Black Pig - Maiali neri in libertà

Quanti PC abbiamo?

Questa domanda è il tormentone del dipartimento IT (Information Technology, noto precedentemente come EDP) di qualsiasi organizzazione non minuscola. Molti responsabili IT cercano di rispondere a questa domanda utilizzando un software apposito che si sobbarca l’onere di enumerare i macchinari in carico all’organizzazione.

All’inizio c’erano programmi che installavano sui client degli agenti intrusivi e pesanti (chi si ricorda SMS di Microsoft?). Poi sono venuti programmi che sfruttano i dati WMI e altre strutture messe a disposizione da Windows senza la necessità di installare un client su ogni PC (ho scritto anche io uno di questi software).

Purtroppo questi programmi sono ancora limitati non dalle loro funzionalità, ma da impedimenti oggettivi: non tutti i computer “conoscono” il proprio numero di serie, per non parlare di quello del monitor o della stampante ad esso collegati. Inoltre il sistema di raccolta automatica dei dati funziona solitamente sulle macchine connesse ad un dominio Active Directory (o analogo) e lascia fuori le macchine dedicate a funzioni particolari o comunque sconnesse dalla rete. Inoltre, per ragioni di stabilità spesso i server non vengono recensiti dai sistemi automatici di raccolta dati, sebbene la gestione dell’inventario di queste macchine dovrebbe essere relativamente semplice (ma ci sono delle eccezioni).

Ma le cattive notizie non sono terminate, anzi.

La virtualizzazione dei server (prima) e dei PC (ora) aumenterà ulteriormente la complessità di un sistema automatico di inventario. L’inventario dell’installato, infatti, non serve semplicemente a “contare le teste”, ma è utile per fornire una statistica sulle capacità dei client (memoria, processore, disco rigido) al fine di poter pianificare gli acquisti di nuove macchine o verificare potenziali problemi nel caso venga installato una nuovo software con richieste specifiche.

Se prima ci si accontentava di un certo errore statistico dei sistemi automatici di inventario dovuto a situazioni limite, adesso si potrebbero avere dati notevolmente scostati dalla realtà. Certo, si potrebbero filtrare i dati provenienti da macchine virtuali VMWare (in quelche modo è possibile farlo), ma non potrebbe essere così facile contare le macchine vere per scopi di gestione dell’inventario e non si avrebbe comunque un’idea realistica delle caratteristiche dei PC (fisici o virtuali che siano) che gli utenti stanno utilizzando.

Ho sperimentato un curioso comportamento di Bing segnalato da Thomas Hawk (via Slashdot). Per l’esperimento ho utilizzato una macchina virtuale Windows XP USA con Internet Explorer 8 con cui non avevo mai visitato Bing.

Per comprendere le modalità del test va segnalato che Bing decide la posizione di un utente in base all’impostazione della lingua del browser (da non confondere con la lingua in cui il browser visualizza i menu e i messaggi).

Ho provato, innanzi tutto, a visitare Bing con le mie impostazioni standard, ovvero inglese del Regno Unito. La ricerca di «SEX» mostra un normale risultato di un motore generalista (prima immagine, clickare per ingrandire).

Ho quindi impostato il linguaggio in hindi, ho riavviato Explorer, ho rivisitato Bing e ho effettuato la medesima ricerca (seconda immagine, clickare per ingrandire). Anziché i risultati visualizzati nell’esempio precedente è apparsa la scritta «sex खोज कामोत्तेजक सामग्री दिखा सकता है. परिणाम प्राप्त करने के लिए, अपनी खोज शर्तें बदलें.» che, grazie a Google, ho potuto tradurre in «Search can show sex erotic content. To achieve results, change your search terms.» La traduzione automatica italiana lasciava un po’ a desiderare, ecco perché ho riportato quella inglese.

Resta il dubbio del motivo per cui a chi si dichiara Inglese venga consentito di vedere i risultati di una ricerca, mentre a chi si dichiara Indiano questi risultati siano negati. Ironia della sorte, Carmella Bing è stata un’attrice porno, ma questi sono i rischi che si corrono scegliendo nomi brevi e facili da pronunciare per i propri prodotti.

