno. Si lamentano del rumore, ma sopravvivono.

Dall'altra: l'uomo comune. Il piccolo progetto open source mantenuto da un volontario. La PMI manifatturiera con tre persone in IT (di cui zero in security). L'azienda di servizi che ha duecento dipendenti, una rete piatta come una sogliola, e un firewall configurato nel 2017. Mythos non lo useranno mai. Ma Mythos, o un suo cugino open-weight, o un wrapper venduto a centottanta euro al mese sul dark forum giusto, finirà nelle mani di qualcun altro. E il tessuto sociale (perché di quello stiamo parlando, mica di codice astratto) si regge esattamente su quella seconda fascia. È lì che gira la sanità della cittadina, l'erogatore d'acqua, il fornitore di componenti che poi finiscono nell'aereo che vi porta in vacanza.

E qui torno alla domanda con cui ho aperto: questi super-modelli aiutano i criminali o affogano l'uomo comune?

Risposta scomoda: entrambe le cose. Insieme. Non è un trade-off, è un effetto combinato.

L'attaccante non ha bisogno di patchare. Ha bisogno di trovarne UNA... e una sola vulnerabilità che funzioni, su una vittima-target che paga (con un riscatto, con dati, con accessi rivendibili). Il modello costa poco, gira in cloud, non si stanca, non chiede ferie. Il difensore (quello vero, quello sul campo, il sysadmin con le mani in pasta e il telefono che squilla) riceve il CVE pubblicato la sera, deve capirlo entro la mattina, patcharlo entro il pomeriggio, e nel frattempo gli arrivano altri venti CVE perché Mythos ha appena fatto un altro giro su un altro pezzo dello stack.

L'asimmetria attaccante/difensore è sempre esistita, certo. Ma adesso è stata moltiplicata per un fattore difficile da quantificare. E moltiplicata per zero sui costi marginali dell'attacco. Il che, in pratica, vuol dire... incalcolabile.

Stenberg ha potuto reggere l'urto perché il suo codice era già pulito. Mozilla ha potuto patchare 271 (e più) bug perché ha trecento persone e budget da nove zeri. Torvalds reggerà perché il kernel ha un esercito di maintainer e una community che lo difende.

Voi avete cosa, scusate?

Al prossimo post dedicherò probabilmente il come si esce da questa storia (alle volte ho queste pretese), ammesso che se ne esca. Ho qualche idea, alcune anche poco popolari (no, 'compriamo un altro EDR' non è tra queste. E nemmeno 'compriamo un'altra cosa). Ci penso un po' su.

Nel frattempo, magari fate un giro sulla vostra codebase. Quella di nessuno è curl.

SaaS, Integrazioni e AI: JP Morgan Suona l'Allarme (E Conferma i Nostri Sospetti)

2025-05-01T00:49:00.008+02:00

Quando il Gigante Sputa il Rospo (Era Ora!)

Nell'articolo precedente, ci siamo messi qui a distinguere il Real Cloud dalla fuffa cosmica, dal Fake Cloud e dal solito "computer di qualcun altro" con lo sticker sopra? A me sembrava quasi un esercizio di stile utile a sgranchire le dita sulla tastiera e a mettere un punto fermo ai pensieri di ogni giorno, un lamento tra addetti ai lavori stanchi del marketing tossico. Bene, tenetevi forte, non sono il solo a pensarlo: il problema è molto più profondo, sistemico e pericoloso.

E la notizia non è tanto il problema in sé, quanto chi l'ha appena messo nero su bianco con una lettera aperta che ha fatto allarme ma fa anche molto awareness sui "rischi correlati"; la mano che ha scritto questa lettera è di Patrick Opet, il Chief Information Security Officer di JPMorgan Chase (non propriamente un'IT Company).

Si, questa JPMorgan Chase

Non capita tutti i giorni che un CISO di quel calibro prenda carta e penna (virtuale, si capisce) per denunciare pubblicamente le fondamenta scricchiolanti su cui poggia gran parte dell'ecosistema SaaS moderno e, di conseguenza, l'economia globale. Non che ci volesse JPM per capire che la baracca rischia di crollare – molti di noi lo mormorano (o lo urlano) da anni nelle trincee dell'IT e della cybersecurity – ma quando il monito arriva da uno dei più grandi "clienti" del mondo, forse, forse, qualcuno inizia ad ascoltare (NdR: si dai fatemi fare il tragico come sempre, almeno a casa mia).

Opet non usa mezzi termini:

il modello di delivery SaaS, combinato con le moderne pratiche di integrazione via API e protocolli come OAuth, sta creando vulnerabilità sostanziali. E l'attuale corsa sfrenata verso l'Intelligenza Artificiale? Sta semplicemente gettando litri di benzina su un incendio che già covava sotto la cenere (semi-cit.).

Vediamo perché (e perché le sue parole dovrebbero farci drizzare le antenne, non solo annuire).

Ah, dimenticavo, SaaS, *aaS, et similiar hanno un unico comune denominatore: third-party supplier (e relativi rischi ma ci arriviamo articolo dopo articolo ;-) )

La Diagnosi (Impietosa) di JPM: Anatomia di un Ecosistema Fragile

La lettera di Opet è un j'accuse lucido e articolato. Mette in fila i peccati originali (e quelli più recenti) del nostro moderno modo di costruire e consumare software. Smontiamoli:

Rischio Concentrato = Rischio Sistemico: Sembrava una buona idea, no? Consolidare tutto su pochi, grandi provider SaaS e PaaS. Efficienza! Innovazione rapida! Peccato che, come sottolinea JPM, questo crei anche singoli punti di failure (SPOF) di portata potenzialmente catastrofica. Oggi, un incidente serio presso uno dei soliti noti (pensate ad AWS, Azure, GCP, ma anche Salesforce, Microsoft 365, Okta...) non colpisce solo una manciata di aziende: può paralizzare catene di approvvigionamento globali, infrastrutture critiche, l'intera economia. Abbiamo costruito bastioni digitali su fondamenta condivise, dimenticandoci che basta una crepa in quelle fondamenta per far tremare tutti. Efficiente, sì. Resiliente? Molto meno.
La Feature Vince (Quasi) Sempre sulla Sicurezza: Questa è musica per le orecchie di chiunque abbia provato a far passare una misura di sicurezza "non funzionale" in un ciclo di sviluppo agile spinto al massimo. JPM lo dice chiaro: la competizione feroce spinge i vendor a dare priorità al rilascio rapido di nuove feature piuttosto che alla sicurezza robusta. Risultato? Software rilasciato in fretta e furia, senza sicurezza adeguata by design o by default. La security diventa un afterthought, qualcosa da "avvitare sopra" (bolted-on) invece che "integrare dentro" (built-in). Si accumula debito tecnico e di sicurezza, creando opportunità costanti per gli attaccanti. Una situazione, dice Opet, "insostenibile" per il sistema economico. Vi suona familiare? (La domanda è retorica...)
Architetture di Sicurezza: La Grande Regressione: Questo è forse il punto tecnicamente più devastante sollevato da JPM. Per decenni abbiamo costruito architetture basate su segmentazione rigorosa: reti separate, livelli di accesso (tiered access), terminazione di protocolli ai perimetri, isolamento logico tra risorse interne fidate ed esterne non fidate. API e siti web erano interfacce controllate, separate dai sistemi core. Oggi, invece, le moderne pratiche di integrazione (spesso spinte dalla comodità del SaaS e dalla necessità di far "parlare" tutto con tutto) hanno smantellato questi confini. Protocolli come OAuth e l'abuso di API permettono interazioni dirette e spesso poco controllate tra servizi di terze parti (il SaaS di turno, il nuovo tool AI, oppure l'enterprise app con un botto di autorizzazioni a...) e le risorse interne più sensibili (email aziendale, dati clienti, sistemi core). JPM la chiama, senza mezzi termini, una "regressione architetturale" che mina principi fondamentali di sicurezza e crea un "single-factor explicit trust" (mi fido di te perché hai un token valido, senza troppe domande) tra internet e la rete privata. Addio fossati e ponti levatoi, benvenute autostrade dirette verso i gioielli di famiglia.

L'AI come Benzina sul Fuoco (Il Rischio al Quadrato)

E se questo quadro non fosse già abbastanza preoccupante, arriva l'AI. JPM sottolinea come la "crescita esplosiva" di servizi basati su AI, automazione e agenti intelligenti stia amplificando e distribuendo rapidamente tutti i rischi appena descritti.

Perché? Semplice:

Più Integrazioni = Più Superficie d'Attacco: Ogni nuovo tool AI, ogni agente che deve accedere ai dati aziendali per "imparare" o "agire", richiede nuove integrazioni. Spesso, queste integrazioni richiedono accessi privilegiati per essere davvero utili. Ogni connessione aggiunta, costruita su quelle fondamenta già fragili, è un potenziale punto di ingresso.
Accessi Opachi e Rischi Nascosti: Come evidenzia JPM, spesso questi tool ottengono accessi senza consenso esplicito e granulare, o attraverso dipendenze da altri fornitori (fourth-party risk) che sono completamente invisibili al cliente finale. Chi controlla davvero cosa può fare quell'LLM integrato nel CRM? Quali dati "vede" per addestrarsi o rispondere? E i servizi esterni che lui stesso potrebbe chiamare a nostra insaputa? La domanda retorica dell'opinione che hai raccolto è perfetta: "Do you truly know what OpenAI, Copilot, Gemini, or Claude can access?" (La risposta, spesso, è un preoccupante "non proprio" per non dire "anche no").
Velocità e Scalabilità (del Rischio): L'automazione e l'AI non accelerano solo i processi legittimi, ma anche la potenziale propagazione di un incidente. Un token rubato, un'API vulnerabile, un agente AI compromesso possono portare a danni su scala molto più vasta e rapida rispetto al passato.

La metafora è fin troppo calzante: stiamo costruendo grattacieli di intelligenza artificiale su fondamenta di sabbie mobili SaaS (questa l'ho già sentita).

La Chiamata alle Armi (Secondo JPM... e il Buon Senso)

Di fronte a questa diagnosi, JPM non si limita a lamentarsi, ma lancia una "call to action" chiara, rivolta sia ai provider che ai clienti. Tradotta per noi, suona più o meno così:

Sicurezza NON Opzionale: Basta slogan "Secure by Design". I provider devono integrare la sicurezza by default (opt-out, non opt-in), fornire prove continue e dimostrabili che i controlli funzionano (non solo il bollino annuale della compliance), essere trasparenti sui rischi e dare ai clienti gli strumenti per gestirli. Fornitori avvisati... (speriamo che ascoltino, ma non tratteniamo il respiro).
Modernizzare le Difese, Non Solo le Applicazioni: Le vecchie mura perimetrali non reggono più l'urto delle integrazioni moderne. Servono controlli robusti sulle connessioni: autenticazione e autorizzazione granulari (least privilege reale), monitoring avanzato del traffico API, detection di comportamenti anomali, politiche di accesso dinamiche e context-aware. Bisogna difendere le autostrade, non solo il castello.
Trasparenza Radicale: Pretendere dai vendor (e verificare!) chiarezza su quali dati accedono, perché, come li proteggono e quali altri servizi (fourth-party) utilizzano a loro volta. Il buon senso, è merce rara.
Riprendere il Controllo (Quando Possibile): JPM menziona opzioni come confidential computing, customer self-hosting, e bring your own cloud. Non sono soluzioni semplici né economiche, ma indicano una direzione: cercare modi per mantenere il controllo sui propri dati e sulle proprie chiavi anche quando si usano servizi esterni. La sovranità digitale non è gratis.
Il Potere del "NO": Forse l'arma più efficace. Iniziare a rifiutare integrazioni e servizi che non offrono garanzie di sicurezza adeguate, anche se sembrano convenienti o se il marketing/business preme. Far capire che la sicurezza è un requisito non negoziabile.

Conclusione: Sveglia! (Prima che il Castello Crolli)

La lettera di Patrick Opet è un sasso nello stagno. Non rivela verità sconosciute a chi lavora nel campo, ma ha il merito enorme di portare il problema all'attenzione del grande pubblico e, soprattutto, di dargli l'autorevolezza di uno dei più grandi "consumatori" di tecnologia al mondo. È una validazione potente per anni di preoccupazioni espresse a mezza voce.

Ma non basta che JPM suoni l'allarme. La responsabilità è collettiva, ma anche individuale. Spetta a noi, professionisti dell'IT e della cybersecurity, manager, architetti:

Eseguire una due diligence spietata su ogni SaaS, ogni API, ogni integrazione.
Pretendere sicurezza robusta e trasparenza dai nostri fornitori.
Fare scelte architetturali consapevoli, comprendendo i rischi intrinseci dei modelli di integrazione moderni.
Spingere per l'adozione di controlli più forti.

Abbiamo passato l'ultimo decennio a costruire un ecosistema digitale incredibilmente potente ma anche terribilmente fragile, sedotti dalla promessa di velocità e integrazione totale. Ora ci stiamo caricando sopra il peso massimo dell'Intelligenza Artificiale. Prima che sia troppo tardi, forse è davvero il momento di fermarsi a controllare seriamente le fondamenta, tappare le crepe più grosse e, magari, smettere di costruire piani ulteriori su palafitte che scricchiolano. Altrimenti, non avremo nemmeno più bisogno dello zainetto di pelle per portarci via le macerie.

Source: An open letter to third-party suppliers - By Patrick Opet, Chief Information Security Officer

Real Cloud, Fake Cloud, e il Computer di Qualcun Altro: Sopravvivere alle Mostruosità del Mercato

2025-04-08T18:18:00.005+02:00

Introduzione: Ma Non Eravamo Tutti sull'AI?

Parliamoci chiaro: nel 202X (o quando diavolo state leggendo), mettersi qui a disquisire sulle differenze basilari tra le varie offerte "cloud" ha un sapore quasi... vintage. L'universo tech è in pieno delirio da Intelligenza Artificiale, ogni startup sembra nascere con un .ai nel dominio e ogni conferenza è un tripudio di LLM, prompt pipe-engineer-dreaming (un po' pipeline, un po' sogno, un po' unicorno, sicuramente tutta fuffa) e reti neurali che promettono di risolvere pure il traffico sulla tangenziale. E noi? Noi siamo qui a chiederci se quella roba che ci vendono è davvero cloud (viva la consistenza).

Sembra anacronistico? Forse. È inutile? Assolutamente no. Anzi, è proprio questo il punto.

Mentre tutti corrono come criceti impazziti sulla ruota dell'ultima buzzword, ci si dimentica (colpevolmente) delle fondamenta. E indovinate un po' dove girano la maggior parte di quegli algoritmi AI così affamati di dati e cicli di CPU/GPU? Esatto. Su infrastrutture che dovrebbero essere cloud. Ma spesso, non lo sono.

La scintilla per questo sfogo (chiamarlo articolo, suona troppo pomposo) è nata durante una delle solite chiacchierate – fatte più di sguardi complici che di parole, per non disturbare lo speaker di turno – con un manipolo di colleghi IT (manager? architetti? gente che dovrebbe sapere). Ed è riemersa la solita, sconfortante verità: il termine "cloud" è talmente abusato, stiracchiato e violentato dal marketing da aver perso quasi ogni significato. Viene appiccicato come un adesivo promozionale su qualsiasi cosa abbia una presa di rete e un indirizzo IP.

Quindi, cosa diavolo ci stanno vendendo dietro la giacca firmata (o la felpa col cappuccio, fa più startup), lo zainetto di pelle (obbligatorio) e le slide più luccicanti di una palla da discoteca, spesso presentate con la dialettica di chi cerca di piazzarti un depuratore d'acqua?

Questo pezzo è un tentativo di mettere un po' d'ordine nel caos, una sorta di guida di sopravvivenza per non farsi infinocchiare. Se pensate che "cloud" sia solo "il computer di qualcun altro" o se siete convinti che basti migrare una VM su AWS per aver "fatto la trasformazione digitale", potete anche chiudere qui e tornare a giocare con ChatGPT. Per tutti gli altri, quelli che magari praticano l'arte del "the quieter you become the more you are able to hear" – quelli che cercano di sentire la stonatura sotto la musica del marketing – iniziamo a distinguere il fumo dall'arrosto (spoiler: c'è un sacco di fumo).


L'artista Berndnaut Smilde fa apparire le nuvole in luoghi inaspettati... almeno lui non lavora nell'IT

Le Definizioni Ufficiali (La teoria che dovremmo ricordare)

Per amor di precisione (e per poter poi sbeffeggiare meglio le deviazioni), ricordiamo cosa dovrebbe essere il cloud secondo il NIST, l'ente che cerca di mettere paletti in questo Far West (... io vorrei farvi vedere il mondo dei prodotti Finance, quanto abuso di "Cloud"):

IaaS (Infrastructure as a Service): I mattoncini LEGO fondamentali. CPU, RAM, storage, reti. Ti danno l'hardware (virtuale), ma OS, middleware, patch, applicazioni... sono cavoli tuoi. Massima flessibilità, massima responsabilità. (Es. AWS EC2, Azure VMs, Google Compute Engine).
PaaS (Platform as a Service): Un livello sopra. Ti forniscono l'ambiente pronto all'uso per sviluppare e deployare: OS gestito, database gestiti, runtime, message queue... Tu ci metti il codice e configuri. Meno sbattimenti infrastrutturali, ma sei più legato alla piattaforma (ciao lock-in, ci vediamo dopo). (Es. Heroku ai tempi d'oro, Google App Engine, Azure App Service, AWS Elastic Beanstalk).
SaaS (Software as a Service): Il pacchetto "chiavi in mano" (o quasi). Usi il software via browser o API, dell'infrastruttura sottostante non sai (e spesso non ti importa) nulla. Comodità massima, controllo minimo. (Es. Salesforce, Microsoft 365, Google Workspace, la qualunque cosa con subscription mensile).

