06 ottobre 2014

Windows Xp 6 mesi dopo

Sono passati ormai quasi sei mesi dalla data di fine supporto per Windows Xp e con buona pace degli apocalittici nulla di irrimediabile sembra essere accaduto. A qualche patchday di distanza ci sono probabilmente alcune decine di falle non corrette in più ma nessuna di queste da sola pregiudica la sicurezza del sistema. Di attacchi mirati su vasta scala non si hanno notizie e le orde di cracker che attendevano l'8 aprile per scatenarsi devono aver trovato traffico sulle autostrade informatiche...

Insomma firewall, antivirus e buone configurazioni sembrano reggere ancora mentre ironicamente a creare grossi problemi è stato un bug (Shellshock) in uno dei tool base (Bash) di ogni distribuzione Linux. A conferma forse che l'approccio ideologico mal si presta al mondo del software.

25 settembre 2014

C'è da patchare Firefox

Apprendo da Naked Security che è stata individuata una falla in Firefox legata alla libreria NSS (Network Security Services). Dal momento che Mozilla ha già risolto (a tempo di record) il problema e considerando che in gioco c'è il corretto processo di convalida delle firme in TLS, direi che è il caso di aggiornare.

Per chi usa Firefox ESR la versione con patch si scarica da qui (si, è un sito FTP!). Sono da aggiornare anche Thunderbird e Seamonkey (e probabilmente molti altri browser...).

12 luglio 2014

Radio via satellite, cavetto RCA - minijack ed un foglio di carta...

L'orografia del posto in cui sto non consente di ricevere chiaramente i segnali radio per cui all'interno degli edifici è possibile ascoltare in buona qualità solo pochi canali. Sfruttando il decoder satellitare del televisore (anche il segnale tv terrestre è carente...) è però possibile ascoltare quasi tutti i maggiori canali nazionali. Unico inconveniente dover tenere acceso il televisore...

Se il decoder dispone di uscite audio RCA (con i connettori bianco e rosso) e se si dispone di un un impianto audio con ingresso AUX IN da 3,5 mm si può risolvere il problema con una spesa minima. Basta infatti acquistare un cavo RCA-MiniJack del costo di pochi euro e collegare i due sistemi. Io ho utilizzato un cavo Vivanco da 2,5 m di lunghezza di buona qualità ed il risultato in termini di fedeltà del suono è soddisfacente. l'unica altra cosa di cui dotarsi è un foglietto di carta su cui annotare la numerazione dei canali... (a meno di non avere un decoder con display speciale in grado di mostrare il nome dell'emittente).

Le curiosità delle radio via satellite sono molte. Si può ad esempio ascoltare Isoradio anche senza essere in autostrada o ci si può sintonizzare sul quarto (musica leggera) e quinto (musica classica) canale della filodifussione. Volendo si più selezionare il canale di una nota catena di discount oppure immergersi nello sport con Radio Sportiva. Poi, se si vuole restare sul classico, ci sono anche i soliti grani network nazionali e le radio internazionali...

23 giugno 2014

[Virus] Order Details o Shipping Confirmation : Order

E' un po' che non parlo di virus. Non che il problema sia rientrato ovviamente, ma il tempo è poco ed i metodi di attacco in fondo sono sempre gli stessi. Faccio una eccezzione per due messaggi con virus allegato che mi sono arrivati negli ultimi giorni e che hanno rispettivamente per ogetto:

  • Shipping Confirmation : Order
  • Order Details

Entrambi i messaggi sono stati falsificati in modo da sembrare inviati da Amazon (che ovviamente non c'entra nulla) e fanno riferimento ad un presunto ordine di acquisto sul celebre sito. L'allegato viene spacciato come contenente il riepilogo dell'ordine e la fattura. Poi, premurosamente, il messaggio informa per modificare l'ordine è sufficiente visitare il sito Amazon.