Alcune norme di legge e le regole del buon senso richiedono che alcuni documenti vengano distrutti prima di essere gettati nella spazzatura al fine di vanificare eventuali azioni di trashing.

È fuori discussione che stracciare a mano i fogli di carta non sia una soluzione sicura. Esistono in commercio delle macchine distruggi documenti (shredder) che sminuzzano i fogli di carta (o di plastica) in modo da rendere difficile la lettura del documento originale.

La normativa DIN 32757 divide in sei livelli i distruggidocumenti in base alla dimensione dei frammenti di carta prodotti dalla macchina.

Le macchine più semplici tagliano i fogli in strisce lunghe quanto il foglio e larghe da pochi millimetri a qualche centimetro; i distruggi documenti un po’ più sicuri creano frammenti di carta larghi pochi millimetri e lunghi alcuni centimetri; i sistemi più sofisticati creano frammenti lunghi pochi millimetri e larghi un millimetro o poco più.

L’immagine di questo post mostra tre frammenti ottenuti con un Fellowes H-2C. Il frammento (1) è facilmente leggibile e chi ha familiarità con i voli aerei capisce immediatamente a cosa si riferisca. Il frammento (2) contiene scritte di dimensione paragonabile al frammento (1), ma in questo caso il foglio è stato inserito con le scritte inclinate rispetto all’asse del sistema di taglio. Il frammento (3) contiene del testo scritto a mano (da me) ed è illeggibile non solamente perché l’ho scritto io, ma anche perché la scritta ha una dimensione nettamente superiore della larghezza del frammento.

Un sistema di distruzione con le caratteristiche del H-2C è soddisfacente per scopi casalinghi o commerciali purché i fogli vengano inseriti storti; purtroppo la macchina ha una canna di 23 centimetri, che rende necessario rompere i fogli A4 prima di darli in pasto al tritadocumenti.

Da ultimo, bisogna tener presente che un uso intensivo dell’apparecchio lascia pezzi di carta sui sistemi di taglio che ne riducono l’efficienza, specialmente sulle parti laterali. È quindi necessaria una verifica periodica del sistema di taglio per rimuovere eventauli frammenti di carta.

Microsoft ha messo online l’ennesimo reboot del suo motore di ricerca, questa volta con il nome di Bing.

Benché la copertina sembra quella di un dépliant di viaggi, la grafica con cui vengono elencati i risultati delle ricerche lo fa sembrare praticamente identico a Google, salva la possibilità di visualizzare al passaggio del mouse alcuni testi presenti nella pagina indicata dal motore di ricerca. Sempre in tema di grafica, il nome visualizzato sopra una montagna ricorda un attimino il vecchio logo di Altavista, ma sarà un caso.

I risultati delle ricerche sono assolutamente paragonabili a quelli di Google, nulla da dire in questo senso, essendo un motore di ricerca generalista. Come tutti i motori, facendo delle prove con ricerche a caso, saltano fuori delle stranezze. A titolo di prova ho cercato «size of Florida» in Bing e Google; nelle ricerche correlate visualizzate dal motore di Microsoft, assieme ad altre ricerche sul Sunshine State, appaiono inspiegabilmente «Size Of South Carolina» e «Size Of Alaska». Ironicamente, cercando «Vista» Google presenta come primo risultato la pagina principale di Windows Vista del sito Microsoft, mentre Bing presenta la pagina della Wikipedia che descrive il sistema operativo mentre la pagina di Vista del sito Microsoft è solamente al quarto posto. Almeno per ora si può presumere che i risultati di Bing non abbiano la tendenza a privilegiare le pagine di Microsoft.

Bing non è un prodotto innovativo, è semplicemente un altro motore di ricerca generalista. Resta il dubbio se nel 2009 con il fiorire di motori specifici come TinEye e Wolfram | Alpha avessimo bisogno di un altro motore di questo tipo.

Cos’hanno in comune malware e spam? Molto più di quello che una persona non del settore possa immaginare.

Innanzi tutto, alcune premesse doverose. Per quanto difficile da credere, lo spam rende soldi a chi lo gestisce. Il fatto stesso che continui ad esistere significa che è una pratica conveniente. Lo spam non è opera di un ragazzino solitario, ma è un’azione coordinata portata avanti da organizzazioni malavitose. Il malware non è più il virus scritto dall’universitario per noia o per goliardia, ma è un programma che ha il preciso e deliberato scopo di assumere il controllo di un computer o carpirne i dati (o entrambi).