Belle, vero? Pulite, ordinate. Peccato che la realtà sia un po' più... disordinata. Ed è qui che nascono le categorie non ufficiali, quelle che incontriamo tutti i giorni, nel Vietnam del mercato dei fuffaguru:

Categoria 1: Il "Computer di Qualcun Altro" (aka Hosting Glorificato con Sticker "Cloud")

La base della fuffa. Un server (fisico o, più spesso, una VM) accessibile da remoto. Utile? Certo, lo usiamo da decenni. È cloud? Nemmeno per sogno. Eppure, quanti provider ti affittano la solita VPS (Virtual Private Server – già il nome è un ossimoro a volte), magari con Plesk o cPanel preinstallato (wow!), la chiamano "Cloud VM" o "Business Cloud Server" e ti presentano un conto che fa impallidire un IaaS vero?

Perché non è cloud? Dov'è l'elasticità vera (pago solo ciò che consumo davvero, scalo su e giù in automatico o via API)? Dov'è il self-service reale (provisioning e deprovisioning istantaneo via API)? Dov'è l'alta disponibilità by design (non "speriamo che il ferro non si rompa")? Non ci sono. Paghi un canone fisso (o quasi) per risorse fisse. È hosting, punto.

L'inganno sta nel prezzo sproporzionato rispetto ai benefici (inesistenti) del cloud. La red flag gigante? L'evasività. Fate domande "tecniche" precise:

"Dove sono fisicamente i data center?",
"Che tecnologia di virtualizzazione usate (KVM, Xen, VMware)?",
"Come è gestita la ridondanza storage e di rete?",
"Avete API per gestire l'infrastruttura?",
"Che livello di assurance ho sulla gestione dell'infrastruttura?",
"Quali sono gli SLA veri sul downtime?"

Se la risposta è vaga, imbarazzata, o un laconico "passo la sua domanda al mio interno"... ecco, quella non-risposta è la vostra risposta. Stanno vendendo fumo. Nella migliore delle ipotesi vi arriverà una slide striminzita con poche "freccette" e/o uno statement interno dove, guarda caso, la "liability" finisce tutta sulle vostre spalle.

Categoria 2: Il "Fake Cloud" (aka Cloud Washing come se piovesse)

Qui l'arte della mistificazione si raffina. Il marketing si fa aggressivo, le parole chiave diventano più tecniche: virtualizzazione spinta, container (Docker! Kubernetes!), orchestrazione! Sembra tutto meravigliosamente moderno. Poi, gratti la patina lucida e cosa trovi? Spesso, implementazioni raffazzonate dove sotto Kubernetes girano VM monolitiche che richiedono le stesse patch, le stesse manutenzioni programmate (con downtime annesso) e le stesse preghiere dei sistemi on-premise.

A volte il "capolavoro" consiste nel prendere il tuo vecchio hardware e spostarlo fisicamente nel loro data center ("lift and shift", lo chiamano i fighi) e magicamente... ecco il tuo "Private Cloud"! Peccato che di cloud-native non ci sia nulla. Niente autoscaling intelligente, niente infrastruttura immutabile, niente gestione infrastructure-as-code spinta (o no).

Il campanello d'allarme? Chiedete:

"Ok, Kubernetes gestito, bello. Ma cosa succede quando dovete aggiornare la versione di K8s o l'OS dei nodi worker? C'è downtime per le mie applicazioni? Come viene gestito il processo? Posso controllarlo?". Oppure:
"Come funziona esattamente l'autoscaling? Su quali metriche? Posso personalizzarlo?".

Se le risposte sono fumose, se parlano di "garantire un numero fisso di risorse" o se il processo di upgrade sembra un intervento a cuore aperto, probabilmente siete nel regno del Fake Cloud. Stanno usando terminologia moderna per vendere pratiche obsolete.

Categoria 3: Il "Real Cloud" (Bello, Bellissimo... Ma Sai Guidarlo?)

E finalmente, arriviamo al cloud vero.

Quello dei grandi provider (AWS, Azure, GCP, Oracle? e pochi altri, siamo onesti) o di qualche offerta di nicchia ben fatta. Qui l'elasticità è reale, il pagamento a consumo (se ben gestito) pure.

Le API sono sovrane, il self-service è la norma. IaaS, PaaS, SaaS convivono e offrono un potenziale enorme. Infrastrutture che scalano globalmente, servizi serverless, database gestiti che si auto-riparano, AI/ML integrati... un parco giochi per ingegneri (e per il business, se usato bene). L'IT smette di essere un freno e diventa (potenzialmente) un acceleratore. È davvero passare dalla Punto alla Tesla.

MA. (Sapevate che arrivava, vero?).

La Tesla è un gioiello di tecnologia, ma non si guida da sola (non ancora, e forse è un bene) e soprattutto richiede un pilota capace (e attento ai costi!). Il Real Cloud è potente, ma intrinsecamente complesso. La domanda cruciale qui non è se è cloud, ma:

"Come diavolo lo governo?"
"Bello l'autoscaling, ma come lo imposto per non ricevere una bolletta che mi costi un rene alla fine del mese (il famoso bill shock)?"
"Fantastici i log centralizzati, ma come imposto alert utili e non rumore di fondo?"
"Ok, mille servizi disponibili, ma quale combinazione è davvero ottimale per la mia applicazione in termini di costi, performance e resilienza?"
"Come gestisco la sicurezza in questo ambiente distribuito e dinamico? Il modello di responsabilità condivisa (Shared Responsibility Model) l'ho capito davvero o sto solo sperando che il provider faccia tutto lui?"

Il problema? Molti vendor (e partner) sono bravissimi a venderti la potenza di fuoco dell'infrastruttura, ma molto meno trasparenti o d'aiuto sulla parte cruciale: l'architettura applicativa e la configurazione fine.

Quella è "roba tua". E se non hai le competenze interne (o un partner veramente bravo e onesto), rischi di:

Sovra-provisionare risorse: Pagando un sacco di soldi per potenza che non usi (la Tesla usata per andare a fare la spesa al supermercato dietro l'angolo).
Sotto-provisionare risorse: Con performance imbarazzanti o downtime quando il carico aumenta.
Configurare male la sicurezza: Lasciando buchi grandi come crateri.
Ignorare l'ottimizzazione dei costi: Bruciando budget senza controllo.

Un Cloud Engineer/Architect serio si vede da come progetta per la crescita e per il controllo dei costi, da come imposta un monitoraggio significativo (non le vanity metrics della console) e da come abilita il vero self-service per i team di sviluppo, automatizzando tutto l'automatizzabile. Perché altrimenti, ti ritrovi a fare il SysAdmin con strumenti più fighi (e costosi), ma sempre SysAdmin rimani. Hai comprato la Tesla per poi rimpiangere la Punto perché almeno sapevi dove mettere le mani.

Categoria 4: Il "Cloud 41-bis" (aka La Gabbia Dorata)

Questa è forse la variante più subdola e dolorosa a lungo termine. Prendi un'applicazione, magari anche ben scritta, e invece di lasciarla libera di sfruttare la potenza generica del cloud (IaaS o PaaS standard), la incateni mani e piedi a servizi iper-specifici e proprietari di un singolo provider.

Il tuo codice, che potrebbe girare quasi ovunque con pochi adattamenti, si ritrova a dipendere da quel database NoSQL con API creative, da quella message queue esoterica, da quel servizio di identity management che parla solo il dialetto del vendor. Il risultato? Lock-in totale. Sei in una gabbia. Magari dorata (all'inizio sembra tutto facile e veloce), ma pur sempre una gabbia.

Spesso questi "ecosistemi" vengono venduti come acceleratori, soluzioni "tutto compreso" per evitare la complessità del Real Cloud. In realtà, stai barattando la libertà e la flessibilità futura per una (presunta) comodità immediata. Migrare diventa un incubo tecnico ed economico, a volte semplicemente impossibile.

Attenzione: usare servizi PaaS o SaaS specifici non è il male assoluto. Ma bisogna farlo con consapevolezza, capendo il trade-off. Un conto è scegliere consapevolmente un database gestito per le sue feature uniche, sapendo che ti stai legando; un altro è farsi imporre un'intera architettura proprietaria che ti preclude qualsiasi alternativa. Il tuo IaaS (se lo usi) deve rimanere uno strato flessibile, non diventare la base per costruire il tuo Fort Knox personale (del vendor).

Il Fantasma del Lock-in (Che Aleggia Ovunque)

E questo ci porta al tema trasversale: il Vendor Lock-in. Non è una categoria a sé, ma un veleno che può insinuarsi in tutte le forme di cloud (persino nell'hosting glorificato, se usi pannelli di controllo proprietari o servizi aggiuntivi specifici).

I vendor (tutti, nessuno escluso) cercano di legarti a sé. È il loro mestiere. Lo fanno con:

Servizi unici e proprietari: Difficili o impossibili da replicare altrove.
API specifiche: Che richiedono riscrittura del codice per cambiare provider.
Tool di gestione e monitoring integrati: Comodi, ma ti abituano a lavorare solo nel loro ecosistema.
Costi di egress dei dati: A volte esorbitanti, rendendo costoso portare via i tuoi dati.
Sconti basati sulla fedeltà o sul volume: Che ti incentivano a consolidare tutto su un unico provider.

Ripeto: non è necessariamente "male". A volte i benefici di un servizio specifico superano il rischio del lock-in. Ma la decisione deve essere consapevole. Devi chiederti prima:

"Quanto mi sto legando? Qual è il costo/sforzo per migrare se un domani volessi/dovessi farlo? Ho alternative? Ho una strategia di uscita?".

Quindi, Che Si Fa? Diventate Paranoici (Ma Informati)

Se siete arrivati fin qui senza addormentarvi o lanciare il portatile dalla finestra, forse un po' di speranza c'è. Il consiglio?

Siate scettici. Mettetevi il cappello da detective (o da CISO paranoico, che è quasi la stessa cosa). Non bevete il Kool-Aid del marketing.

Scavate

Fate domande. Tante. Precise. Tecniche. E non accontentatevi di risposte vaghe. Ascoltate non solo quello che dicono, ma come lo dicono, cosa non dicono, dove esitano. I dettagli sono tutto. Non volete "sporcarvi le mani" con la tecnologia? Auguri. In alternativa pagate qualcuno davvero bravo per farlo, ma pretendete di capire cosa state comprando.

Ecco una checklist minima (da adattare e approfondire) per iniziare a smascherare la fuffa:

Trasparenza Tecnica: Dove sono i data center? Che hardware/software usano (virtualizzazione, storage, rete)? Forniscono accesso a log dettagliati dell'infrastruttura? Hanno API complete per tutto (o almeno tutto quello che mi serve)?
Elasticità Reale: Come funziona davvero lo scaling (automatico/manuale)? Su quali metriche? È istantaneo? I costi scalano anche verso il basso in modo proporzionale quando il carico diminuisce?
SLA Chiari e Verificabili: Quali sono le garanzie reali di uptime (e come vengono misurate)? Cosa succede (penali?) se non vengono rispettate? Coprono solo l'infrastruttura o anche i servizi gestiti?
Sicurezza e Compliance: Come gestiscono la sicurezza fisica e logica? Hanno certificazioni rilevanti (ISO 27001, SOC 2, etc.)? Come gestiscono patch e vulnerabilità? Il modello di responsabilità condivisa è chiarissimo? Avete controllo voi sugli accessi e sulle policy? I dati dove risiedono fisicamente (GDPR & co.)?
Costi Nascosti (Hidden Costs): Il prezzo è davvero tutto compreso? Ci sono costi aggiuntivi per traffico di rete (soprattutto egress), API call, storage IOPS, supporto tecnico (che non sia solo aprire un ticket)? Chiedete esempi di fatture dettagliate.
Strategia di Uscita (Exit Strategy / Lock-in): Quanto sarebbe complesso/costoso migrare dati e applicazioni altrove? Usano standard aperti o tecnologie proprietarie? Ci sono vincoli contrattuali sulla durata o penali per uscita anticipata?
Gestione (Self vs Managed): Il livello di gestione è chiaro? Se è "managed", quanto controllo/visibilità avete? Potete scegliere quali parti gestire voi e quali delegare? Se è "self-service", quali strumenti e supporto vengono forniti?

Conclusione

Prima le Basi, Poi l'Hype

In quest'epoca in cui l'AI sembra la risposta a qualsiasi domanda (anche a quelle non poste), è facile dimenticarsi che ogni algoritmo complesso, ogni modello addestrato su petabyte di dati, ha bisogno di fondamenta solide su cui poggiare. E quelle fondamenta, oggi, sono (o dovrebbero essere) il cloud.

Se ancora inciampiamo nel distinguere un vero IaaS da un hosting con lo sticker, se ancora ci facciamo abbindolare dal "cloud washing", se non abbiamo capito come governare la complessità (e i costi) del "Real Cloud", come possiamo pensare di costruire sopra questa roba applicazioni AI affidabili, scalabili, sicure ed efficienti? Stiamo costruendo castelli di carte su fondamenta di sabbia (o, peggio, di fumo marketing).

Quindi, il messaggio finale è semplice: prima di correre dietro all'ultima sirena tecnologica, assicuratevi di avere basi solide. Capite veramente cosa state comprando e usando. Siate critici, siate tecnici, siate paranoici. Non fidatevi delle slide luccicanti. La vera innovazione nasce dalla competenza, non dall'entusiasmo cieco. E la competenza, nel nostro campo, parte dal sapere esattamente di cosa stiamo parlando. Altrimenti, state solo pagando per lo zainetto di pelle.

Si può essere ancora “di sinistra”?

2022-07-15T18:17:00.007+02:00

Questa sera rileggevo uno sfogo fatto sui social in merito a tante situazioni vissute negli ultimi anni. Situazioni che hanno fatto emergere il profondo senso di inadeguatezza che provo cercando di immedesimarmi ed immergermi nella realtà che stiamo vivendo.

Polarizzazioni, -ismi, schwa varie, slogan e sensi di appartenenza a “cose” che dalla sera alla mattina sembrano acquistare un’importanza capitale e che, anche solo 48h prima, erano praticamente ignorate dai più, mi fanno rivalutare il senso del concetto di evoluzione. La riporto integralmente, sotto, per tenere traccia di questa cosa all'interno del mio spazio.

Perdonerete il linguaggio “poco aulico” ma si tratta di uno sfogo quindi tale è il linguaggio che lo rappresenta… ah! Alcuni elementi sono “smarcatamente” divisivi, pace! Cominciamo… :-)

Si può essere di sinistra anche se non si ascoltano cantautori fracassa coglioni
Si può essere di sinistra anche se il femminismo tossico che fraintende parità di genere e diritti delle donne ti è andato sulle palle
Si può essere di sinistra anche se consideri molte delle battaglie sindacali anacronistiche e non adatte alle nuove generazioni di lavori e lavoratori
Si può essere di sinistra anche se consideri lo ius soli uno spauracchio propagandistico che nasconde la volontà di non fare una beneamata minchia per l’inclusione dei nati e cresciuti in Italia
Si può essere di sinistra anche se ritieni che l’europa abbia tradito il suo mandato e che sia di fatto uno strumento che ha portato solo alla macelleria sociale che stiamo vivendo
Si può essere di sinistra anche se le battaglie a favore dei più deboli non sono un vessillo identitario ma un naturale evoluzione della specie che però nessuno innesca
Si può essere di sinistra anche se la cancellation culture “progressista e demostratica” ti sembra una cazzata main-stream che non meglio posizioni nello scacchiere globale
Si può essere di sinistra anche se non ti spieghi come cazzo si è potuti passare dalle proteste per l’uccisione di George Floyd all'abbattimento delle statue di Cristoforo Colombo
Si può essere di sinistra anche se cominciano a starti sui coglioni gli * alla fine delle parole
Si può essere di sinistra anche se consideri il ban di parole violente (ne*ro, f*ocio per dirne due) come un meccanismo per dargli ancora più forza dispregiativa
Si può essere di sinistra anche se consideri le parole importanti ma l’abolizione di whitelist, blacklist, master e slave nell’informatica ti fa pensare di avere a che fare con menomati mentali
Si può essere di sinistra anche se non porti l’eskimo e se i giacconi unisex verdi ti fanno schifo quasi quanto le divise dei soldati
Si può essere di sinistra anche se per il censis sei un borghese ma se ti fai i conti in tasca sei solo un proletario vestito bene
Si può essere di sinistra anche se il 90% delle battaglie politiche progressiste che ti hanno propinato negli anni non sai bene a che cazzo abbiano portato se non una divisione sociale
Si può essere di sinistra anche se ritieni che il referendum sul nucleare possa essere un fottuto boomerang di cui cominciamo a vedere gli effetti a lungo termine
Si può essere di sinistra anche se ascolti opinioni diverse dalla tua e cerchi uno scambio d’idee anche con chi non è della tua stessa linea (nota: no i fascisti e i nazisti li schifo a prescindere… è colpa loro non mia)
Si può essere di sinistra anche se ritieni che debba esserci una severa riforma fiscale che tenga conto della spaccatura di censo che esiste tutt’oggi ma che al contempo garantisca il “fare impresa” a scapito di chi produce ricchezza senza produrre valore (sì la flat tax è una cagata e sì, il capitalismo permea oramai la nostra società)
Si può essere di sinistra anche se ritieni che le lobby e il mestiere del lobbysta, se fatto alla luce del sole, non siano il male di questo mondo e che anzi, demonizzarli e ripudiarli serve solo a chi quelle lobby le sfrutta nell’ombra
Si può essere di sinistra anche se schifi i meccanismi comunicativi della “sinistra istituzionale” e anzi li ritieni i medesimi, seppur con argomentazioni diverse, di quelli usati dalla destra (solo che questi ultimi parlano al cervello rettile e alimentano la paura)
Si può essere di sinistra anche se ritieni che gli operai e i proletari siano oramai irrecuperabili, ammesso che esistano ancora, anche e soprattutto a causa delle politiche che, almeno negli ultimi 30anni, anche la sinistra istituzionale ha tenuto
Si può essere di sinistra anche se pensi che il settore pubblico vada drasticamente rivisto e che il principio per cui le assunzioni fatte dalla pubblica amministrazione debbano passare per un concorso debba essere cambiato altrimenti la PA è condannata al clientelismo (nonostante i concorsi) e alla mediocrità
Si può essere di sinistra anche se argomenti come bioetica, laicità, immigrazione, politica estera, legislazione del lavoro, istruzione, politiche di genere, sanità non siano temi meno significativi degli stanziamenti in tema di welfare o del rapporto tra spesa pubblica e Pil (anche se vorrei venisse applicato il principio del BIL — Benessere Interno Lordo)
Si può essere di sinistra anche se credi provocatoriamente che la democrazia sia sopravvalutata e che la sinistra riformista sia una “cagata pazzesca”
Si può essere di sinistra anche se vedi nella Cina, smarcatamente antidemocratica, un modello
Si può essere di sinistra anche se oramai il dialogo costruttivo lo riservi per poche persone perché oramai la speranza ti ha abbandonato da anni
Si può essere di sinistra anche se ritieni che gli sforzi per ridurre le pressioni competitive che uno stato deve almeno mitigare, soprattutto se sono a scapito delle classi più deboli di lavoratori, siano vani se non affrontate collegialmente insieme ad altri stati e ritieni quindi giusto agire a scapito di quelli stati che se ne fregano delle politiche egualitarie
Si può essere di sinistra anche se le considerazioni fatte fino ad ora possono essere considerate in contrasto fra loro ma sì, sei di sinistra se fai di tutto per trovare una quadra

Mi domando se non fosse stato più corretto finire molte frasi con un punto interrogativo. La verità vera è che le risposte che ne scaturirebbero mi fanno solo vomitare.

