15 aprile 2014

Heartbleed for dummies

Una spiegazione (molto) semplificata della vulnerabilità Heartbleed in OpenSSL.

Cos'è Heartbleed?
Heartbleed è il nome di una vulnerabilità ritenuta piuttosto seria nella libreria OpenSSL. OpenSSL è utilizzata per creare connessioni sicure tra due computer in rete. Heartbleed può essere sfruttato per leggere blocchi di dati che potenzialmente potrebbero contenere anche dati sensibili (password ad esempio).

Ok, cosa debbo fare?
OpenSSL è utilizzata principalmente a livello server. Una versione corretta (1.0.1g) è già disponibile. E' però compito degli amministratori aggiornare i propri sistemi.

Devo cambiare password?
Esiste un elenco dei servizi principali (social, siti, mail) colpiti da Heartbleed. Altri siti possono essere verificati con questo strumento. Chi ha un account su uno di questi servizi dovrebbe prendere in considerazione l'idea di cambiare password assicurandosi però che OpenSSL sia stata aggiornata ad una versione sicura. E' probabile che in caso di necessità siano comunque gli stessi fornitori ad avvisare gli utenti. Attenzione però ai probabili tentativi di phishing.

Posso essere infettato da Heartbleed?
Ovviamente no. Heartbleed è una vulnerabilità in un componente software e non un virus. Questo non ha impedito alla stampa generalista di fornire informazioni largamente imprecise.

Con lo smartphone corro rischi?
Smartphone, tablet ed altre "entità" connesse corrono gli stesi rischi di un computer nel momento in cui usano un servizio che si appoggia ad OpenSSL.

E se ne volessi sapere di più?
Non hai che da scatenare un qualsiasi motore di ricerca. Io ho trovato interessanti, tra le altre, queste letture:

Over Security
Blog Kaspersky
Il disinformatico
filippo.io
Mashable

08 aprile 2014

Il paradosso di Windows Xp

Ha un non so ché di affascinante constatare come in un mondo sempre alla ricerca dell'ultima novità ci siano punti fermi da cui resta difficile allontanarsi. Windows Xp è un sistema operativo nato 13 anni fa, informaticamente un'altra era. Eppure oggi siamo ancora in tanti qui ad elecarne i pregi e magari a rivendicare con un pizzico di orgoglio l'intenzione di continuare ad utilizzarlo.

E' un piccolo paradosso che viaggia però in parallelo con il tramonto di quella idea di computer e di internet che nasceva proprio agli inizi degli anni 2000. Panta rei.

17 marzo 2014

Usare Windows Xp dopo la fine del supporto

Ho trovato molto stimolante la discussione nata attorno a questo post di Paolo Attivissimo sull'ormai imminente conclusione del supporto per Windows Xp. Nei commenti coesistono opinioni puntuali e tecnicamente neutrali ma anche molta partigianeria da parte di chi si autoconvince che la propria soluzione sia insindacabilmente la migliore. Riassumo qui la mia opinione:

  • Il mio PC continuerà ad usare Xp (in dual boot con Memphis Linux a voler essere precisi). L'hardware è troppo datato per i sistemi operativi attuali ed in ogni caso il costo della licenza di Windows 8 equivale a quasi metà del costo di un PC nuovo di fascia bassa...
  • Xp correttamente configurato e protetto da Firewall ed Antivirus non diventerà improvvisamente un colabrodo dopo l'8 aprile. Il pericolo maggiore è in realtà rappresentato dalla eventuale comparsa di falle particolarmente gravi (come questa) che potrebbero compromettere la sicurezza del sistema a prescindere dalle protezioni adottate. Fortunatamente questo tipo di falle non è molto frequente e nella maggior parte dei casi si riesce comunque a trovare soluzioni tampone.
  • Come già Windows 98, anche Xp sarà supportato dalla maggior parte dei software ancora per diverso tempo. Problemi più seri si avranno solo quando software vitali (antivirus, browser, etc) non saranno più compatibili. Ma è verosimile che ciò non avvenga in tempi molto brevi.
  • Il passaggio a Windows 8 è un salto nel buio forse persino maggiore di quanto fu per Vista. La nuova interfaccia non sembra aver convinto ed è concreto il rischio di ritrovarsi ad usare un prodotto ormai su un binario morto (opinione personale ovviamente). Seven, che molti esaltano all'inverosimile, è in realtà estremamente simile a Vista, è tecnicamente valido ma non certo invulnerabile...
  • Se proprio dovessi acquistare un nuovo hardware penso che sarebbe l'occasione per fare il passo decisivo verso Linux. Magari verso quelle distribuzioni che non rincorrono il calendario pur di rilasciare una nuova versione ogni 6 mesi (Debian potrebbe essere una buona scelta). Ci sarebbero molte questioni da risolvere, ma si sa la libertà si conquista.

Ovviamente sempre pronto a ricredermi se tra qualche settimana l'evidenza mi darà torto.

09 marzo 2014

La chiusura di My Opera

Qunati in Italia hanno usato My Opera? Probabilmente pochi. Io ne avevo parlato nel lontanissimo 2008, lo avevo utilizzato per organizzare una raccolta di link e seguivo via feed alcuni utenti che usavano il servizio. My Opera ha spento i server lo scorso 3 marzo con una serie di motivazioni in gran parte condivisibili. Chi sarà il prossimo?