Se è vero che molti computer casalinghi non hanno veramente nulla da nascondere al mondo (onestamente, le foto delle vostre vacanze e dei vostri compleanni non interessano a terzi), parimenti il mondo della malavita organizzata non ha interesse alle foto delle vostre vacanze. Ciò che fa gola del vostro computer è la sua connessione permanente a Internet, ovvero la vostra banda.

Il malware di ultima generazione fa di tutto per non essere scoperto dall’utente, se ne sta zitto zitto in un angolino del vostro computer e sfrutta la banda o la capacità di calcolo della vittima per scopi non esattamente ragolari quali, a titolo di esempio:

• attacchi distribuiti di denial of service;
• attacchi per tentare di indovinare le password di sistemi protetti;
• scansioni di blocchi di indirizzi per vedere se ci sono servizi da attaccare;
• invio di spam, magari pescando degli indirizzi anche dalle vostre rubriche o dalla cache del vostro browser;
• crack di sistemi CAPTCHA;
• server di distribuzione di materiale illegale (software, musica, film).

Possono passare mesi prima che ci si accorga di essere stati infettati da qualche malware e durante quel periodo potreste aver contribuito ad inviare migliaia di mail di spam: riflettete su questo la prossima volta che considerate l’antivirus o l’aggiornamento del medesimo una scocciatura.

Il panorama dei motori di ricerca si amplia di nuovo con una matricola assai importante. Wolfram Alpha è il motore di ricerca sviluppato con gli algoritmi di Mathematica, uno dei più longevi programmi della storia dell’informatica moderna (ok, Hello World è fuori concorso).

Alcune recensioni sul Wolfram Alpha sono già apparse, il servizio partirà questa sera alle 19:00 CST (la Wolfram Research è dell’Illinois). Per pura fortuna ho provato poco fa a fare delle query e sono riuscito ad ottenere dei risultati prima che chiudessero di nuovo l’accesso.

Ho provato per prima cosa a cercare «Italy» (risultato) e il motore mi ha indicato il nome completo della Repubblica (in italiano e in inglese), il codice Internet, la posizione e alcuni dati statistici. Una sorta di breve rapporto per capire in due occhiate che tipo di Stato sia l’Italia. Cercando «Italy France» appaiono gli stessi risultati, messi gli uni a fianco degli altri, in modo da poter confrontare velocemente i due Stati.

Ho cercato «Star Trek» (risultato) ed è uscita la scheda dell’ultimo film, con i link per le schede degli altri film; nessun riferimeno alla serie televisiva.

Cercando «antimatter» esce una succinta definizione del termine senza altri dettagli.

La ricerca di «Hypertrek» non dà (ancora) nessun risultato.

Per quel che ho potuto provare e quel poco che ho letto, Wolfram Alpha non è un motore di ricerca omnicomprensivo come potrebbero essere Google o Yahoo!, ma è un sistema per avere delle risposte ai quesiti; per certi versi si avvicina più alla Wikipedia, quando i dati richiesti sono di tipo enciclopedico, ma offre anche notevoli risposte matematiche di non poco aiuto, come ad esempio una completa analisi di una funzione.

Il Garante per la protezione dei dati personali ha stabilito che dovranno sparire i nomi commerciali dei farmaci dagli scontrini parlanti per essere sostituiti dal codice AIC.

È un’iniziativa certo lodevole mirata a tutelare la privacy dei dati medici nei confronti di terzi che dovessero elaborare le nostre dichiarazioni dei redditi, ma c’è un piccolo problema.

Prendiamo un farmaco comune e noto a tutti: l’Aspirina Bayer in confezione da 20 compresse per adulti. Sull’astuccio è ben visibile il talloncino adesivo con il nome commerciale del farmaco, la presentazione, il produttore, il codice AIC (Autorizzazione all’Immissione in Commercio) e un codice che identifica univocamente la confezione che ho acquistato (quello verticale sulla destra nell’immagine).