Patching management — Migliorare la Velocity

2020-05-04T12:25:00.068+02:00

Ci sono molte cose che ruotano attorno al tema della Security (o per chi ama il marketing Cyber Security), una di queste è il Patching Management.

Stavo leggendo questo documento redatto da Kenna Security e Cyentia “PRIORITIZATION TO PREDICTION”, vi consiglio la sua lettura per un “azzeramento” su alcuni temi in cui sono personalmente carente, di seguito alcune naturali considerazioni, qualche riflessione e una breve checklist di consigli

Velocity: (def.) the speed of something in a given direction

Ho sempre considerato “efficace” un processo di patching valutando quando questo fosse in grado di coprire, nel minor tempo possibile, le vulnerabilità evidenziate e sollevate da un qualunque tool di continous VA.

Questa mia personale e semplicistica percezione si porta dietro un tema essenziale da identificare: la “Velocity” con cui il patching viene effettuato.

Quant’è il “minor tempo possibile”?

Per chi si occupa di security e abbia la pretesa che chiunque sia intorno a lui abbia lo stesso livello di awareness sui temi SEC, “minor tempo” vuol dire ieri.

Tuttavia questa è una pretesa irrealizzabile soprattutto per chi ha come obiettivo quello di gestire i sistemi che devono essere patchiati (IT Operation), e che deve tener conto, in questo processo, di vari fattori quali:

Gestione del Software legacy: cosa succede se patcho il sistema?
Conoscenza tacita di quello che c’è sui sistemi: avrò preso in considerazione tutte le componenti sul sistema?
Testing e verifica operativa (IT): come effettuo i test e chi coinvolgo per un UAT?
Testing e verifica di sicurezza: che altro si inventerà quello della security per capire se ho “fatto bene” il mio lavoro?

In poche parole l’availability dei sistemi, al solito, cozza con i requisiti di sicurezza se questa non è prevista “by design” al momento della progettazione di un sistema (ma se parliamo di legacy è quasi sempre “mancante”).

Tuttavia l’availability è uno dei pilastri della sicurezza e spesso prediligere lei al resto la compromette irreparabilmente.

Come parlare con i nostri colleghi dell’IT senza sollevare richieste pretenziose?

Il tema secondo me è dibattuto; a mio modo di vedere ci sono due fattori da tenere in considerazione:

cosa s’intende per vulnerabilità e
il monitoraggio del processo.

Quali Vulnerabilità?

Ritengo che sia IT Operation, da un lato, che IT Security, dall’altro, possano convergere sulle “CVE”.

Sapendo di commettere un errore, vedremo poi poco rilevante, personalmente ritengo che le CVE siano il corretto elemento di collegamento tra i due mondi, per i seguenti motivi:

Permettono una copertura di almeno il 90/95% di quelle che sono le vulnerabilità (non è sufficiente lato SEC ma è un ottimo inizio)
Producono un elenco di evidenze qualificate, le classificazioni CVSS, che permettono una prioritizzazione degli interventi basata su elementi tangibili
Sono oramai una standard de facto (forse anche de iure)
Sono squisitamente misurabili e quantificabili (l’ho già detto per caso?)

Sopra potete notare la distribuzione delle CVE nel tempo. Oltre all’inevitabile aumento fisiologico delle vulnerabilità anche l’adozione massiva del CVE Numbering Authorities, dal 2017, ha fatto si che si sia stato un aumento delle stesse.

Potrà sembrare una banalità ma esistono sistemi di Endpoint Management che non mappano le patch tramite CVE (se non con voli carpiati di CVS ed Excel) e che hanno, per giunta, la pretesa di rimappare quanto il vendor e la community produce come classificazioni. Attenti quindi a verificare cosa c’è sotto il cofano cari colleghi delle IT Operations; chi reiventa la ruota non fa mai un buon lavoro.

Tutte le CVE sono uguali?

No, assolutamente no. Per fare un po’ di discrimine oltre alla “severity” (spesso dichiarata nella patch dal vendor) ci sono altri elementi che conviene tenere in considerazione, mi riferisco ai parametri che compongono la classificazione CVSS, quali:

Score: quanto pesa quella vulnerabilità;
Access: dove si deve essere per sfruttarla
Complexity: quanto è difficile metterla in pratica

Questo potrebbe permettervi di “affettare” il problema evitando di rovesciare un carico di lavoro importante sui vostri colleghi.

Si potrebbero scegliere, come base di partenza, tutte le vulnerabilità sopra la media (score 6,6) che hanno sfruttabilità remota in maniera semplice, per iniziare il patching

Questo riduce lo scope di quello che “osservate” ma attenzione ad avere sempre un quadro d’insieme che tenga conto anche dell’exploitabilità delle vulnerabilità rilevate, altrimenti sono guai.

Rapporto tra vulnerabilità observed/not observed e exploited/not exploited

Ci possiamo concentrare solo sulle “medium/high”?

Di nuovo, assolutamente no!
Spesso in un sistema complesso ci sono molte variabili che creano “combinati disposti” di legale memoria utili a sfruttare una vulnerabilità. Mi ricordo che esisto una serie di seminari “From Low To Pwned” che potrebbero farvi cambiare idea se aveste la presunzione di dire “le low non le patcho”.

Tutto quanto sopra ci permette di scomporre il problema in elementi più piccoli velocizzando il processo di selezione senza tralasciare il suo insieme migliorando, nel complesso, la Velocity.

Altre cose che potremmo prendere in considerazione potrebbero essere:

il numero di macchine affette,
il numero di riavvi richiesti,
quanto il vendor aggrega queste CVE nei suoi processi di patching release periodici ecc.,

vi lascio alla vostra fantasia, al buonsenso e al vostro strumento di patching (che ribadisco spero abbiate scelto accuratamente).

Bonus: Tutti i produttori di software sono uguali?

Anche qui la risposta è no.

Differenze nella “Remediation velocity” dei vari produttori di software

Ci sono molti fattori che influenzano la Velocity in un processo di patching. Oltre a quelli che inevitabilmente sono interni al processo, quindi all’azienda, ce ne sono altri riconducibili al vendor e quindi non trascurabili per definizione.

In un ciclo di patching per raggiungere il 25% del parco macchine si passa dai 14gg quando si ha a che fare con Microsoft ai 225gg quando il prodotto è di IBM (o HP o Oracle o Cisco) 15/16 volte tanto rispetto al migliore.
Dato per me impressionante.

Questo è riconducibile ad una serie di fattori che vanno dalla bontà del ciclo di sviluppo dei software in questione, al suo impiego nell’architettura IT spesso diverso e più infrastrutturale.

Java, ad esempio, è notoriamente molto difficile da patchare senza rompere qualcosa (il susseguirsi dei vari vendor e la mancata retro-compatibilità del framework sono oramai problemi cronici). Apple ha storicamente meno vulnerabilità di Microsoft, e (forse) forte di una “auto-attribuita” superiorità nello sviluppo, lascia latitare il supporto enterprise. Google aggiorna molto di frequente i propri prodotti ma gli utenti si scordano di riavviare il browser.

Quello che emerge forte e chiaro tuttavia è che, i software che si auto-aggiornano o che hanno una chiara e definita periodicità nei rilasci delle patch, anche di sicurezza, hanno dei cicli di applicazione delle patch più semplici quindi più corti.

Morale: scegliete con cura i vostri software e soprattutto i vendor.

Differenze nella “Remediation velocity” dei vari produttori di software — Timeline in mesi

Dati gli assunti che abbiamo fatto sopra sulle CVE e i loro “parametri” CVSS si potrebbe immaginare che le aziende, stando al documento, potrebbero patchare prima le vulnerabilità con rischio più alto. Purtroppo il seguente grafico lascia intravedere una realtà diversa.
Evitate di scegliere la “semplicità di patching” come unico parametro altrimenti potreste avere delle brutte sorprese in caso di attacco.

Come e cosa monitorare?

Ok, ora che ci siamo dati delle regole sul cosa tenere sotto controllo e sul come aggredire lo scope di patch da applicare, clusterizzandole, torniamo al tema iniziale, “in quanto tempo”?

Il momento t0 è quello della scoperta della vulnerabilità (chiaramente scoperta esterna)

Il grafico sopra riporta quanto osservato nel report sulla totalità delle aziende prese in considerazione (divise equamente tra: small, medium e large enterprise) sulla totalità dei brand/vendor di software soggetti a patching.

Da questo grafico deduco tre informazioni fondamentali:

per coprire i 2/3 delle vulnerabilità nel cluster selezionato 3 mesi è un tempo medio spesso non accettabile dal punto di vista della security
la copertura del 100% è irrealizzabile
I cicli di verifica dovrebbero essere almeno trimestrali

Immaginiamo uno scenario di una vulnerabilità wormable, 0day, ad alto rischio e immaginiamo un nome a caso: EternalBlue (alla base di WannaCry)

Qui la breve cronistoria degli eventi

Estate 2016: l’NSA perde il controllo di alcuni toolkit utilizzati dal TAO (Tailored Access Operation), tra cui EternalBlue; il furto viene perpetrato ad opera di Shadow Brokers
Il 14 Marzo 2017: Microsoft rilascia la patch per molti sistemi operativi con il bulletin MS017–010; Severity: Critical
Il 12 Maggio 2017 fa la sua comparsa nel mondo WannaCry

Analizziamo questi eventi alla luce del grafico sopra, assumendo che la statistica sia retroattivamente valida.

I più efficaci nel processo di aggiornamento delle macchine, cioè quelli partiti con l’applicazione della patch critica lo stesso giorno (o il giorno dopo) della pubblicazione del bulletin Microsoft, durante il rilascio di WannaCry avevano aggiornato il 45% delle macchine, magari, spero io, quelle critiche per il business (oppure no perché avete deciso di lasciate indietro proprio quelle perché “non si possono fermare i sistemi”; se siete nella seconda categoria e non avete avuto seri problemi siete stati solo fortunati fino ad oggi).

Le dimensioni contano, ma non come credete

La dimensione di una compagnia può determinare in maniera significativa il tempo che si impiega per completare “un giro” di patching.

La remediation velocity cambia a seconda della grandezza dell’azienda

Cosa sarà rimasto di quei sistemi non patchati di una large company dopo il 64° giorno se nel mentre hanno “incontrato” WannaCry? Penso ben poco.

La cosa preoccupante a mio avviso è che: tanto è grande l’azienda, quindi nominalmente con più risorse, tanto il processo è lento, forse e spero per una maggiore complessità nella gestione del processo o forse (ma non lo spero) per uno sbilanciamento nella distribuzione delle risorse tra i vari dipartimenti o per mala gestione.

Chiaramente l’awareness è l’elemento chiave che contraddistingue gli andamenti nelle varie industry di appartenenza:

La remediation coveage distinta per industry/market

Nell’impostare la vostra strategia di patching, e in virtù delle esperienze sopra citate risulta chiaro che ci siano aziende più attente a certi temi (le banche) e altre molto più inclini a “lasciar correre”, spesso però un 5% più lenti o più veloci può segnare la differenza tra catastrofe e salvezza.

In conclusione

Scegliete un linguaggio comune con i colleghi delle IT Operation es. le CVE
Clusterizzate la scelta delle CVE da patchare sui parametri CVSS delle stesse prediligendo exploitabilità, accessibilità della vulnerabilità e score
Programmate di patchare anche ciò che è Low per diminuire drasticamente la superfice d’attacco
Ogni mese coprite il maggior numero di macchine core per il business aziendale a partire dai cluster selezionati (magari prediligendo le exploitable su cadenza quindicinale e le altre mensilmente)
1 Mese per chiudere il 65% delle macchine è una sfida fattibile (i Top Performer del report sono 2.5 volte più veloci degli altri)

Lasciate che i sistemi si aggiornino (o non vi frapponete tra loro e gli aggiornamenti se non sapete fare di meglio), soprattutto per gli applicativi consumer in mano all’utente
Effettuate test trimestrali sul buon andamento del processo
Effettuate verifiche trimestrali su cosa non è stato ancora preso in considerazione dal processo di patching (vulnerabilità escluse dal)
Commettere l’errore di pensare che a “noi non capiterà” (un attacco infrastrutturale). Potrebbe esservi fatale.

La politica dell’apparire. Divi e passerotti a confronto

2015-11-11T14:16:00.002+01:00

Passerotto in pieno stato d’estasi

Riflessione semiseria sulla politica, sul divismo e sull’alimentazione dei passeri.

politica

(diritto) arte e scienza di proporre, approvare e rendere operative le leggi di uno stato, esercitata da persone, organizzate in partiti e coalizioni
(per estensione) maniera in cui un governo tratta argomenti e problemi politici determinati

apparire

sembrare, dare una certa impressione visiva
comparire, prender forma dal nulla
presentarsi alla vista inaspettatamente
sorgere

Analizziamo i grassetti.

Tanti commentatori, politologi, polli da salotto ed opinionisti vari starnazzano in continuazione del fatto che “la politica sia cambiata”. Io, come molti della mia generazione, non conosco invece altro modo di fare politica se non “questo”.

17 Dicembre 1992 — Se devo trovare un momento in cui, nel passato, posso dire di aver cominciato a “masticare” di politica nazionale non posso fare a meno di citare Tangentopoli.

Come un pulcino fuori dall’uovo, questo è il mio imprinting. Quando sento parlare del fatto che la politica “è diventata” questo, “è diventata” quell’altro sinceramente mi viene un sorriso amaro; in virtù del mio imprinting posso solo dire che la politica è privilegio, è immunità, è potere incondizionato.

La politica, esercitata da un politico (e da chi altrimenti) è commistione, è la scelta di un dirigente, è il potere di aggirare l’attività amministrativa secondo la propria volontà, è violare le regole, è un primario in ospedale, è un professore universitario, è un rettore che scodinzola all’idea di candidarsi, è la lottizzazione della RAI, è la corruzione (della carne) tra i dirigenti sindacali e sé stessa.

Il politico è la star di questo mondo, il carnefice di quest’arena che ci ostiniamo a chiamare nazione.

def. Nazione: Gruppo di individui cosciente di una propria peculiarità e autonomia culturale e storica, spec. in quanto premessa di unità e sovranità politica: la n. italiana, francese; la bandiera, l’esercito, i confini della n.

In italia una nazione non si è ancora formata.

In un territorio così il politico è colui che ti regala un “posto al sole” e, proprio oggi dicevo, chi ha un posto al sole e si sente la pancia piena non cambia le cose, anzi è intrinsecamente portato a mantenere lo status quo.

Il politico è questo generoso elargitore di sdraio sulla spiaggia, è lo strillatore che catalizza su di sé il mal di pancia di chi lo ascolta, è il tiratore di applausi, il parafulmine di una rabbia mai veramente espressa, ma solo accennata.

Il politico è il divo. Quello che ce “l’ha fatta” (a mangiare sulle spalle degli altri).

Poco importa se per il bene o per il male, non c’è alcuna differenza tra il divo “buono” e quello “cattivo”. Tra chi dice di difendere la legalità o chi, semplicemente, si fa “i cazzi suoi”.

Il divo politico è massificato. Da chi? Dai suoi stessi elettori.

“Gli italiani sono fatti così: vogliono che qualcuno pensi per loro. Se va bene va bene, se va male poi l’impiccano a testa sotto.” — Monicelli

Un divo, “piccolo piccolo” per cervelli da “passerottini”. Gli stessi passerottini che si beccano, con tanto di imbuto, ogni messaggio, esplicito e non, che passa dalla TV o dai suoi surrogati digitali.

Certo perché divo e passerottino sono l’uno in simbiosi con l’altro.

Invitare il divo nel pollaio televisivo, oppure “postribolo” — tanto la differenza è poco palpabile mio malgrado — diventa per il direttore del recinto una sicurezza; la sicurezza che il passerottino non potrà esimersi dall’avvicinarsi e dal guardare e magari cibarsi quasi masochisticamente del becchime che rimane immangiato nell’aia.