Il maccanismo in se è banale: l'utente realmente iscritto ad Amazon teme che qualcuno abbia violato il proprio account effettuando acquisti magari anche molto onerosi. Quindi si precipita ad aprire l'allegato per capire cosa è successo ma... nello stesso momento infetta il proprio sistema.

L'allegato infatti è un file zip di nome order_id.zip o order.zip che contiene al suo interno un eseguibile dal nome chilometrico che costituisce il virus vero e proprio. Un doppio click di troppo ed il danno è garantito.

Mi sono incuriosito a questo attacco per due buone ragioni. La prima è che arriva puntualmente su tre distinti indirizzi generati con Yahoo! Address Guard (e che quindi hanno la stessa radice). L'approccio probabilistico è confermato dalla presenza tra i destinatari di molti altri indirizzi con una struttura simile ai miei.

In secondo luogo è interessante rilevare come questi virus sono spesso invisibili agli antivirus. L'allegato al messaggio "Shipping Confirmation : Order" analizzato su VirusTotal era stato riconosciuto come virus solo da 24 antvirus su 51. L'allegato al messaggio "Order Details" è riconoscito come virale da 26 antivirus sui 54 testati. In entrambi i casi più della metà degli antivirus usati da VirusTotal non riconosce l'infezione...

14 giugno 2014

Chi vince tra OpenOffice e LibreOffice?

Penso di poterlo dire ormai senza troppe incertezze. La scissione (o se preferite il fork) di LibreOffice da OpenOffice è uno dei maggiori "dolori" informatici che io ricordi. Lo dico da utente che ha adottato OpenOffice.org fin dalla prime versioni in tempi in cui non era ne così facile ne così indolore come potrebbe essere ora. E' un "dolore" perché disperdere risorse in progetti più piccoli è un errore potenzialmente fatale quando il tuo concorrente viaggia con quote del 90% del mercato. Questo è ovvio. Ma è un "dolore" soprattutto nei modi. Perché tra gli attuali progetti OpenOffice e LibreOffice non c'è una semplice divergenza di obiettivi -discutibile ma accettabile- quanto un lungo elenco di "conti in sospeso". Controversie complesse legate a volte più ai singoli che non alla vicenda in se stessa ma che comunque fanno male ad entrambe le realtà.

Il coraggioso fork di The Document Foundation era probabilmente necessario per riportare OpenOffice.org nel suo contesto di software sviluppato da una comunità. Ma gli eventi successivi ed il passaggio di OpenOffice sotto l'alta di Apache potevano essere l'occasione se non per una riunificazione quantomeno per un significativo riavvicinamento. La questione era di per se molto complicata (ruoli, licenze, nomi...) ma l'impressione è che a mancare sia stata soprattutto la volontà.

Il risultato di questa situazione lo si legge quotidianamente tra blog e forum. E' la solita "guerra" ideologica che molto male ha fatto al software libero e molto ne farà in futuro. E' un fiorire di dichiarazioni di parte, di informazioni volutamente imprecise o incomplete che alla fine probabilmente hanno il solo risultato di far sorgere dubbi a chi sta valutando di adottare OpenOffice o LibreOffice.

Se qualcuno a questo punto se lo stesse chiedendo io uso OpenOffice.org 2.4 sotto Windows ed OpenOffice.org 2.0 sotto Linux entrambe sviluppate ai tempi di Sun. Non ho mai sentito la necessità di aggiornare a versioni successive ma se dovessi farlo probabilmente sceglierei OpenOffice per due ordini di ragioni: 1) sui miei datati computer è più veloce e più leggera; 2) adotta una politica dei rilasci più "sostenibile". Ma queste sono valutazioni puramente personali.

12 giugno 2014

Precursori e ritardatari (da Yahoo! Briefcase ad Ubuntu One)

Le logiche con cui un servizio web raggiunge il successo sono spesso contorte e difficili da codificare. Il fattore tempo ad esempio potrebbe sembrare fondamentale ma in molti casi concreti si è dimostrato un fattore tutto sommato marginale.