Secondo il Garante nello scontrino, al posto della dicitura “Aspirina 20 compresse adulti” dovrà apparire “A004763037″ in questo modo il commercialista non dovrebbe sapere che io ho acquistato un’Aspirina, ma l’Agenzia delle Entrate sa che a quel codice corrisponde quel determinato farmaco, visto che il codice AIC identifica in modo univoco ogni confezione farmaceutica in commercio in Italia.

Ma cosa succede se cerco su Google il codice AIC dell’Aspirina? Strano a dirsi, trovo circa 159 occorrenze che legano “004763037″ all’Aspirina. Probabilmente per farmaci molto verticali non ci saranno così tante occorrenze, ma la codifica AIC è una corrispondenza 1:1 tra un codice e la presentazione di un farmaco la cui codifica è tutto fuorché segreta.

Ci troviamo davanti ad un caso di finta privacy: mentre in altri casi la legge vieta il trasferimento di dati a terzi, in questo caso i dati vengono trasferiti, in un’altra forma leggermente offuscata, ma vengono trasferiti. La sicurezza informatica insegna che la pratica della security through obscurity serve a poco e, anzi, fornisce un falsa sicurezza a chi la mette in pratica.

In conclusione, i dati sullo scontrino del farmacista non saranno riservati del tutto, ma saranno difficilmente decodificabili a prima vista da un osservatore occasionale. C’è una bella differenza.

Ovviamente sono andato a vedere l’ultimo film di Star Trek, ma ho aspettato un giorno e mezzo per poter digerire la visione prima di scrivere qualcosa.

JJ Abrams è un uomo di marketing dello show biz, l’ha dimostrato in varie occasioni ed è un furbacchione. Fino a un mese dal lancio del film ha spergiurato che non fosse un reboot della serie per avere il consenso dei fan più convinti (gli unici che pendevano dalla sue labbra da un anno e mezzo), che saranno pure dei rompicoglioni, ma sono anche quelli che tengono vivo il franchise con la partecipazione alle convention o con l’acquisto di merchandise spesso di pessimo gusto, ma tant’è: al cuor non si comanda.

Ad un mese dal lancio, JJ ha cambiato registro perché doveva rivolgersi a quanta più gente possibile e ha scoperto le carte. Un vero maestro della comunicazione, non c’è che dire: in altre epoche avrebbe avuto un posto di rilievo in un regime totalitario. Ma basta parlare di JJ.

Il film è simile a tanti altri del suo periodo, troppo simile. È spettacolare, scenografico, ci sono gli effetti della ILM, un combattimento con le spade, un vecchio saggio con le orecchie a punta, un pianeta di ghiaccio con dei mostri e una base… Dove ho già visto tutte queste cose in un film? Fosse stato girato qualche anno prima, avremmo avuto decine di scene in bullet time, ora abbiamo due ore di finti lens flare, anche quando non c’è nessuna sorgente luminosa che possa provocarli, ma tanto sono aggiunti in digitale.

Non si può dire che sia un brutto film, ma manca l’essenza di Star Trek. Mancano i messaggi al di là della spettacolarità, mancano i personaggi che non siano le caricature di quelli della Serie Classica, manca soprattutto uno spirito di corpo tra i marinai dell’Enterprise, che in questo film vanno d’accordo quasi solamente quando si baciano. Certo, non si può pretendere profondità da un film i cui dialoghi a volte sfiorano l’idiozia: «Io sono sulla navetta, tu no» «Io sono sull’astronave, non sono sulla navetta» «Ma tu dovresti essere sulla navetta non sull’astronave» «Invece sono sull’astronave e tu è bene che resti sulla navetta» «Ma se tu resti sull’astronave, non potrai più essere sulla navetta!» «Sono sull’astronave perché il mio posto è qui» (manco fosse una canzone dei Pooh). L’avevamo capito da subito che una era sulla navetta e l’altro sull’astronave senza bisogno che ce lo dicessero i dialoghi; dopo la seconda battuta in molti hanno sperato che Nero sparasse un siluro alla navetta per porre fine a questo strazio di dialogo. Purtroppo il nemico anche questa volta è un incapace, probabilmente è una clausola contrattuale. In undici film di Star Trek ci sono stati probabilmente tre cattivi decenti (V’ger, Khaaaaaaan e Gorkon Chang), forse è il tristo fato dei film della serie.