Tanto è forte questo richiamo che il divo quasi pagherebbe, se già non lo fa, per presiedere ai talk televisivi che si fanno nell’aia. Il direttore dei talk sa bene che invitare questo o quel politico farà incazzare una parte dei passerottini, piuttosto che un’altra, tanto chi vince sempre è il banco (dello share o del pay per click).

Il divo navigato sa che essere onnipresente in TV fa sì che il proprio nome echeggi, i giorni successivi allo show, di bocca in bocca (per il bene o per il mane non importa), ed è tutta pubblicità gratuita.

Il divo “in erba” che si ritrae davanti a quest’arena, viene spinto dal masochismo e dal voyeurismo dei passerottini, fin tanto da cedere alle lusighe delle sirene e inesorabilmente finire per diventare anch’egli divo navigato, dispensatore di opinioni, insomma un maestro dell’apparire.

Un pensiero fugge e va a chi fa riflettere facendo ridere. Mi riferisco agli unici intellettuali presenti in questo paese, i comici. Il loro mestiere è intrattenere come moderni giullari.

Chi sa far bene quel mestiere è anche in grado di comunicare qualcosa al piccolo cervello dei passerottini; un messaggio subliminale. Quello a cui assisto tuttavia è l’amara incapacità della maggior parte dei passerottini di andare oltre il messaggio “di pancia”, interpretando con schemi semplici quanto viene loro proposto. La reazione è quella di accrescere l’odio o l’amore per la persona “schernita” senza andare al messaggio, al cuore del discorso, che dovrebbe invece far riflettere oltre ogni ragionevole dubbio sul fatto che oramai il divo politico è mera immagine, e che lui stesso, povero passerottino, si nutre di sola apparenza.

Per tornare ai passerottini ho un’immagine di loro molto triste. Una invernale grigia giornata di freddo pungente, e loro che si stringono uno accanto all’altro un po’ per noia un po’ per ripararsi dal freddo; oppure il loro è solo un gesto per sentirsi meno soli nella desolazione che hanno davanti agli occhi.

Il passerottino, raggomitolato sul filo dell’alta tensione, non si cura di quanto gli sta accadendo, si ferma all’apparenza, si nutre di essa, senza entrare nel merito che il suo corpo è attraversato da migliaia di Volts, il suo riferimento è il passerottino accanto e chi è avvezzo alle “tematiche elettriche” sa che senza una vera differenza di potenziale non c’è movimento di corrente. Senza un riferimento, verso l’alto o verso il basso, non c’è alcun movimento.

Fatalmente però, se questa differenza si dovesse d’improvviso palesare, il povero passerottino verrebbe immediatamente carbonizzato dallo shock, e quindi si guarda bene dal far sì che questo avvenga, quasi sapesse quale potrebbe essere la sua sorte se tentasse di cambiare stato.

Si limita quindi a mangiare gli avanzi dell’aia e a sospirare delegando ad altri passerottini l’”onore” di diventare divo, tanto, mal che vada, poi l’appendono a testa sotto.

Da cyberbullo a stalker il passo è breve

2015-10-07T13:59:00.001+02:00

Riflessione su alcuni fatti personali

Di cyberbullismo e stalking oramai abbiamo quasi le orecchie sature e sistematicamente si riempiono paginate di blog e gozziglioni di convegni dove, gli addetti ai lavori parlano con lorostessi senza un reale coinvolgimento di chi invece potrebbe, da queste fiumane di parole, imparare qualcosa.

Il quesito è proprio questo: si sta trattando efficacemente questo tema?

La risposta varia, ma la mia impressione è di un secco NO.

Caro genitore, ha senso difendere sempre i propri pargoli?

Prima parte per i genitori

Leggevo un articolo su Oltreuomo che parla dei 6 tipi di genitori che fanno finire in analisi i figli (ci siamo tutti non abbiate paura).

Pensare a quei tipi di genitori, comuni in maniera devastante, e mescolando il tutto con la totale ignoranza che i genitori “moderni” hanno di Internet mi permette di realizzare che il cyberbullismo è una conseguenza naturale dei comportamenti (dis o anti)educativi che i genitori hanno.

Cari genitori, virtuale non vuol dire immateriale, non è che se una cosa avviene su Internet non esiste oppure per il fatto che VOI (e sottolineo VOI) non riusciate a toccarla non esiste.

Se un “povero bambino” (cit. Mamma elicottero vedi art. di cui sopra) — perdonatemi la digressione ma chiamare bambino uno stronzo di 12 anni è veramente uno schiaffo alla morale, meglio definirlo teppista o più semplicemente delinquente — comunque, se questo “povero bambino” vi rubasse da sotto agli occhi un pacchetto di gomme al supermercato “apriti cielo”, invece se “ruba” un film online non pagando il biglietto al cinema non succede niente (non è colpa vostra se non sapete la differenza tra prodotto e servizio, le cose però sono cambiate da un pezzo: WAKEUP!).

Se insulta un suo compagno sui socialcosi fate spallucce e liquidate il tutto come “ragazzate”. Vi faccio riflettere su tre punti:

se la vittima fosse vostro figlio come la prendereste?
se i genitori della vittima s’incazzano che fate? Spallucce?
se dalle parole si passa ai fatti e le minacce diventano molestie? Ancora spallucce?

Eh poverini, vi sento già che vi state autoassolvendo dicendo:

Categoria 1

ma come faccio a controllare?
ai tempi miei questi strumenti non esistevano
non so usare le tecnologie

o peggio ancora

Categoria 2

ma che sono queste stupidaggini?
quella femminuccia di bimbo se lo merita eheheh
che vuoi che ti facciano per queste cose
(opzionale se provincia) no dai lasciamo stare perché altrimenti in paese chissà cosa pensano

NB: se sei di quest’ultima categoria di pensatori, spero di incrociare la tua strada in un prossimo futuro. Per te so già che non c’è niente da fare, riformatorio per tuo figlio e ricondizionamento sociale per te.

Signori ma fare il genitore vi è mai sembrata una cosa facile? Corciarsi le maniche fintanto che si può e cercare aiuto là dove non si riesce a compensare le lacune con mezzi propri sono gli unici consigli che vi posso dare. Ah, armatevi di umiltà:

se avete un cyberbullo (cioè un teppista) in casa da qualche parte avete toppato.

Seconda parte per i ragazzi

Nota introduttiva: mentre sopra ho parlato di bulli riferendomi esclusivamente, ed impropriamente, a ragazzi, da qui in poi mi riferisco, senza troppo stereotipare, a ragazze vittime di stalking.

Chiara manifestazione di affetto di uno stalker

Distinguiamo le casistiche di intervento:

siete minorenni
siete maggiorenni

Siete minorenni

Nel primo caso c’è poco da fare, il cyberidiota punta ad una vostra debolezza:

timidezza
disabilità
orientamento sessuale
una caratteristica fisica
nazionalità o provenienza (anche sud vs. nord è un pretesto sufficiente)
estrazione sociale

Affrontare apertamente, e con le sole vostre forze, il cyberbullo non farà altro che aprire il fianco a nuovi punti d’attacco, magari ampliando anche alla sua cerchia di idioti (si perché il cyberbullo è di quella categoria di tipi psichiatrici che si muove ed agisce in branco).

Consiglio, tenete tutto:

conversazioni sui social
SMS, lista chiamate
email
foto, whatsapp, ask, kik, snapchat, quel che l’è

e rivolgetevi ai vostri genitori, se non li ritenete adeguati suggerite loro di rivolgersi alla Polizia Postale o ai Carabinieri di zona.

Siete maggiorenni

Vale quanto detto sopra per i “minorenni” ma aggiungo una cosa.

Siete grandi. Forse i vostri genitori non ve lo hanno detto, o più semplicemente ritengono che non è il caso di farvi sentire tali, ma per la legge italiana siete “capaci di agire” ergo maturi quanto basta per prendere decisioni, e responsabilità conseguenti, con la vostra testa.

Certo, i genitori che vi sono capitati potrebbero ricadere in una delle due categorie sopra descritte, quindi potrebbero opporre i loro dubbi e le loro perplessità a quanto vi sta accadendo, ma come ho rimarcato più volte sono le loro non le vostre.

Certo, è vero che vivete in una società di mera apparenza e, falsa, socialità, quindi penserete che una decisione come quella di querelare, giustamente, uno stalker può avere delle ripercussioni. A questo pensiero oppongo una riflessione:

perché subire le pressioni psicologiche di un perseguitatore non ha ripercussioni su di voi?

Mostrare pietà o menefreghismo per chi irrompe nella vostra vita senza chiedere permesso è un atteggiamento mostruoso come quello di chi vi perseguita, magari dicendo di provare sentimenti per voi, ma altri non ama se non sé stesso.

Mostrare obbedienza e rispetto verso i propri genitori, in questo caso, potrebbe rivelarsi un grave errore, forse quello veramente fatale.

Gli strumenti di tutela ci sono, per fortuna, mi raccomando usateli:

esposto: strumento light per procedere con un gesto di ammonimento nei confronti dello stalker
querela: strumento irrevocabile che porta alla procedura penale nei confronti dello stalker

Approfondimenti:

L'etica nella sicurezza informatica

2015-02-21T16:30:00.002+01:00

Indegnamente sentiamo parlare sempre più spesso di “hacker”.

“Hacker” che violano i sistemi informatici degli utenti per rubare carte di credito, “hacker” che attentano all’immagine (defaciare) di questo o quel sito, “hacker” che rilasciano malware/scareware/ransomware (anche mia madre sa di CryptoLocker) o peggio un più generico “VIRUS P3R1C0L0S1SS1M0” associato a chissà quale fantomatico “h4ck3r”. (succederà sempre più spesso, do you know cybercrime or cyberwar? ndA)

hacaro anni ‘9X: Immagine stereotipata classica di un hacker con potentissimo portatile dell’epoca con vista su LPT e PCMICIA (Spero solo che quello che si vede a SX non sia un connettore AT per tastiera da 5 pin).

Al di là dei pessimi giornalisti, e del loro sensazionalismo a cui siamo oramai assuefatti nostro malgrado, le domande che, ipotizzo, l’ItalianoMedio(tm), un UberLoser qualsiasi o semplicemente io mi pongo tipicamente sono:

UL — Perché? Perché fanno queste cose? Non potrebbero andare a lavorare?
IO — Perché sono costretto a sentire camionate di fuffa?
IM — Quando comincia l’isola dei famosi/xfactor/”echo $QUIZACASO”
IO — Tu, giornalaio, vuoi che la gente si faccia un’opinione negativa sul tema?
IM — zZzZzZzZz (Idle cerebrale)
UL — Questa criminalità è dilagante (addendum per UL disfattista “stiamo andando allo sfascio”)
IM — “Internet è il maleeee” (brandendo un simbolo religioso a caso)

Fine dello sclero, ma:

se le loro azioni fossero giuste (hacktivismo)?
e se invece fossero sbagliate (terrorismo o spionaggio)?
bonus: e se Darwin avesse torto? NdA

Alla fine della giostra delle domande retoriche, queste azioni sono accettabili ed etiche?

(non deludermi lettore, confido molto in te dimmi che almeno una di queste ti è mai balenata in testa e per la cronaca spero non siano né quelle dell’UL né quelle dell’IM — ndA)

Al 99,99% (tu sei lo 0,01) della popolazione non frega niente ed abbandonerà la lettura già ora, semmai fossi arrivato qui per errore, quindi ciao, a presto, viceversa buona lettura a chi prosegue (molte grazie).

Dicevamo, a ecco, il pensiero comune che scaturisce dalle modalità con cui i fatti vengono riportati dai media converge inevitabilmente sull'inaccettabilità del gesto in sé, ma cosa dire di noi professionisti, consulenti e operatori dell’IT/ICT Security?

Qualcuno liquida la cosa con un: “Ma sono ragazzate”, altri con un più solidale “ecco bravi smontate quelle pattumiere di server/siti/sistemi così almeno li patchano”, altri ancora magari si soffermano sulle conseguenze di certi gesti con un terrorizzante “cavolo potevano essere i miei server”

NB: il possessivo è d’obbligo perché, anche se sono dell’azienda e anche se non lesina strali di odio, il SysAdmin tipo li considera estensione del suo nucleo famigliare o più semplicemente “prole”.

Io vorrei invitarvi a riflettere su di una cosa: in che modo agisce sul nostro lavoro tutta questa mala pubblicità (per non dire camionata di letame)?

Come vengono percepire le nostre azioni quando, in difesa delle reti dei nostri clienti e/o in difesa delle nostre reti e infrastrutture, ci prodighiamo in azioni che possano essere considerate simili a quelle dei sopra menzionati “hacker”? Dove sta la differenza?

Durante il processo di certificazione CISSP uno dei requisiti principali per l’adesione all’(ISC)2 e per la certificazione stessa è la sottoscrizione e la conoscenza del codice etico i cui canoni recitano così:

Proteggi la società, il bene comune e le infrastrutture.
Agisci in modo onorabile, onesto, giusto, responsabile e seguendo le leggi
Fornisci i tuoi servizi verso i clienti in modo diligente e con competenza
Promuovi e proteggi la professione

NB: Faccio notare che l’ordine numerale dei canoni è significativo nel processo di “risoluzione” di una questione etica.

Quelle elencate dall’(ISC)2 sono linee guida ad uso “professionale”, in tutto il codice etico viene implicitamente riconosciuto che il professionista è “chiamato a compiere delle scelte etiche spesso difficoltose, non tanto per discriminare il bene dal male, quanto per distinguere il maggior bene ed il minore dei mali.” Inoltre tali regole devono essere utilizzare come ausilio “nel compiere tali scelte; non devono invece essere utilizzate per commentare tali difficili scelte” quindi non possono essere utilizzare per giudicare ma questo è un altro film.

Tuttavia anche applicare questo semplice approccio su 4 punti non risulta facile visto che già nel primo canone si parla di “bene comune” ma cosa vuol dire? A quale accezione si fa riferimento? Una breve disamina per sviscerare alcuni punti a riguardo.

L’etica utilitaristica

Jeremy Bentham

Stuart Mill

Jeremy Bentham e John Stuart Mill “creano” l’Utilitarismo nel 19° secolo. La premessa fondamentale di tale dottrina consiste nell’idea che le azioni che forniscono la maggior “quantità di bene” sul male sono scelte etiche o morali. Ad esempio, se dici una bugia per proteggere la vita di qualcuno, possiamo considerare tale decisione una buona scelta etica nell’ambito del sistema dell’Utilitarismo, il danno minore è fatto dunque dalla menzogna piuttosto che dalla verità.

Attenzione! Se riflettiamo bene sul processo decisionale, questo sistema di etica conduce molto velocemente lungo la strada de “Il fine giustifica i mezzi”. C’è sempre un bene “superiore” cui si possa far riferimento (chi ha detto religione? Per altro terribilmente attuale oggigiorno).

Un successivo punto di vista dell’etica Utilitaristica, o una sua evoluzione se vogliamo, imporrebbe di prendere la propria scelta non soltanto in merito a quello che è il bene più grande per il singolo ma pensando al bene più grande in assoluto per tutta la società (non soltanto per quella in cui l’individuo vive, capito USA?. Tornando al nostro esempio della menzogna per salvare una vita, potremmo osservare che, in questa interpretazione alternativa, mentire potrebbe non essere la cosa migliore in assoluto, se perpetrando tale atto si difendesse un assassino condannabile ad esempio (poi c’è carcere e carcere per cui la cosa potrebbe essere rivalutata ndA).

L’approccio sui diritti

la fronte di Kant

Tale approccio si basa sul principio che gli individui hanno il diritto di fare sì le proprie scelte, ma nel rispetto di alcuni principi quali: il diritto alla verità, il diritto alla privacy, il diritto alla salute, il diritto al rispetto degli accordi. Per giudicare il bene o il male, ciò che è morale da ciò che non lo è, ci sarebbe da chiedersi come le nostre azioni influenzano i diritti di chi ci circonda.

Maggiore la riduzione dei diritti che il nostro operato provoca nei confronti delle persone che ci circondano più è immorale quell’azione. Immanuel Kant, nel 18° secolo, ha teorizzato questo approccio (basato sui diritti per l’appunto) sostenendo che le regole morali che ci diamo debbono essere necessariamente universali, ad esempio, se è immorale mentire allora non si dovrebbe mai mentire in nessuna circostanza.

Il bene comune

Platone

Aristotele

Cicerone

Veniamo dunque al “bene comune”.

Platone, Aristotele e Cicerone sono stati i precursori dell’approccio basato sul bene comune. Tale approccio propone l’idea che il bene comune è ciò che dà vantaggio alla comunità e che i singoli, come membri di un “corpo comune”, traggono beneficio da ciò che crea del bene a tutti. Questo tipo di sistema esiste e persiste nelle nazioni dove troviamo sistemi di assistenza sanitaria pubblica oppure dove esistono sane organizzazioni o programmi/norme che gestiscono “la cosa pubblica” per utilizzare un’accezione che siamo stati abituati ad utilizzare nel territorio italico. Applicando nel pratico quest’approccio, la persona si deve curare del risultato delle proprie azioni alla luce di come esse potrebbero influenzare il bene comune o la comunità stessa.

Per esempio, un furto non sarebbe mai etico, perché danneggerebbe la società o la comunità (sottraendo risorse).

Nota interessante: analizzando il furto utilizzando il metro dell’etica utilitarista e introducendo il concetto di comunità espressa in senso non assoluto, ci accorgeremmo che, in alcune situazioni, rubare sarebbe la cosa etica da fare (v. Robin Hood).

Quindi quali conclusioni?