07 febbraio 2014

Perfettamente compatibile

- Vorremmo rimpiazzare #softwarecostoso con una soluzione gratuita...
- Se avente molti documenti e magari anche dei database sarà una lavoraccio...
- Si, ma sai i costi di licenza... e poi ho letto su #forumfamoso che #altrosoftware è perfettamente compatibile ed essendo OpenSource non lo paghiamo...
- La mia opinione è che l'unico software perfettamente compatibile con #softwarecostoso sia #softwarecostoso, a patto di usare la stessa versione.
- E quindi come se ne esce?
- Facendo molti test preliminari, incrociando le dita e sistemando un sacco di cose a mano.
- Ma #altrosoftware non dovrebbe leggere alla perfezione i file di #softwarecostoso?
- Non penso proprio che sia questa la loro principale ambizione in effetti.

Morale 1: Se una azienda decide di salvare dati e documenti in un formato proprietario, chiuso e segreto il problema è anzitutto suo e non certo di chi sviluppa software opensource. Tentare di dare completo supporto a questi formati porterebbe via un mole immensa di risorse che invece devono più coerentemente essere indirizzate allo sviluppo ed all'ottimizzazione del software.

Morale 2: Non è affatto detto che opensource debba essere sinonimo di gratuito. Ed in ogni caso la scelta di un prodotto opensource andrebbe ispirata a concetti più generali come per l'appunto l'uso di formati aperti e standardizzati.

Morale 3: Più semplice è il formato con cui si salvano le informazioni, meno problemi si avranno in caso di cambio della piattfaorma.

05 febbraio 2014

Il ritorno di k-meleon?

Negli ultimi due anni il peso dei browser è cresciuto a ritmi spesso ingiustificati rispetto alle reali novità introdotte. Ho seguito questo abnome incremento dei requisiti minimi con un certo fastidio ed ho spesso rimpianto una soluzione più leggera, più essenziale, più incentrata sulle funzioni base del browser. La riposta era spesso, quasi immancabilmente, k-meleon un browser basato sul motore di Firefox, snello quanto basta e ben configurabile. Ma il progetto era fermo ufficialmente al 2010 e nel frattempo il web è radicalmente cambiato.

Ora, casualmente, scopro che sul sito ufficiale è apparso il nuovo k-meleon 74. E' ancora una beta e non ho avuto modo di testarla ma se il progetto riprendesse vita ne sarei più che felice.

26 dicembre 2013

CryptoLocker, il virus perfetto?

CryptoLocker è probabilmente l'incubo informatico di questo fine 2013. Un singolo virus che da solo è stato capace di mostrare l'intrinseca debolezza delle misure di sicurezza informatica a cui ci affidiamo. Ma anche un concentrato di sociologia che sfrutta alla perfezione non tanto l'insicurezza delle reti e dei sistemi operativi quanto quella del cervello che si colloca dall'altra parte del monitor.

CryptoLocker fa leva sulla curiosità umana che porta a scaricare ed aprire improbabili allegati ad email che in teoria non dovremmo neppure aver ricevuto. O sulla presunta furbizia di chi crede che in rete tutto sia gratuito. Ma anche sull'innocenza di chi sposta dati e programmi su una chiavetta USB trasformatasi a sua insaputa in un perfetto vettore di attacco (ne ha parlato proprio ieri il blog di Trend Micro).

CryptoLocker va anche oltre e rende almeno in parte inutili le protezioni ormai standard in quasi tutti i computer Windows. CryptoLocker infatti è tecnicamente un ransomware che cifra con un algoritmo robusto alcuni file del computer (principalmente i documenti) e poi si limita a chiedere un riscatto per la successiva decriptazione. Un riscatto che peraltro è anche a tempo e cresce tanto più si tarda a pagare. Con questo approccio è chiaro che l'antivirus è utile solo se riesce a prevenire l'infezione. Ma se questa va a buon fine la rimozione del virus potrebbe perfino essere controproducente perché renderebbe irrecuperabili i file cifrati dal virus.

Ovviamente ci sarebbe sempre il santo backup a cui rivolgersi. Ma siamo realisti, quanti hanno una seria politica sulle copie di sicurezza? Un bel corto circuito insomma che per certi versi porta a rivalutare la vecchia copia cartacea o l'altrettanto obsoleta teoria del computer isolato.

Risorse utili:

27 ottobre 2013

Firefox, motori di ricerca aggiuntivi

Mozilla Firefox permette di aggiungere nuovi motori di ricerca da affiancare a quelli predefiniti. Un primo metodo che si può seguire è quello di aggiungere nuovi Search Engine Plugins che saranno disponibili direttamente nella casella di ricerca. Questi componenti possono essere scaricati:

Molto interessante è però la possibilità di generare un motore di ricerca a partire da qualsiasi caselle di ricerca di qualsiasi sito web. La procedura è molto semplice e si appoggia ai segnalibri di Firefox:

Motori di ricerca aggiuntivi in Mozilla Firefox

  • Si clicca con il tasto destro del mouse nella casella di ricerca e nel menù contestuale si sceglie le voce "Aggiungi una parola chiave per questa ricerca".
  • Nella successiva finestra di dialogo si inserisce un nome per il motore di ricerca nella casella "Nome" (può andar bene anche quello di default) e si sceglie in quale cartella salvare il segnalibro. Fondamentale è la casella "Parola chiave" in cui si inserisce una scorciatoia che permetterà di richiamare il motore di ricerca. Se ad esempio il motore di ricerca è quello di Wikipedia in Italiano una buona scorciatoia potrebbe essere ad esempio "wi" o semplicemente "w". Si salva infine la configurazione cliccando sul pulsante "Salva".
  • Per utilizzare il nuovo motore di ricerca basta inserire la sua scorciatoia nella barra degli indirizzi di Firefox seguita da uno spazio e dal testo da cercare. Se ad esempio volessimo cercare "Radiofaro" in Wikipedia dovremmo digitare nella barra degli indirizzi "w radiofaro" e premere Invio.

Dopo l'iniziale cambio di paradigma questo strumento si rivela incredibilmente flessibile e potente. Provare per credere :-)