Molti si sono entusiasmati per le citazioni di altri film (altra moda del momento: i film che citano gli altri, praticamente dei patchwork cinematografici), ma Star Trek ci aveva abituato ed essere la fonte ciò che veniva citato per la profondità dei temi, peccato.

Quarant’anni fa Star Trek è stato ciò che, in un panorama di telefilm di pura azione, ha trattato lo spettatore da essere senziente; vent’anni dopo il franchise è riuscito in un’altra missione simile perché aveva ancora molto da dire a chi stava ad ascoltare. Evidentemente adesso Star Trek non riesce più in questa missione e lascia, fatalmente, lo spazio ad altri perché, come in biologia, se si lascia un vuoto, altri lo riempiono.

BestActEver.com pubblica la scansione di un articolo del New York Times del 13 giugno 1897 (via BoingBoing) di cui riproduco a lato l’incipit.

Chi segue la cronaca dell’attività conto la pirateria troverà certamente una certa familiarità nei toni di questo articolo. Una volta sostituiti i termini Canadian pirates con Chinese pirates o P2P file sharing e the mails con the Internet abbiamo quello che può essere un articolo o un comunicato stampa dei giorni nostri.

Però molti rappresentanti delle organizzazioni che raggruppano i danneggiati dallo scambio illegale di file via Internet sostengono che è stato proprio il file sharing di Internet l’inizio della pirateria che li ha danneggiati.

L’articolo riportato in questo post dimostra quello che le associazioni sopra citate tendono a dimenticare: la pirateria c’è sempre stata ed è quasi endemica nel mercato delle opere d’ingegno. Ovviamente le attività illegali vanno perseguite a norma di legge, ma senza demonizzare Internet o i protocolli come BitTorrent in senso assoluto o senza trasferire agli ISP i compiti, i doveri e le garanzie delle autorità competenti.

Riprendo di nuovo il tema degli errori, dopo averne parlato la scorsa estate.

Una buona diagnostica degli errori è fondamentale per qualsiasi linguaggio di programmazione, ma nel caso di linguaggi per il web molti dettagli dovrebbero essere tenuti abbastanza nascosti agli utenti quando la procedura va in produzione.

Un esempio tipico è il verificarsi di un problema di connessione al database che impedisce il caricamento dei contenuti di un sito. Per capire cosa sto dicendo provate a cercare su Google la stiringa warning mysql_connect “access denied for user” “using password”; se andate un po’ in là nei risultati cominciate a trovare non più le pagine che descrivono questo errore, ma i siti in cui si verifica questo errore. La visualizzazione sulla pagina del client di questa diagnostica è abbastanza pericolosa perché può rivelare informazioni utili per eventuali attacchi al sito. Ecco due esempi di diagnostica consegnata al browser del visitatore:

Warning: mysql_connect() [function.mysql-connect]: Access denied for user ‘festival’@'localhost’ (using password: YES) in /home/www/if/old/functions.php on line 86

Microsoft OLE DB Provider for SQL Server error ‘80040e4d’ Login failed for user ‘mediamanager’. /V1/Playlist.asx, line 30

Nella prima diagnostica non solo diciamo a tutto il mondo che stiamo utilizzando MySQL, ma riveliamo il nome dell’utente con cui ci connettiamo al database e il path assoluto dei file nel sito web; in questo modo un attaccante che vuole leggere, ad esempio, il file /etc/passwd sa che il path relativo a functions.php è ../../../../../etc/passwd

Se il server HTTP e il linguaggio utilizzato lo prevedono (e di solito lo prevedono), la prima azione da intraprendere è ovviamente la disabilitazione dell’invio di ogni tipo di messaggio al client, limitandosi a tenere un log locale degli errori.

Dal momento che, come nel primo esempio, l’apertura della connessione al server SQL avviene solitamente in un solo punto del programma, per evitare questo tipo di problema è sufficiente testare il valore ritornato dalla funzione di connessione e, in caso di errore, visualizzare una pagina di cortesia in cui si dice che il sito è temporaneamente in manutenzione o qualcosa del genere. Attenzione a mettere la diagnostica dettagliata dell’errore tra commenti HTML come fa, per esempio, Flickr perché non sono l’unico io ad andare a vedere il sorgente HTML di questo tipo di pagine…