Se non l’abbiamo ancora notato, l’analisi assoluta dell’etica non ci dà una chiara visione tra ciò che è bianco e ciò che è nero e, ancor più come consulenti o professionisti della security, non ci aiuta a distinguere in maniera netta ed inequivocabile tra questi due aspetti. E’ chiaro che la risposta alla domanda su cos’è giusto e cos’è sbagliato dipende fortemente dal sistema etico che scegliamo d’adottare. Addirittura, pur rimanendo all’interno di uno stesso sistema di regole etiche, la risposta potrebbe cambiare a seconda della situazione. Ne consegue che, ciò che il singolo può considerare etico potrebbe non esserlo per un’altra persona che determina la propria risposta su una questione etica utilizzando un framework decisionale diverso dal suo. Altra conseguenza è l’importanza di utilizzare un codice etico comune al fine di guidare le nostre scelte durante l’esercizio della professione in maniera omogenea e condivisibile.

Codice Etico

Personalmente penso che l’Etica, con la ‘e’ maiuscola, dovrebbe essere composta da fondamentali determinati ed immutabili, e qui il condizionale è d’obbligo, ma è altrettanto vero che l’etica è, a mio avviso, quanto di più personale ci possa essere e che per vivere in armonia anche con altri individui tali fondamentali devono essere condivisi.

Attenzione! Anche i criminali hanno un’etica.

La “A Guide to Forensic Testimony”, in un ambito non propriamente IT, recita quanto segue:

La tecnologia è importante per la società moderna.
I tecnologi devono fare attenzione a non mettere in pericolo la vita, la salute, la sicurezza e il benessere della popolazione.
I tecnologi dovrebbero dimostrare competenza e diligenza nei loro compiti.
I tecnologi devono mantenere e aggiornare le loro competenze tecniche.
I tecnologi devono evitare conflitti di interesse.
I tecnologi dovrebbero essere onesti e sinceri nei loro rapporti con gli altri.
I tecnologi dovrebbero essere onesti circa i loro limiti, riconoscere gli errori e correggerli.
I tecnologi dovrebbero astenersi da discriminazioni contro gli individui in base a razza, religione, età, sesso, orientamento sessuale o nazionalità.
I tecnologi dovrebbero dare il giusto credito agli altri per il loro lavoro e rispettare i diritti di proprietà, compresi i diritti d’autore e la proprietà intellettuale.
I tecnologi dovrebbero aiutare il pubblico a capire la tecnologia e sostenere lo sviluppo professionale dei propri pari.

I “dieci comandamenti dell’informatica etica” redatti dal “Washington Consulting Group” e dal “Computer Ethics Institute”, in un ambito propriamente IT, recitano:

Non utilizzare un computer per danneggiare altre persone.
Non interferire con il lavoro al computer degli altri.
Non curiosare nei file degli altri.
Non utilizzare un computer per rubare.
Non utilizzare un computer per ingannare.
Non utilizzare o copiare software che non hai pagato.
Non utilizzare le risorse dei computer di altri senza autorizzazione.
Non appropriarti della produzione intellettuale degli altri.
Pensa alle conseguenze sociali dei programmi che scrivi.
Usa il computer in modo da mostrare considerazione e rispetto.

Effettuare un mix di questi due insiemi di consigli e di divieti permetterebbero, oltre che di scardinare il numerale 10 per questo genere di cose, di avete un elenco di regole utili per dirimere una questione etica.

Ma cosa succede in un contesto reale? Ci penso su e, nel caso, vi faccio sapere.
(Se non mi stufo prima questa potremmo considerarla come la prima parte)

Digital footprint - La nostra ombra digitale

2014-04-22T22:54:00.001+02:00

Un venerdì qualunque, oppure una domenica. Cosa cambia? Di fatto un giorno come tanti altri nelle nostre vite. La necessità di viaggiare per lavoro, la comodità di prenotare il viaggio in ogni sua parte, sprofondati nell'ozio del proprio divano casalingo.

La destinazione la conosciamo già ma, al netto delle nostre competenze in geografia, una sbirciatina a Google Maps la diamo sempre prima di partire, anche solo per avere un'idea di quale possa essere il mezzo migliore per raggiungere la nostra meta.

Accendiamo il nostro portatile (o afferriamo lo smart-coso di turno), accediamo a Google Maps e il browser ci suggerisce di consentirgli l'accesso alla nostra posizione.

Ma come sul portatile c'è il GPS? No, o almeno non nel senso stretto del termine.

Il wifi non serve solo per la connettività, la buona Google Car, oltre alle foto delle nostre strade, con Street View, ha anche preso nota degli SSID delle wifi che incontrava sul suo cammino così che, oggi, WiFi possa fare rima con coordinate geospaziali. Clicchiamo su "Consenti" (se siamo da mobile device l'accettazione è tacita) e la posizione punta con estrema precisione sopra la nostra testa: "Figata!" Direbbe qualcuno. Click! Fatto!

Scegliamo mentalmente il mezzo migliore e ci dirigiamo sul sito per effettuare la prenotazione, "Com'è che era l'indirizzo? Vabè ricordo solo il nome: Uso quello". Dal motore di ricerca alla prenotazione è questione di un click, “tanto è il primo della lista”. Click! Fatto!

Se siamo dei viaggiatori seriali sicuramente non ci saremmo fatti scappare "l'opportunità irripetibile" di diventare socio e di accumulare tanti punti quanti sono i kilometri o gli euro spesi.

In tre/quattro click (forse qualcuno di più) acquistiamo il nostro titolo di viaggio. E' facile cercare il viaggio giusto quando l'operatore ci suggerisce tratta, percorso e orario. "Bello questo sito. Non mi devo sbattere nemmeno per comprare un biglietto!" Click! Fatto!

Pagarlo diventa un altro film.

"La carta di credito dove l'ho lasciata? Cavolo! In macchina? O nell'altra stanza? Forse è al piano di sotto vabè" non ci sbattiamo troppo, infondo c'è PayPal tra gli strumenti di pagamento. Username, password e la nostra carta è lì pronta e preautorizzata per l'uso. Click! Fatto!

Arriva la notifica di avvenuto pagamento e di lì a poco il biglietto elettronico non si fa attendere. Allegato al biglietto arriva un evento del calendario che accetto volentieri, "Così ho a disposizione il biglietto quando passeranno a verificarlo". Click! Fatto!

Finalmente si parte, e "Toh! Guarda! Lo smart-coso mi ricorda di partire ora se voglio arrivare in tempo". In effetti apriamo la notifica e ci accorgiamo che, a causa di un incidente, c'è un traffico terribile "Per fortuna mi ha avvertito. Sarei sicuramente arrivato in ritardo."

Arriviamo in stazione (abbiamo comprato un biglietto del treno in questo viaggio) e il tabellone non funziona (o lo hanno rubato visto che manca, chi lo sa?) “Hop Hop gadget-coso" - *poff* - Schiacciamo l’app, pigiamo dentro il numero del treno e, guarda caso, è in ritardo. “Pazienza leggerò qualcosa nel mentre” Tap! Fatto!

Il nostro account da social-addicted è lì che ci aspetta (Twitter, Facebook e Google Plus o permutazioni senza ripetizioni di questi, il succo non cambia). Leggiamo interessati i fatti di Tizio e di Caio e magari condividiamo il nostro dissenso per il ritardo del treno: “solito ritardo alla partenza: comincia bene la giornata!”. Il piccolo compasso (bussola) nella casella di test ci ricorda che stiamo inviando insieme al nostro stato emotivo, anche le coordinate geografiche in cui ci troviamo.
Stazione = cattivi pensieri. Tap! Fatto!

Mentre passeggiamo come rabdomanti su e giù per la banchina, intorno a noi insegne dallo sfondo tipicamente giallo ci ricordano che siamo ripresi “per motivi di sicurezza”. Ci guardiamo intorno alla ricerca del fantomatico terrorista che di lì a poco potrebbe farsi saltare in aria ma, tra signore pacioccose e viandanti puzzolenti, non individuiamo nessun terrorista dinamitardo. “Chissà se quelle informazioni vengono utilizzate anche per altro…”.

Il viaggio comincia e, a intervalli regolari, il nostro smart-coso comunica la nostra posizione al fornitore di servizio gratuito (Apple, Google o Microsoft che sia). Ricordiamoci che il prodotto siamo noi e, come ogni buon prodotto, portiamo con noi la tracciatura di provenienza, alimentazione e macellazione, come una sana bistecca di manzo.

A destinazione (Bologna, Milano, Firenze, Roma…) lo smart-coso quasi non riesce a navigare vista l’elevata percentuale di smart-cosi nelle vicinanze. Le povere antenne ripetitrici tengono il colpo giusto per le comunicazioni telefoniche mentre la banda per internet è bella che ridotta all’osso. (Tranquilli! Lo smart-coso continuerà a registrare tutto mandando il pacchetto dati a destinazione non appena le condizioni gli saranno favorevoli). BIP! Fatto!

Usciamo dal vermone di metallo come fossimo schegge impazzite, ognuno proteso e spedito verso la propria destinazione. Attraversiamo inconsapevoli decine e decine di ripetitori WiFi che mollano la presa non appena il segnale è troppo basso: una massa di persone che si sposta verso il mezzo di trasporto desiderato. ALT!

WiFi = Posizione; Stazione = Videocamere; Massa di persone = tanti smart-cosi

Immaginiamo di vedere dall’alto la stazione, in pianta, come in un film di fantascienza. La massa di persone identificata da una miriade di puntini in movimento, noi.

Scegliere una strada piuttosto che un’altra sarà anche qualcosa di inconscio, ma se queste informazioni fossero utilizzate per piazzare baracchini pubblicitari o mettere cartelloni? E se la logistica degli spazi fosse organizzata per “pilotare involontariamente” la massa di persone che escono dal treno? Potrebbero agevolare la fuoriuscita dallo stabile magari invogliando il passaggio davanti ai negozi o piazzando un bel mega-cartellone proprio lì dove si forma il collo di bottiglia in modo tale da aumentare le probabilità che il nostro sguardo incroci il mega-faccione o l’improbabile slogan. “Ma no! Mica ci tratteranno come cavie da laboratorio…”. Tuttavia non ci giurerei fossi in voi.

Lo stomaco suona l’ora del pasto. Cavolo non abbiamo fatto la sosta al bancomat, ma che importa, "siamo immersi nella modernità. Con una bella E o una I davanti (dipende da quanto siamo fanboy) anche la moneta si fa elettronica".

Caffè + cappuccino, panino, piada, burger-menù o quel che vi pare, non c’è niente che non si possa comprare con la nostra carta di credito/bancomat/wallet digitale. Il commerciante di turno ringhierà un po’ vedendosi parare davanti un pezzo di plastica al posto del contante per pagare 3,50 di “Menù mattina”.

Così va la vita. Una commissione a te, le informazioni delle mie transazioni elettroniche alla banca/circuito/processor. Luogo, data, ora e importi sono un piccolo prezzo da pagare per avere in cambio la comodità del credito dove e quando serve. Zap! Fatto!

Si parte per la giornata lavorativa che, se va male, trascorrerà in maniera sedentaria davanti ad una scrivania, se va bene, ci vedrà impegnati come una pallina da flipper in giro per la città: trasporti, biglietti, info-mobilità.

Paline che ci informano sullo stato dei ritardi, applicazioni mobili che ci aiutano a trovare il percorso più veloce per arrivare a destinazione, ausili indispensabili per la vita in una moderna città.

I denominatori comuni sono efficienza e velocità, la tecnologia è indispensabile per non morire soffocati dalle informazioni, lo smart-coso è il nostro timoniere, noi siamo solo la forza motrice. Caos? Schivato!

La sirena suona, si torna a “casa”.

Mezzi e contro-trasporti ci permettono di arrivare a casa ma, prima, una tappa al “super-mega-store-della-distribuzione alimentare: piccola, vicina, conveniente e sottocasa”.

Se sei un cliente abituale puoi prendere un pad-coso (antesignano dello smart-coso) per velocizzare la tua spesa. E’ tardi e l’unica cosa che vuoi, ora, è spalmarti sul divano o sul letto.

Passeggiatina per i corridoi del mega-super-iper-lungo-store alimentare con il pad-coso, verificando prezzi e mettendo nel carrello quello che ci serve. Arriviamo alla cassa prioritaria per pad-cosi, consegniamo il dispositivo con la lista della spesa e con l’elenco anche di tutto quello di cui abbiamo verificato il prezzo per curiosità ma che alla fine non abbiamo comprato: “Ha la carta fedeltà?” “Ehm, no mi spiace”, “Fanno settordici euro”. Carta di credito, PIN o Firma, imbusti e te ne vai.

Avessimo avuto la “carta fedeltà” ora quei prodotti avrebbero anche un nome e un cognome, ma si sono accontentati di sapere esattamente che percorso abbiamo fatto per raccattare la cena dagli scaffali. Come? Prodotto dopo prodotto poi, come con la settimana enigmistica, unisci i puntini.“Può ritirare la carta”. Grazie!

La giornata volge inesorabilmente al termine. Dopo la cena ognuno si diletta come può o come più gli aggrada guardando un film, oppure interagendo sui socia-portaloni o ancora leggendo un libro che, oltre ad essere sicuramente una buona abitudine, di certo non trasmetterà a nessuno il numero di pagine lette per giorno insieme all’ultimo segnalibro che abbiamo messo per tenere il segno, a patto che sia una fantastico libro di carta.

Notte.

Piccolo quiz per quelli che sono arrivati fin qui

Vi faccio una domanda. Anzi, più d’una:

Quanti e quali dati inviamo ogni giorno in giro per la rete?

Quante fonti dati siete riusciti a individuare in questo articolo?

Quante fonti non ho inserito, volutamente o no, in questo breve fanta (mica tanto)racconto?

Buona riflessione.

Salvaguardare la propria privacy su Facebook

2014-04-04T14:43:00.001+02:00

Facebook è di sicuro il social network più diffuso in Italia (sono in molti a dirlo) e quasi tutti noi lo percepiamo viste le conversazioni quotidiane che possiamo avere con i nostri "vicini di casa": "Hai visto tizio, si è lasciato con la ragazza", "Sentito che Sempronia vuole cambiare lavoro? Si lamenta sempre ultimamente"... (se non vi ritrovate in questa descrizione sarete presto minoranza).

Popolarità fa rima con diffusione e più tempo trascorriamo su questo social network (mediamente 8 ore al mese vale la pena ricordarlo) più informazioni lui fagocita, vista anche l'avidità con cui lo imbocchiamo di informazioni.

Siamo in vetrina come i manichini dei saldi col cartellino attaccato all'alluce, e a qualcuno piace anche.

Inconsciamente ingrossiamo la nostra "ombra digitale" convinti che le 2574 foto in cui siamo stati taggati non "facciano poi così male" ignari del fatto che molti dei selezionatori di risorse aziendali utilizzano i social network per scavare nella vita privata di potenziali candidati, i quali fanno spallucce pensando che le foto delle feste, dei volantini degli eventi e delle situazioni (anche imbarazzanti) tra amici possano trasmettere una immagine distorta di ciò che siamo.

Si tratta di una realtà che dobbiamo conoscere e imparare a gestire.

Di seguito elencherò qualche accorgimento utile a perimetrare la propria ombra digitale, i consigli si riferiscono a Facebook ma possono essere utilizzati tranquillamente anche per altri social (come Google+).

Disattiva l’opzione “Profilo pubblico”
Occhi indiscreti non potranno monitorare le vostre attività. Ovviamente questo è valido per tutte le persone che deciderete di tenere fuori dal vostro inner circle (amici di amici et similia).
La scelta più sicura è quella di disattivare la funzione di ricerca pubblica.

Seleziona l’opzione solo “Amici”
Fate in modo che ogni foto che inserite nel vostro profilo, ogni link che condividete e ogni vostro commento possano essere visti solo dai vostri amici e comunque limitate al minimo i contenuti visibili a tutti o quasi.

Ridurci i dettagli del profilo pubblico al minimo
Nel caso in cui volete necessariamente che le vostre informazioni del profilo siano pubbliche potete adottare alcune semplici misure per ridurre il numero di informazioni disponibili.
Assicuratevi che il luogo in cui vivete, la vostra istruzione, la vostra situazione sentimentale e la lista dei vostri amici non siano visibili tra le informazioni. Aggiungerei, non da ultimo, la vostra data di nascita.
Vi piace ricevere centinaia di auguri il giorno del vostro compleanno? Bene, sappiate che chi vi ha a cuore si ricorderà comunque di voi e vi contatterà, eliminerete in un colpo solo tutte quelle persone che senza Facebook col cavolo se lo sarebbero ricordato (io mi metto in prima fila con la bandierina in molti casi) e vi mettere al riparo dalla possibilità di ricavare il vostro codice fiscale.

Già il codice fiscale, ricordiamo per i più smemorati che è composto da 4 informazioni:

Nome Cognome
Genere (m/f)
Data di nascita
Comune di nascita (e provincia)

Tre informazioni di quattro sono facilmente reperibili online, l'ultima con un po' di fantasia (e di conoscenza del territorio) è facilmente individuabile, quindi a meno di incredibili (e scarsamente probabili) casi di sovrapposizione il vostro codice fiscale è banalmente calcolabile.

Non aggiungere persone che conosci appena o che non conosci affatto (qui si apre un mondo)
Ovvio direte voi, no? No! Potrebbe sorprendervi il quantitativo di persone che aggiunge i propri “amici” in base alla immagine del profilo o all'idea fantasiosa di poterla conoscere di persona (broccolaggio 2.0).
Questo atteggiamenti, come la pratica di accettare richieste di amicizia per non rifiutarle, sono a dir poco deleteri per la propria privacy. Accettereste qualcuno in casa solo per il fatto che ha bussato? O solo per avergli sorriso sui mezzi? Forse no, allora perché aprirgli le porte del proprio mondo "social"?