Oggi per molti utenti salvare i propri file online (in quello che il marketing chiama 'cloud') può apparire del tutto normale ma fare le stesse cose a fine anni 90 era decisamente una bella acrobazia. Eppure era proprio questo il servizio offerto da Yahoo! Briefcase (Valigetta nella versione italiana). Certo lo spazio era limitato (30 Mb) ma c'erano già il file system online e gli strumenti di condivisione dei file.

Essere precursori non è però servito a molto e Yahoo! Briefcase è progressivamente finito nell'oblio fino alla chiusura nel 2009. Ubuntu One al contrario è arrivato sulla scena proprio nel momento giusto, con le connessioni mediamente più veloci, con l'esplosione degli smartphone, con la crescente necessità di accedere ai propri dati da molteplici dispositivi. E con una offerta gratuita decisamente allettante per giunta.

Eppure anche Ubuntu One sta chiudendo i battenti. Difficile quindi decifrare le dinamiche di questo settore. Probabilmente gli utenti disposti a pagare per servizi simili sono ancora troppo pochi per offrire qualche margine di guadagno a piccoli e medi operatori. Oppure c'è il fatto che una chiavetta da 32 Gb costa meno di 20 euro, funziona anche senza Wi-Fi e non mette i miei dati in mano a terzi.

15 aprile 2014

Heartbleed for dummies

Una spiegazione (molto) semplificata della vulnerabilità Heartbleed in OpenSSL.

Cos'è Heartbleed?
Heartbleed è il nome di una vulnerabilità ritenuta piuttosto seria nella libreria OpenSSL. OpenSSL è utilizzata per creare connessioni sicure tra due computer in rete. Heartbleed può essere sfruttato per leggere blocchi di dati che potenzialmente potrebbero contenere anche dati sensibili (password ad esempio).

Ok, cosa debbo fare?
OpenSSL è utilizzata principalmente a livello server. Una versione corretta (1.0.1g) è già disponibile. E' però compito degli amministratori aggiornare i propri sistemi.

Devo cambiare password?
Esiste un elenco dei servizi principali (social, siti, mail) colpiti da Heartbleed. Altri siti possono essere verificati con questo strumento. Chi ha un account su uno di questi servizi dovrebbe prendere in considerazione l'idea di cambiare password assicurandosi però che OpenSSL sia stata aggiornata ad una versione sicura. E' probabile che in caso di necessità siano comunque gli stessi fornitori ad avvisare gli utenti. Attenzione però ai probabili tentativi di phishing.

Posso essere infettato da Heartbleed?
Ovviamente no. Heartbleed è una vulnerabilità in un componente software e non un virus. Questo non ha impedito alla stampa generalista di fornire informazioni largamente imprecise.

Con lo smartphone corro rischi?
Smartphone, tablet ed altre "entità" connesse corrono gli stesi rischi di un computer nel momento in cui usano un servizio che si appoggia ad OpenSSL.

E se ne volessi sapere di più?
Non hai che da scatenare un qualsiasi motore di ricerca. Io ho trovato interessanti, tra le altre, queste letture:

Over Security
Blog Kaspersky
Il disinformatico
filippo.io
Mashable

08 aprile 2014

Il paradosso di Windows Xp

Ha un non so ché di affascinante constatare come in un mondo sempre alla ricerca dell'ultima novità ci siano punti fermi da cui resta difficile allontanarsi. Windows Xp è un sistema operativo nato 13 anni fa, informaticamente un'altra era. Eppure oggi siamo ancora in tanti qui ad elecarne i pregi e magari a rivendicare con un pizzico di orgoglio l'intenzione di continuare ad utilizzarlo.

E' un piccolo paradosso che viaggia però in parallelo con il tramonto di quella idea di computer e di internet che nasceva proprio agli inizi degli anni 2000. Panta rei.