Cercate di non espandere il vostro network oltremodo, e siate selettivi perché i vostri amici su Facebook potrebbero dire di voi (anche materialmente) cose che nemmeno immaginate, come dice l'adagio? Dimmi con chi vai e ti dirò chi sei.

Fai le "Pulizie di primavera"
Cioè cancellare dagli amici le persone con le quali non avete avuto nessun contatto durante l’anno (tanto per usare una metrica). Quando non vi ricordate più di avere una persona tra gli amici, significa che è arrivata l’ora di cancellare quel contatto.
Personalmente cancello e segnalo anche quei profili che vengono utilizzati per scopi commerciali o che impersonano attività/locali o altro.

Controlla spesso le impostazioni sulla privacy del tuo profilo di Facebook
Assicuratevi di aggiornare sempre le impostazioni della privacy del vostro profilo e fate attenzione, Facebook spesso apporta delle modifiche, anche significative, e nel farlo tenta sempre di allentare i legacci che gli abbiamo stretto intorno al collo. Non a caso si fa dare una mano dal dinosauro blu.

BONUS TRACK Non divulgare la tua posizione
Verificate che le impostazioni di geolocalizzazione siano centellinate, sia sui vostri post che nelle chat. Oltre a non poter fregare di meno al lettore (magari nel mio caso eh), state sistematicamente segnalando a potenziali malintenzionati qualcosa tipo:
"Ehi tu che leggi, sappi che sono fuori casa. Passa pure quando vuoi tanto non c'è nessuno".
Sono esagerato vero? Anche no! ;-)

Della Religione e della Scienza

2012-10-03T18:30:00.001+02:00

Significato della vita.
Qual è il senso della nostra esistenza, qual è il significato dell'esistenza di tutti gli esseri viventi in generale? Il saper rispondere a una siffatta domanda significa avere sentimenti religiosi.
Voi direte: ma ha dunque un senso porre questa domanda. Io vi rispondo: chiunque crede che la sua propria vita e quella dei suoi simili sia priva di significato è non soltanto infelice, ma appena capace di vivere.

Religiosità cosmica.
La più bella sensazione è il lato misterioso della vita. È il sentimento profondo che si trova sempre nella culla dell'arte e della scienza pura. Chi non è più in grado di provare né stupore né sorpresa è per cosi dire morto; i suoi occhi sono spenti. L'impressione del misterioso, sia pure misto a timore, ha suscitato, tra l'altro, la religione. Sapere che esiste qualcosa di impenetrabile, conoscere le manifestazioni dell'intelletto più profondo e della bellezza più luminosa, che sono accessibili alla nostra ragione solo nelle forme più primitive, questa conoscenza e questo sentimento, ecco la vera devozione: in questo senso, e soltanto in questo senso, io sono fra gli uomini più profondamente religiosi. Non posso immaginarmi un Dio che ricompensa e che punisce l'oggetto della sua creazione, un Dio che soprattutto esercita la sua volontà nello stesso modo con cui l'esercitiamo su noi stessi. Non voglio e non posso figurarmi un individuo che sopravviva alla sua morte corporale: quante anime deboli, per paura e per egoismo ridicolo, si nutrono di simili idee!
Mi basta sentire il mistero dell'eternità della vita, avere la coscienza e l'intuizione di ciò che è, lottare attivamente per afferrare una particella, anche piccolissima, dell'intelligenza che si manifesta nella natura. Difficilmente troverete uno spirito profondo nell'indagine scientifica senza una sua caratteristica religiosità.
Ma questa religiosità si distingue da quella dell'uomo semplice: per quest'ultimo Dio è un essere da cui spera protezione e di cui teme il castigo, un essere col quale corrono, in una certa misura, relazioni personali per quanto rispettose esse siano: è un sentimento elevato della stessa natura dei rapporti fra figlio e padre.

Le basi umane della morale.
Al contrario, il sapiente è compenetrato dal senso della causalità per tutto ciò che avviene.
Per lui l'avvenire non comporta una minore decisione e un minore impegno del passato; la morale non ha nulla di divino, è una questione puramente umana. La sua religiosità consiste nell'ammirazione estasiata delle leggi della natura; gli si rivela una mente cosi superiore che tutta l'intelligenza messa dagli uomini nei loro pensieri non è al cospetto di essa che un riflesso assolutamente nullo. Questo sentimento è il leit-motiv della vita e degli sforzi dello scienziato nella misura in cui può affrancarsi dalla tirannia dei suoi egoistici desideri. Indubbiamente questo sentimento è parente assai prossimo di quello che hanno provato le menti creatrici religiose di tutti i tempi.

Tutto ciò che è fatto e immaginato dagli uomini serve a soddisfare i loro bisogni e a placare i loro dolori. Bisogna sempre tener presente allo spirito questa verità se si vogliono comprendere i movimenti intellettuali e il loro sviluppo perché i sentimenti e le aspirazioni sono i motori di ogni sforzo e di ogni creazione umana, per quanto sublime possa apparire questa creazione. Quali sono dunque i bisogni e i sentimenti che hanno portato l'uomo all'idea e alla fede, nel significato più esteso di queste parole? Se riflettiamo a questa domanda vediamo subito che all'origine del pensiero e della vita religiosa si trovano i sentimenti più diversi. Nell'uomo primitivo è in primo luogo la paura che suscita l'idea religiosa; paura della fame, delle bestie feroci, delle malattie, della morte. Siccome, in questo stato inferiore, le idee sulle relazioni causali sono di regola assai limitate, lo spirito umano immagina esseri più o meno analoghi a noi dalla cui volontà e dalla cui azione dipendono gli eventi avversi e temibili e crede di poter disporre favorevolmente di questi esseri con
azioni e offerte, le quali, secondo la fede tramandata di tempo in tempo, devono placarli e renderli benigni. E in questo senso io chiamo questa religione la religione del terrore; la quale, se non creata, è stata almeno rafforzata e resa stabile dal formarsi di una casta sacerdotale particolare che si dice intermediaria fra questi esseri temuti e il popolo e fonda su questo privilegio la sua posizione dominante. Spesso il re o il capo dello stato, che trae la sua autorità da altri fattori, o anche da una classe privilegiata, unisce alla sua sovranità le funzioni sacerdotali per dare maggior fermezza al regime esistente; oppure si determina una comunanza d'interessi fra la casta che detiene il potere politico e la casta sacerdotale.

C'è un'altra origine dell'organizzazione religiosa: i sentimenti sociali. Il padre e la madre capi delle grandi comunità umane, sono mortali e fallibili. L'aspirazione ardente all'amore, al sostegno, alla guida, genera l'idea divina sociale e morale. E il Dio-Provvidenza che protegge, fa agire, ricompensa e punisce. E quel Dio che, secondo l'orizzonte dell'uomo, ama e incoraggia la vita della tribù, l'umanità e la vita stessa; quel Dio consolatore nelle sciagure e nelle speranze deluse, protettore delle anime dei trapassati. Tale è l'idea di Dio considerata sotto l'aspetto morale e sociale. Nelle Sacre Scritture del popolo ebreo si può seguire bene l'evoluzione della religione del terrore in religione morale che poi continua nel Nuovo Testamento. Le religioni di tutti i popoli civili, e in particolare anche dei popoli orientali, sono essenzialmente religioni morali. Il passaggio dalla religione-terrore alla religione morale costituisce un progresso importante nella vita dei popoli. Bisogna guardarsi dal pregiudizio che consiste nel credere che le religioni delle razze primitive sono unicamente religioni-terrore e quelle dei popoli civili unicamente religioni morali.

Ogni religione è in fondo un miscuglio dell'una e dell'altra con una percentuale maggiore tuttavia di religione morale nei gradi più elevati della vita sociale.

Iddii di forma umana.

Tutte queste religioni hanno comunque un punto comune, ed è il carattere antropomorfo dell'idea di Dio: oltre questo livello non si trovano che individualità particolarmente nobili. Ma in ogni caso vi è ancora un terzo grado della vita religiosa, sebbene assai raro nella sua espressione pura ed è quello della religiosità cosmica. Essa non può essere pienamente compresa da chi non la sente poiché non vi corrisponde nessuna idea di un Dio antropomorfo.

L'individuo è cosciente della vanità delle aspirazioni e degli obiettivi umani e, per contro, riconosce l'impronta sublime e l'ordine ammirabile che si manifestano tanto nella natura quanto nel mondo del pensiero. L'esistenza individuale gli dà l'impressione di una prigione e vuol vivere nella piena conoscenza di tutto ciò che è, nella sua unità universale e nel suo senso profondo. Già nei primi gradi dell'evoluzione della religione (per esempio in parecchi salmi di David e in qualche Profeta), si trovano i primi indizi della religione cosmica; ma gli elementi di questa religione sono più forti nel buddismo, come abbiamo imparato in particolare dagli scritti ammirabili di Schopenhauer.

La religiosità cosmica non conosce dogmi.

I geni religiosi di tutti i tempi risentono di questa religiosità cosmica che non conosce né dogmi né Dei concepiti secondo l'immagine dell'uomo. Non vi è perciò alcuna Chiesa che basi il suo insegnamento fondamentale sulla religione cosmica. Accade di conseguenza che è precisamente fra gli eretici di tutti i tempi che troviamo uomini penetrati di questa religiosità superiore e che furono considerati dai loro contemporanei più spesso come atei, ma sovente anche come santi.

Sotto questo aspetto uomini come Democrito, Francesco d'Assisi e Spinoza possono stare l'uno vicino all'altro. Come può la religiosità cosmica comunicarsi da uomo a uomo, se non conduce ad alcuna idea formale di Dio né ad alcuna teoria? Mi pare che sia precisamente la funzione capitale dell'arte e della scienza di risvegliare e mantenere vivo questo sentimento fra coloro che hanno la facoltà di raccoglierlo.

Antagonismo tra religione del terrore e scienza.

Giungiamo cosi a una concezione dei rapporti fra scienza e religione assai differente dalla concezione abituale. Secondo considerazioni storiche, si è propensi a ritenere scienza e religione antagonisti inconciliabili, e questo si comprende facilmente. L'uomo che crede nelle leggi causali, arbitro di tutti gli avvenimenti, se prende sul serio l'ipotesi della causalità, non può concepire l'idea di un Essere che interviene nelle vicende umane, e perciò la religione-terrore, come la religione sociale o morale, non ha presso di lui alcun credito; un Dio che ricompensa e che punisce è per lui inconcepibile perché l'uomo agisce secondo leggi esteriori ineluttabili e per conseguenza non potrebbe essere responsabile verso Dio, allo stesso modo che un oggetto inanimato non è responsabile dei suoi movimenti. A torto si è rimproverato alla scienza di insidiare la morale. La condotta etica dell'uomo deve basarsi effettivamente sulla compassione, la educazione e i legami sociali, senza ricorrere ad alcun principio religioso. Gli uomini sarebbero da compiangere se dovessero essere frenati dal timore di un castigo o dalla speranza di una ricompensa dopo la morte.

Si capisce quindi perché la Chiesa abbia in ogni tempo combattuto la scienza e perseguitato i suoi adepti.

Mirabile accordo tra religione cosmica e scienza.

D'altra parte io sostengo che la religione cosmica è l'impulso più potente e più nobile alla ricerca scientifica. Solo colui che può valutare gli sforzi e soprattutto i sacrifici immani per arrivare a quelle scoperte scientifiche che schiudono nuove vie, è in grado di rendersi conto della forza del sentimento che solo può suscitare un'opera tale, libera da ogni vincolo con la via pratica immediata.

Quale gioia profonda a cospetto dell'edificio del mondo e quale ardente desiderio di conoscere - sia pure limitato a qualche debole raggio dello splendore rivelato dall'ordine mirabile dell'universo - dovevano possedere Kepler e Newton per aver potuto, in un solitario lavoro di lunghi anni svelare il meccanismo celeste! Colui che non conosce la ricerca scientifica che attraverso i suoi effetti pratici, non può assolutamente formarsi un'opinione adeguata sullo stato d'animo di questi uomini i quali, circondati da contemporanei scettici, aprirono la via a quanti compresi delle loro idee, si sparsero poi di secolo in secolo attraverso tutti i paesi del mondo. Soltanto colui che ha consacrato la propria vita a propositi analoghi può formarsi una immagine viva di ciò che ha animato questi uomini e di ciò che ha dato loro la forza di restare fedeli al loro obiettivo nonostante gli insuccessi innumerevoli. È la religiosità cosmica che prodiga simili forze. Non è senza ragione che un autore contemporaneo ha detto che nella nostra epoca, votata in generale al materialismo, gli scienziati sono i soli uomini profondamente religiosi.

Come io vedo il mondo (The world as I see it, 1956; ed. italiana Newton Compton, Roma 1975). - Albert Einstein

PS: Enfasi del sottoscritto.

Tatanga aggira il chipTAN - Frodi bancarie in vista

2012-09-19T07:37:00.003+02:00

La Trusteer ha pubblicato un articolo sul funzionamento di Tatanga (trojan) che dimostra come questa minaccia sia in grado di aggirare i token chipTan per frodare i conti online dei malcapitati, ad oggi quasi tutti Tedeschi.

Tatanga controlla i dettagli utente, il numero del conto, la valuta corrente e i limiti di trasferimento, scegliendo con cura quale vittima di fatto garantisca il più alto trasferimento di denaro.

Dopo di che inizia ad operare.

Tecnicamente viene utilizzata un Web Inject per frodare l'utente facendo credere che la banca stia richiedendo un test chipTAN. Acquisite tutte le tuple necessarie si effettua il trasferimento.

Niente di trascendentale , da un punto di vista tecnico è MITM con una spolveratina del sempre più comune Man In The Browser, mi tornano però alla mente due parole "Human Firewall".

Hack WhatsApp - Un'applicazione vulnerabile by design

2012-09-18T07:30:00.001+02:00

Premetto, amo WhatsApp, adoro il fatto che permetta di trasferire messaggi e brevi informazioni ad un costo equo (cioè quasi gratuitamente) rompendo le logiche delle telco che lucrano paurosamente su SMS ed affini (lucravano spero).

Va ricordato, per la cronaca, che WhatsApp è un giocattolo capace di muovere 1 miliardo di messaggi al giorno, ma proprio per questa popolarità è giusto che, in quanto utenti, impariamo a porci alcune domande in merito alla sua affidabilità (questo vale anche per molte altre app a dire il vero).

La prima, da buon paranoico è: Ma quant'è sicuro? Quanto è preservata la riservatezza dei messaggi che girano su quest'app? Poco veramente poco.

Distinguiamo ora due scenari di utilizzo: 1) Rete cellulare 2) Rete wifi

Rete cellulare

E' sicuramente l'approccio più comune per coloro che sono in mobilità. Avrete già intuito che WhatsApp non sia sicura come applicazione. Partendo da quest'assunto (che andremo a sviscerare) possiamo affermare che la sicurezza della trasmissione dati viene demandata interamente alla sicurezza del protocollo di comunicazione utilizzato (gsm, edge, umts, hsdpa).

Intrinsecamente la sicurezza in questa modalità potrebbe essere molto alta, se non fosse che anche il GSM è un protocollo vulnerabile. Qualcuno potrebbe obiettare che la complessità per crackare uno di questi protocolli è alta, a costoro ricordo che un cellulare da 15$ fa miracoli e, per i più smaliziati, lascio anche un paper della Black Hat DC 2011 sul tema.

Rete senza fili

Qui inizia il bello.

Durante questo afoso Agosto 2012, qualcuno ha avuto la bella idea di riscaldare gli animi dello store Android pubblicando un'app in grado di sniffare tutti i messaggi in ingresso ed in uscita dall'applicazione in oggetto. Facile intuire il panico che n'è derivato.
La compagnia s'è affrettata a sistemare con una toppa dichiarando che tutto era stato sistemato... Incredible bullshit! L'applicazione è perfettamente vulnerabile.

Messaggi e nr. di cellulare in chiaro (plain text)

Veniamo all'autenticazione.
Un autentico incubo,

su Android la password è l'MD5 dell'IMEI del dispositivo:
// example IMEI

$imei = "112222223333334";

// reverse IMEI and calculate md5 hash

$androidWhatsAppPassword = md5(strrev($imei));

su iOS la password è funzione del MAC Address della WLAN:

// example WLAN MAC address

$wlanMAC = "AA:BB:CC:DD:EE:FF";

// calculate md5 hash using the MAC address twice

$iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC);

E lo username? E' il vostro numero di cellulare che un attaccante potrebbe già avere o recuperare facilmente (vedi immagine di cui sopra).

Per ottenere l'IMEI si deve avere accesso fisico al device o, meglio ancora, pilotare un'app già presente sul dispositivo, per il mac address basta uno sniffer wifi.

Congratulazioni l'account è servito.

Ecco, ma ora che ci faccio?

Giusta osservazione, ma c'è una risposta anche per questo.

Qualcuno s'è divertito a fare il reverse engineering del protocollo di comunicazione di whatsapp (disponibile a questo indirizzo) ergo, con un paio di chiamate possiamo anche fare un test di quanto abbiamo ottenuto fino a questo punto

https://r.whatsapp.net/v1/exist.php?cc=$countrycode&in=$phonenumber&udid=$password
$countrycode = the country calling code
$phonenumber = the users phone number (without the country calling code)
$password = see above, for iPhone use md5($wlanMAC.$wlanMAC), for Android use md5(strrev($imei))
// Note that the WhatsAPP UDID has nothing to with the Apple UDID - it is something completely different.

Privacy? Quale privacy?

E' addirittura possibile controllare in maniera batch chi ha un account Whatsapp attivo oppure no, ripercorrendo il check iniziale che l'applicazione fa quando si installa la prima volta cioè, interrogare tutta la rubrica indirizzi nel seguente modo:

https://sro.whatsapp.net/client/iphone/iq.php?cd=1&cc=$countrycode&me=$yournumber&u[]=$friend1&u[]=$friend2&u[]=$friend3&u[]=$friend4
$countrycode = the country calling code
$yournumber = while this SHOULD be your number, it is not required, the API will accept any number
$friendX = phone number (without the country calling code) from the address book that will be checked, u[] is an array so it is possible to check multiple numbers with one request.

Il servizio risponderà con un semplice file XML con i seguenti elementi:

Key P è il numero di telefono del contatto,
Key T è l'uptime (forse),
Key S è lo status.
Key JID è lo JabberID

Anche recuperare il database cifrato per scopi malevoli non è poi così difficile.

Per concludere. Io le mie precauzioni le prenderò e voi?

Un'ultima cosa... LA SICUREZZA TRAMITE SEGRETEZZA NON FUNZIONA!

Matrici RACI - Matrice di responsabilità

2012-09-14T09:52:00.001+02:00

Ne avete mai sentito parlare? Sapete cosa sono?
Semplice, sono uno strumento per organizzare il proprio lavoro (che siate manager o operativi non importa).

Spesso, soprattutto nelle piccole realtà, si ha il problema di organizzare e stabilire i ruoli operativi all'interno di una funzione aziendale (spesso la funzione aziendale copre tutta l'organizzazione).
Nelle medie realtà, forse, qualche impiegato ha sentito parlare di ISO 9001. Sfogliando le carte della certificazione si possono trovare questo genere di matrici, troppo spesso relegate a "must have" per i soli scopo della certificazione.

Lascio qui, per mia memoria, due appunti in merito alle matrici RACI che spero possano servire anche a qualcuno di voi.

Esempio di matrice RACI persa dal framework COBIT (PO9)

Lo scopo di una matrice RACI è quello di individuare, soprattutto quando si lavora in team, chi è, o chi sono i referenti di un'attività.

RACI sta per:

Responsible: è il responsabile della realizzazione, cioè colui che esegue un'attività attraverso una responsabilità di tipo operativo. Le R possono essere multiple.
Accountable: è colui che ha l'ultima parola, definito come l'accentratore unico delle responsabilità finali di una certa attività. Ha capacità di veto. Esiste un solo A per attività.
Consulted: è colui che viene consultato prima di eseguire un'attività o che viene contattato prima di prendere decisioni esecutive. Le C possono essere multiple.
Informed: è colui che viene informato, di solito dopo che la decisione è stata presa o che l'azione è stata intrapresa. Le I possono essere multiple.

Manca ancora qualcosa per definire un processo, si dovrebbero inserire le relazioni tra le attività (righe) e gli attori (colonne), ma è già un ottimo passo per cominciare.

Per approfondire, qualche slide.

Donne e stereotipi

2012-09-14T09:10:00.001+02:00

Milano - ore 21.30:
Audi SW col muso sul marciapiedi che fa manovra. Cautelativamente mi fermo.
La macchina retrocede invadendo in piena curva cieca entrambe le corsie. Capisco che sta parcheggiando.
Esito ma faccio un passo.
La macchina si allinea alla corsia e si accosta.
Una donna con la voce della Littizzetto mi strilla: "Scusa! Ehi scusa! Ma secondo te la mia macchina ci sta?". Guardo i 7 metri di parcheggio desertico... "Vai tranquilla ci stai alla grande" ... Ride "eh infatti ci devo stare per forza"... mi allontano col rumore di una coppa dell'olio che si infrange sullo spigolo vivo del marciapiedi che resta, bontà sua, inamovibile.

Non è la foto dell'accaduto ma gli somiglia molto

Dunque vorresti diventare un security expert

2012-09-10T10:17:00.001+02:00

Per prima cosa, c'è da capire che ci sono molte specializzazione nella computer security. Puoi essere un esperto nell'hardening dei sistemi, o nel creare software non violabili. Puoi essere un esperto nel trovare problemi di sicurezza nei software, o nelle reti. Puoi essere un esperto di virus, o nel redigere policy, o nella crittografia. Ci sono molte, molte opportunità per molte competenze diverse. Non devi essere uno sviluppatore per essere un esperto di sicurezza.

In generale, possiamo elencare tre azioni fondamentali da compiere per coloro che vogliono muovere i propri passi nella mondo della sicurezza:

Studia. Lo studio può assumere molte forme. Può fare esercitazioni, seguire corsi universitari, oppure puoi partecipare a "delle" training conference come SANS o Offensive Security. (Ci sono anche degli ottimi starter kit). Può cimentarti in letture a tema, ci sono tanti ottimi libri sulla security in giro, o blog, focalizzati su differenti aspetti della computer security. In fine, non ci si deve limitare all'informatica. Si può imparare molto anche studiando altre aree della security e acquisendo soft skill in altre science come economia, psicologia e sociologia (sentirsi ed essere sicuri sono cose differenti ad esempio).
Fai. La sicurezza informatica è fondamentalmente un arte da praticare e che richiede pertanto, pratica (tautologico). Questo significa che devi mettere in pratica ciò che hai imparato configurando sistemi di sicurezza, progettandone di nuovi, e - ovviamente - rompendone o violandone altrettanti. È per questo che molti corsi di formazione hanno forti componenti pratiche, non si impara molto senza di esse.
Mostra. Non importa quante cose tu possa conoscere o cosa puoi fare se non riesci a dimostrarle a qualcuno che vuole assumerti. Certo, essere eccellenti in un colloquio è buona cosa, ma lo è di più quando eccelliamo in una mailing list o in un commento su di un forum. Puoi dimostrare la tua esperienza creando dei podcast oppure scrivendo un tuo blog. Puoi tenere dei seminari in meeting tematici (e non) che si tengo in giro per il territorio. Puoi scrivere dei paper e partecipare a workshop come speaker oppure puoi redigere how-to o manuali ed in fine scrivere libri. Insomma creati delle referenze nell'ambito.

Io sono un fanatico delle certificazioni. Non ritengo che abbiano un valore intrinseco in sé, ma, alcune più di altre, riescono a "dimostrare" ad un HR il vostro potenziale in maniera veloce e facile.

Quindi? Tutto qui?

In effetti quanto detto fino ad ora è facilmente applicabile a un gozziglione di altre aree di studio, ma per la security c'è bisogno di un altro tassello, la giusta mentalità, spesso trascurata ma di essenziale importanza per avere successo in questo campo.

Non sono sicuro se questa qualità possa essere insegnata ma sicuramente può essere incoraggiata.
"Questi temi non sono normali per la maggior parte delle persone. Non sono normali nemmeno per gli ingegneri.
I bravi ingegneri, infatti, sono portati a pensare a come far funzionare le cose; il security mindset deve indurre chi lo possiede a pensare al come le cose possono guastarsi. Si tratta di pensare come un hacker, un avversario, un aggressore o un criminale. Non c'è bisogno di exploitare le vulnerabilità che si trovano (o non solo), ma se non si riesce a vedere il mondo con quest'ottica, non si noteranno mai la maggior parte dei problemi di sicurezza."

Tutto ciò è particolarmente vero se si vogliono progettare sistemi di sicurezza e non solo usarne.
Ricordiamo a tal proposito la legge di Schneier:
"E' possibile inventare un sistema di sicurezza così ingegnoso da non poter essere violato nemmeno dal suo inventore."
Tuttavia, l'unico modo che hai per farti un nome in questo campo è violare i sistemi di sicurezza degli altri.

Un ultimo punto sulla crittografia

I sistemi di crittografia moderna sono particolarmente difficili da studiare ed assimilare. Oltre a quanto detto fino ad ora, richiedono un livello di conoscenza universitario della matematica e, come per la sicurezza in generale, la propria abilità in questo ambito viene misurata sulla base di cosa si riesce a violare.
Il campo ha avuto un notevole boost negli ultimi anni, ma esistono delle guide (anche se datate) che possono essere d'aiuto per i neofiti.

Liberamente tratto da una intervista a Bruce Schneier

Ciao Wordpress - Benvenuto Blogger

2012-08-31T10:59:00.001+02:00

I saluti sono sempre cosa molto difficile, soprattutto quando avvengono in relazioni dove c'è stato vero amore. Certo sembrerà sentimentale per alcuni, ma lasciare una piattaforma di self publishing dopo 7 anni non è cosa semplice.

Forse chi legge, e mi conosce, si domanderà perché ho lasciato Wordpress a favore di Blogger la risposta è semplice:

Questione di tempo.

Una soluzione, self-hosted va gestita, periodicamente accudita, aggiornata e tenuta sicura. Quando l'ennesimo bulletin di sicurezza ti crea l'ennesimo stato d'ansia e un terminale è troppo lontano per lanciare l'aggiornamento di turno ti rendi conto di due cose:

Sei irrimediabilmente paranoico (ma questo sappiano essere un comportamento virtuoso ;) )
Non stai dedicando il giusto tempo alle cose (o stai semplicemente priorizzando altro)

Da qui la decisione di passare ad una soluzione SaaS o più genericamente cloud (che va tanto di moda).
Se si vuole rimanere dell'ambito blog le scelte, come accennato, sono in sostanza due Wordpress.com e Blogger (Google).
Entrambe comportano, quasi, i medesimi vantaggi per un utente privato:

Uptime elevato (99,99% o più)
Backup automatizzati
Compliance di sicurezza (su quest'ultimo punto su Wordpress non metterei la mano sul fuoco ma per quanto riguarda BigG ho un osservatorio privilegiato)

e svantaggi altresì equiparabili:

perdita del page rank
perdita delle referenze alle immagini di tutti post (nel mio caso 598 per la cronaca)
impossibilità di gestire permalink personalizzati

La scelta definitiva l'avrete già dedotta suppongo. :)

Più in generale possiamo riassumere che:

Wordpress dal canto suo permette un eventuale rollback verso una soluzione self-hosted (ma vorrei proprio evitare questo scenario). Se volessimo customizzare Wordpress.com si deve pagare una ulteriore (salata) fee per: personalized domain, css, temi pro (circa 99$/anno)

Blogger garantisce l'integrazione con il mondo Google (e magari in prospettiva Google+), permette un buon grado di personalizzazione del layout e, dulcis in fundo, hosta in perpetuo le immagini caricate nel servizio in modo da mantenere le referenze alle immagini in caso di spostamento verso altra piattaforma cloud.

Di guide su come effettuare il porting è pieno il web, e tutte sono a prova di stupido, tuttavia non tutte suggeriscono uno step quasi fondamentale:

la conversione dell'XML di Wordpress (file WXR) in qualcosa di digeribile per Blogger

Facile no? A presto :)

NoNav 2.49 - Remove Norton Antivirus

2012-02-04T22:08:00.002+01:00

Spesso quando si ha software datato installato in una macchina, la possibilità di effettuare con successo una disinstallazione è inversamente proporzionale all'età della macchina. Spesso le motivazioni sono meno "nobili", altrettanto spesso un mix delle due precedenti.
Parliamo del maledetto Norton/Symantec Antivirus, per essere precisi di SAV 10.X e precedenti.
Si, certo, maledetto, anche se ad essere onesti il mio è un odio atavico quindi poco motivato da fatti tecnici.
Prima di giungere a NoNav, vi dico già che ho utilizzato tool ufficiali e quant'altro, provando anche una rimozione manuale che ovviamente non è andata a buon fine, per problemi ai link delle DLL di controllo delle macro di Office (un inferno).
Spesso in installazioni legacy (per così dire) non si hanno nemmeno i privilegi per estirpare il maligno quindi che fare?

STEP 1: Rimuovere la password che protegge la procedura di uninstall

Premi il tasto Windows + R
Lancia "regedit" riempiendo l'apposito campo della finestra di dialogo
Cerca la chiave in HKEY_LOCAL_MACHINE:
SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AdministratorOnly\Security
Cerca la DWORD chiamata UseVPUninstallPassword e fai doppio click sopra al nome
Imposta il valore a 0 (zero) e poi dai OK (vedi immagine sottostante)

STEP 1B: Se non avete mai tentato una disinstallazione dal pannello delle applicazioni dopo aver effettuato queste modifiche provate ora (tentar non nuoce, altrimenti passate allo step successivo).
STEP 2: Utilizzare NoNav per eliminare l'installazione di Norton AV
Il tool è in grado di eliminare NAVCE e SAV fino alla versione 10.x in più SCF, SSC, SCS 1.x - 3.x, AMS e tutte le componenti ad essi associati dai file, alle DLL ed alle chiavi di registro

Scaricate NoNav 2.49 - doppio click sull'exe e:

Disinstallate LiveUpdate
Disinstallate SymEvent
Disinstallate VirusDef
Non utilizzate MSIExec

Effettuate una scansione del registro (anche se lento - circa 10min)
Selezionate di forzare il riavvio dopo il processo di disinstallazione

Attendete la fine del processo e gioite :)

Installare e far funzionare TOR su Ubuntu 11.04 con Chromium

2011-06-14T13:31:00.002+02:00

Uno dei motivi per cui state leggendo quest'articolo probabilmente è per quel tarlo della navigazione anonima a cui non avete mai dato risposta certa. Lungi da me essere l'oracolo di tale risposta ma in passato l'argomento è stato ampiamente trattato in queste pagine, dai cookie alla gestione degli LSO fino ad una breve degressione per non addetti ai lavoro del come e del cosa intendo/si intende per navigazione web anonima.

Anche TOR è stato trattato di sfuggita. Qua e là s'è parlato di router con TOR integrato ed ho riportato un breve articolo comparso su di una *-Zine per avvocati.

Mi riprometto, e questo articolo è solo l'inizio, di parlare approfonditamente di questo oggetto mistico (mistificato?) santo graal dell'anonimato sul web.

Prima di cominciare una domanda, volete farlo funzionare veramente?

Ciò che si crede erroneamente è che sia sufficiente utilizzare TOR per essere anonimi NIENTE DI PIU' SBAGLIATO.
Come sempre è la nostra condotta web che determina il grado di anonimato delle nostre "scorribande" telematiche.

Come verrà spiegato più avanti nell'installazione che vi sto proponendo sono configurati un set minimo di parametri per rendere meno visibile, e sottolineo meno visibile, il nostro footprint sul web, quello che dovete fare è sicuramente personalizzare le configurazione del proxy e del browser che andrete ad utilizzare, ma cosa andare a toccare e perché?

Per prima cosa qualche concetto

TOR non anonimizza le vostre comunicazioni, ma solo le trasmissioni cui esse si appogiano, in parole povere, i dati che inviate a vostro nome sul web, tipo le email o ciò che postate su Facebook, restano a nome vostro (sembra una banalità ma meglio essere espliciti in merito), un po' come andare in giro col passa montagna e portare un cartellino da conferenza al collo.
Tutte le estensioni tipo: Flash, Java, ActiveX, Javascript, plugin a vario titolo vanno evitate come la peste, per quanto possibile meglio ancora se disabilitati completamente nella sessione del browser che stiamo utilizzando (Private browsing, Incognito o In-private browsing che dir si voglia)
Attenzione ai cookie, tutte le applicazioni web utilizzano mezzi più o meno scaltri (chi ha detto evercookie?) per immagazzinare le vostre informazioni di navigazione e potervi identificare anche se non siete espressamente loggati all'app. Quindi facciamo in modo di abilitare solo lo stretto indispensabile per la navigazione
Tor anonimizza l'origine del tuo traffico e cifra tutte le informazioni dal tuo computer verso la rete TOR e dentro la rete stessa, ma non può cifrare il traffito dall'interno di TOR verso la destinazione finale. Se stai comunicando informazioni sensibili, una cosa sensata da fare sarebbe quella di utilizzare una comunicazione punto punto di per se sicura (https ad esempio) facendola però veicolare all'interno della rete TOR per aggiungere quel grado di separazione in più. Un buon punto di partenza è https://www.eff.org/https-everywhere/
Tor maschera le destinazioni che vuoi raggiungere per quanto possibile, ma c'è sempre il rischio che qualcuno spii il tuo traffico pre ingresso nella rete TOR o meglio ancora che qualcuno si "accorga", magari tramite deep packet injection, che stai utilizzando TOR. Questo genere di problematiche può essere mitigato utilizzando un Tor bridge di fiducia ma anche questo approccio non è sicuro al 100%. L'unica cosa è "camuffarsi". Più saranno gli utenti che utilizzeranno TOR meno possibilità ci sarà di essere facilmente rintracciati nel mare magnum di internet (ergo fate proseliti)
NON USATE BitTorrent e Tor a meno di usare strumenti come Tails http://tails.boum.org/doc/ su macchine non vostre per giunta

Passiamo all'installazione di TOR vera a propria

Nei vari package che troviamo sul sito https://www.torproject.org/download/download.html.en esistono versioni per windows, osx e linux. Dei primi due non parlerò, visto che l'installazione è veramente dummy proof. Mi limiterò ad illustrare la procedura per installare TOR su di una Ubuntu 11.04.

Nell'installazione tipica, TOR prevede di essere affiancato da un proxy che ne gestisca le richieste e che si occupi di interfacciarsi con i vari software che utilizzeranno poi i tunnel anonimi. Allo scopo utilizzeremo l'accoppiata TOR + Polipo

Per prima cosa procediamo all'installazione del repository

sudo add-apt-repository http://deb.torproject.org/torproject.org

Ora aggiungiamo la chiave GPG per verificare la fonte dei pacchetti:

gpg --keyserver keys.gnupg.net --recv 886DDD89

gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Due colpi di aggiornamento e dovremmo esserci

sudo apt-get update; sudo apt-get upgrade

Installiamo TOR e Polipo

sudo apt-get install tor tor-geoipdb

il proxy verrà installato dalle dipendenze se così non fosse:

sudo apt-get install polipo

Scarica la configurazione per Polipo consigliata per TOR

cd - ; wget https://gitweb.torproject.org/torbrowser.git/blob_plain/HEAD:/build-scripts/config/polipo.conf

Copiatela al posto della configurazione corrente (es. /etc/polipo/config):

sudo mv -i /etc/polipo/config /etc/polipo/config.old

sudo mv -i polipo.conf /etc/polipo/config

Riavviamo entrambi i servizi

sudo /etc/init.d/tor restart; sudo /etc/init.d/polipo restart

Controlliamo che i servizi abbiano aperto le dovute socket:

ss -aln | grep 9050

Dovre materializzarsi una riga tipo quelle che seguono :

0 0 :::950 :::*

0 0 *:950 *:*

0 128 127.0.0.1:9050 *:*

NB: Nel file di configurazione c'è una sezione per paranoici da cui potete disattivare molti altri header http pena però la non compativilità con monti demoni web e siti, vi consiglio vivamente di darci un'occhiata, d seguito un estratto:

# Uncomment this if you're paranoid.  This will break a lot of sites,
# though:
censoredHeaders = set-cookie, cookie, cookie2, from, accept-language
censorReferer = maybe

così come ho impostato questa sezione si evitano che i siti possano installare cookie qualora questi non siano necessari alla navigazione del sito. Il maybe sta a significare, qualora cookie, from e language non fosse indispensabile per l'apertura del sito allora non permettere queste chiamate. Sottolineo la discrezionalità di tale scelta da parte del proxy quindi occhi aperti.

Installare Vidalia (Opzionale) (Non consigliato)

Vidalia è un'interfaccia grafica di controllo per Tor che deve essere installata ovviamente una volta che Tor è funzionante.
E' bene sapere che una volta installatto Vidalia tutte le funzioni di Tor (se l'installazione rimane quella di default) saranno gestite da quest'interfaccia, motivo perché non la consiglio, ma capisco che poter gestire graficamente il tutto può risultare per alcuni un plus (l'unico che vedo è la mappa dei nodi relay). Se siete convinti, installare vidalia è quasi una banalità:

sudo apt-get install vidalia

... ancora più semplice è rimuoverlo ;)

sudo apt-get purge vidalia; sudo apt-get autoremove

Configurare Chrome / Chromium (versioni beta channel)

Se conoscete TOR e state Firefox come browser probabilmente conoscerete anche Torbutton (fornito nel bundle di windows ad esempio)

Negli ultimi tempi lo sviluppo di questa utile estensione è un po' in "crisi" con molti problemi in seno al development dovuti principalmente ad incertezze sul percorso intrapreso dagli ideatori. A vostro rischio potete scaricare l'alpha 1.3.3 https://www.torproject.org/torbutton/ (veramente sconsigliato).
Mi sento però di consigliare una via alternativa. Chromium!

Ma come proprio il browser di Google il grande fratello moderno? Eh si!
Gli sviluppatori in primis e la shell in seconda battuta ci mettono a disposizione una serie di opzioni fatte proprio al caso nostro che possono sopperire pienamente la mancanza di un "bottone" che abiliti su richiesta TOR.

Al seguente link http://peter.sh/experiments/chromium-command-line-switches/ trovate un estratto, assolutamente variabile visto che si tratta di switch da console che servono a testare il software, che andrebbero così mixati:

chromium-browser --incognito --proxy-server="127.0.0.1:8118" --user-data-dir=/tmp/chrome --bwsi --disable-internal-flash --disable-sync --disable-extensions --block-reading-third-party-cookies --no-first-run --disable-background-networking --disable-translate --disable-logging --disable-javascript --disable-java --disable-plugins

Tutti sono autoesplicativi tranne 2:

bwsi - "browse without sign-in" (Guest session) mode
no-first-run - che ci evita le schermate di configurazioni iniziale

Così facendo lanciamo una sessione Incognito del nostro browser impostata già per utilizzare Polipo come proxy, verrà creato un profilo utente con i nostri dati di navigazione separato da quello di default nella nostra home così che a fine sessione potremmo procedere con un ricco wipe della cartella. Si disabilitano il plugin flash interno così da forzare quello di sistema se c'è, inoltre gengono disabilitati

i sync con i servizi Google (Bookmark, History, Password e Form filling ecc..)
le estensioni di 3° parti
la possibilità di leggere cookie di terze parti da parte degli applicativi web
vengono disattivate tutte le richieste DNS e/o i ping ai domini che permettono di velocizzare le richieste web. Questo evita ad esempio che il nome dominio venga risolto man mano che lo si digita nell'address bar
Viene disattivato Translate (very annoying) visto che google ad esempio propone la sua versione di home page a seconda della nazionalità dell'IP
dulcis in fundo vengono disattivate le sessioni di logging del browser, javascript, java e plugin vari. In fase di navigazione della barra degli indirizzi vi verrà presentata di volta in volta un'icona a forma di pergamena che vi permetterà di abilitare questo o quel JS.

Per testare Tor dopo aver configurato il browser lanciate

https://check.torproject.org/

o meglio ancora

https://torcheck.xenobite.eu/

Buona navigazione ;)

Di downtime, censura ed altre questioni

2011-03-22T13:21:00.002+01:00

Torno a scrivere per raccontare di un fatto di censura subito ai danni di freeuser.org.

Alcuni di voi mi hanno contattato chiedendomi come mai i miei siti, tutti i miei siti (e qui mi bacchetterei sulle dita), erano andati giù, tutto inizia con una mail del mio, ora ex, maintainer hostmonster.com:

Dear Andrea:

Your web hosting account for freeuser.org has been deactivated, as of 02/14/2011. (reason: site wikileaks.freeuser.org causing performance problems)

[OMISSIS]

Although your web site has been suspended, your data may still be available for up to 10 days from the date of deactivation; if you do not contact us during that 10 day period, your account and all of its files, databases, and emails may be deleted.

[OMISSIS]

Engaging in any activity that, in HostMonster.Com's sole and absolute discretion, disrupts, interferes with, or is harmful to (or threatens to disrupt, interfere with, or be harmful to) HostMonster.Com's services, HostMonster.Com's business, operations, reputation, goodwill, subscribers and/or subscriber relations, or the ability of HostMonster.Com's subscribers to effectively use HostMonster.Com's services is prohibited.

[OMISSIS]

Thank you

Mi soffermerei sulle parti che ho evidenziato in grassetto.

Capisco ed approvo ogni azione intrapresa per mantenere il livello di servizio minimo garantito, ma in tutto il contratto non ho trovato alcun riferimento alla questione del business né alla reputation, il che lascia presagire l'estrema discrezionalità operativa che l'azienda stessa intende riservarsi in merito ad azioni che, a suo dire, vadano a ledere quei due punti.

I termini di servizio sono, sempre, ripieni di clausole che farebbero gridare allo scandalo anche un non addetto ai lavori sia chiaro, tuttavia l'assistenza tecnica non è riuscita a spiegarmi in maniera chiara ed deterministica come un mirror di un sito potesse portare all'infrastruttura problemi di performance considerando che:

il mirror era di un sito html, senza alcun genere di script php

Il mirror non aveva alcun database

il mirror era oggettivamente poco visitato

il mirror occupava una minima porzione di banda, se non per le fasi di mirroring stesso, incrementali per giunta (tengo a precisare che il servizio non prevedeva alcun limite di banda utilizzata)

Sarò drastico, ma io ho un'unica parola in mente per quanto perpetrato:

Tuttavia c'è sempre da trarre degli insegnamenti tecnici oltre che personali da problemi come questo :) :

Mai avere tutto con un singolo gestore (single point of failure), il giorno che vi sbatte fuori impiegherete settimane per trasferire i domini (e qui mi bacchetterei ancora sulle dita, visto che predico bene con i clienti e razzolo malissimo con me)
Il PageRank muore letteralmente per dei downtime superiori alle 2 settimane (e chissà se si riprenderà mai)

... ed in ultimo:

MAI avere a che fare con i mormoni (hostmonster si trova in Utah US)

5 tool per monitorare silenziosamente l’attività degli utenti

2011-01-05T00:07:00.002+01:00

Spesso mi viene chiesto di suggerire questo o quel tool per controllare, o per meglio dire, SPIARE, le attività sul computer di un determinato utente.
Mettiamo subito le cose in chiaro sulle questioni legali che una tale attività comporta, mi vengono in mente almeno 3/4 violazioni, tra cui privacy e stalking, ma se consideriamo anche l'ambito aziendale possiamo aggiungere anche il telecontrollo.

Eh si miei cari datori ricordiamo l'Art. 4 della legge 20 maggio 1970, n. 300 cita testualmente:

"È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori." FULLSTOP

Fatevi passare la voglia e magari date un'occhiata qui http://bit.ly/fgn7q5

Tuttavia...

...l'occasione mi è propizia per suggerirvene 5 XD

These tools can be used for monitoring of users or your own pc for activities. Below mentioned tools supports all versions of Windows from XP to Seven.

1. Ryll Logger: Prepare to become the new spy on every computer that you know. Ryll Logger is a lightweight application that can spy on the computer you run it. When you type an email or a password Ryll Logger will recorded it in a log file.

Download Ryll Logger 1.0 here

2. Cyber Inspector Professional: Monitor all the activity on your computer with the help of this utility. Cyber Inspector Professional is a simple application that can monitor running processes for suspicious activities and monitoring the activities of other people who use your computer.

Download Cyber Inspector Professional 1.0 here

3. KeyStrokes: A simple means of monitoring the number of key presses. Monitor your productivity or just gather some useless statistics. KeyStrokes will record when you are active on the keyboard and display the data in a neat graph; ready for viewing or exporting. Data can be exported to csv or txt files and visual graphs can also be exported.

Download KeyStrokes 1.0.0.0 here

4. McGruff SafeGuard: McGruff SafeGuard intelligently analyzes: email, chat, instant messages, website visits, social networks and more. McGruff SafeGuard combines monitoring & control features with extreme ease of use, making it the best choice for parents to keep children safe online. It records and monitors all of your child’s instant mesasging and chat conversations. And if you see someone you don’t want your child talking to, blocking is as easy as clicking the BLOCK BUDDY button.

Download McGruff SafeGuard 4.7.6 here

5. ExtraSpy Employee Monitor: A powerful employee monitoring software. One of the main problems in any business is control over the efficiency of employees. This powerful tool allows you to track any LAN, giving you the most detailed information on what, how and when your network users performed. Employee monitoring software is a means of employee monitoring. ExtraSpy Employee Monitor is a powerful application developed for organizations and companies. It can quickly and at minimum cost monitor and analyze the activity of employees on the Internet and in various applications. Any computer in the network under control can be spied remotely. It is normally deployed over a business network and allows for easy centralized log viewing via one central networked PC. The employee monitoring software developed by ExtraSpy is specially designed to inform and equip management with statistics relating to the productivity of staff within their organization.

Download ExtraSpy Employee Monitor 1.52.154 here

Assange è la persona del decennio

2011-01-04T03:42:00.002+01:00

Un'analisi ragionata sugli avvenimenti che hanno visto coinvolte le più alte menti della diplomazia mondiale nel tentativo, forse vano, di ricucire uno strappo creato dalle stesse mani che tessono i rapporti internazionali tra nazioni.

Un "agenzia stampa internazionale" così viene definita wikileaks ed ad onor del vero è la definizione che meglio si avvicina a quanto operato da Assange e dalla "sua" truppa:

"Julian Assange ha dimostrato una volta per tutte che Internet, piattaforma globale di distribuzione di informazioni digitalizzate è un potente strumento di riallocazione del potere decisionale"

Come non concordare ...

Perché Assange è la persona del decennio [analisi]
Negli ultimi dieci anni, l’uomo WikiLeaks è stata la persona più influente di Internet secondo i lettori di Wired.it. Perché incarna l’etica hacker delle origini: consentire a chiunque l’accesso all’informazione

Arturo Di Corinto
per Wired

Julian Assange è un Robin Hood del nostro tempo, invece dei denari rubati ai ricchi redistribuisce l’informazione a favore della gente in nome e per cui viene prodotta, amministrata, e nascosta. E questo è un gesto rivoluzionario se accompagnato da una seria riflessione sulla natura dell’informazione e su come la produzione e diffusione cooperativa di informazioni possa colmare il gap che divide il mondo in information-rich e information poor.
Assange è un ladro? No, perchè non ruba informazioni ma protegge chi gliele dà. Col suo sito, Wikileaks, Assange si propone come un intermediario dell’informazione, non troppo dissimile da un’agenzia di stampa internazionale, ma pubblicando quello che per opportunità e interesse quelle agenzie non pubblicano, di fatto trasforma notizie e informazioni in armi non convenzionali per colpire il cuore e le menti delle persone, cioè di quella che fu definita la seconda potenza mondiale del nostro tempo: l’opinione pubblica. Assange è lo spin doctor di un qualche potere globale? Gli somiglia. Ha comportamenti non dissimili dagli esperti di una war room elettorale che creano narrazioni e mitologie intorno a un candidato politico facendone un simbolo, un alfiere, un portavoce del popolo. Solo che stavolta il simbolo è lui stesso.
Assange non ha fatto niente di diverso da quello che fanno i gatekeeper dell’informazione o lo staff di un candidato presidente di un paese come gli Usa. Non ha fatto niente di diverso da un broker di Wall Street che lascia trapelare alcune notizie e non altre, le tiene in cassaforte fino a che il corso della borsa non sia favorevole, e non ha fatto niente di diverso dall’intelligence di un esercito che le tiene nascoste per acquisire una superiorità strategica nei confronti dell’avversario.

ENISA sullo shopping on-line

2011-01-03T05:45:00.002+01:00

ENISA per i molti che non la conoscessero è l'agenzia europea per la sicurezza dell'informazione. Dico molti perché io stesso, pur essendo dentro determinati "ambienti", sono venuto a conoscenza della sua esistenza non meno di due anni fa. Ed è un vero peccato visto che lo scopo che si prefigge, nell'odierna società dell'informazione, è quello di fase security awareness (tra le tante cose) e lo fa anche discretamente bene.

Eccone un bel esempio:

Augurando buon 2011 a tutti i lettori, segnalo che ENISA ha pubblicato un interessante documento incentrato sull'e-commerce volto a rendere più informati sia i clienti sia i venditori, con attenzione ai principali schemi di frode e di protezione.

Al lavoro ha contribuito, come già per il documento "ATM Crime", il socio @ Mediaservice.net.

http://www.enisa.europa.eu/act/ar/deliverables/2010/how-to-shop-safely-online

Crackare la rete GSM con un cellulare da 15$

2011-01-01T23:00:00.002+01:00

Il CCC come sempre ci regala delle chicche che vanno ben oltre i regali ricevuti nel passato natale :)

Che gli algoritmi A5/1 e A5/3 fossero andati a farsi benedire lo sapevamo già da tempo (http://freeuser.org/gsm-cypher-is-gone-crackato-kaput/) ma come in tutte le vulnerabilità che si rispettino non sempre il fatto in se genera allarmi da Defcon 3.

Tuttavia...

I problemi nascono quando di mescolano:
- un cellulare da 15$ con sopra un firmware opensource (OSMocombb - http://bb.osmocom.org/trac/)
- delle rainbowtable http://srlabs.de/research/decrypting_gsm/
- qualche scheda FPGA
- 3 minuti
- tanto, tanto, tanto ingegno

Slide PDF - http://events.ccc.de/congress/2010/Fahrplan/attachments/1783_101228.27C3.GSM-Sniffing.Nohl_Munaut.pdf

Want to listen in on cellphone calls or intercept test messages? Well that’s a violation of someone else’s privacy so shame on you! But there are black-hats who want to do just that and it may not be quite as difficult as you think. This article sums up a method of using prepaid cellphones and some decryption technology to quickly gain access to all the communications on a cellular handset. Slides for the talk given at the Chaos Communications Congress by [Karsten Nohl] and [Sylvain Munaut] are available now, but here’s the gist. They reflashed some cheap phones with custom firmware to gain access to all of the data coming over the network. By sending carefully crafted ghost messages the target user doesn’t get notified that a text has been received, but the phone is indeed communicating with the network. That traffic is used to sniff out a general location and eventually to grab the session key. That key can be used to siphon off all network communications and then decrypt them quickly by using a 1 TB rainbow table. Not an easy process, but it’s a much simpler method than we would have suspected.

Router con TOR nel cuore

2011-01-01T22:22:00.002+01:00

Che ne dite di far trovare nella calza della befana un router compatibile con OpenWRT ai vostri amici geek preferiti?

Perché ve lo dico? Presto detto

E' in lavorazione una versione di TOR che girerà in maniera nativa all'interno della "distro" per router OpenWRT (qui la lista completa dell'hardware compatibile http://wiki.openwrt.org/toh/start).

Tra le funzionalità, il routing di tutti i protocolli o di parte di essi sulla rete tor in maniera automatica e funzionalità di nodo relay per gli utilizzatori nel network.

I vantaggi che vedo in una soluzione del genere sono molti, peccato che nessun vendor adotterà (per ora) tale distro modificata per i propri dispositivi, lasciando, ancora un volta, ad un pubblico di nicchia il piacere di "autocostruirsi" l'apparecchiatura.

Sono certo che questa iniziativa darà un bel boost a questo progetto che amo particolarmente.

More info su TOR: http://freeuser.org/navigare-nel-web-in-anonimato-si-puo/

Home Internet with Anonymity Built In
A router that runs the Tor software prevents Web tracking.
Many political activists, nonprofits, and businesses use an anonymity system called Tor to encrypt and obscure what they do on the Internet. Now the U.S.-based nonprofit that distributes Tor is developing a low-cost home router with the same privacy protection built in.

The Tor software masks Web traffic by encrypting network messages and passing them through a series of relays (each Tor client can also become a relay for other users' messages). But using Tor has typically meant installing the software on a computer and then tweaking its operating system to ensure that all traffic is routed correctly through the program.