Entries Tagged 'informatica' ↓

In quanti, tra i non addetti ai lavori o coinvolti per fatti personali sanno che cos’è?

È il nome della bacheca o asta di legno o similare collocata all’interno (di solito presso l’ingresso) di alcuni enti in cui si pubblicano gli atti che, in base alle leggi e ai regolamenti vigenti, ottengono la pubblicità legale a cui è legata la loro validità. Esempio banale: le pubblicazioni di matrimonio, che restano all’albo per una settimana.

Confesso che la prima volta che me ne hanno parlato (sei anni fa) per motivi di lavoro mi sono balenate in testa immagini di fasci littori, toghe romane e assimilati.

Ex lege 69 del 18/6/2009 “dal 1 gennaio 2010 gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati” e “a decorrere dal 1º gennaio 2010 e, nei casi di cui al comma 2, dal 1º gennaio 2013, le pubblicazioni effettuate in forma cartacea non hanno effetto di pubblicità legale” (articolo 32, il termine del 2010 è stato prorogato di sei mesi per due volte)

In pratica ora l’Albo Pretorio e’ online. Lo sapevate?

Sapete che, teoricamente, dal primo gennaio tutti gli atti del vostro comune che interessano la vostra vita e dei vostri concittadini sono (o dovrebbero essere) consultabili online?

Se il vostro comune non ha ancora provveduto, provate a chiedere all’ufficio del Segretario Comunale perché non l’ha ancora fatto.

E magari mettete tra i siti da visitare periodicamente quello dell’Albo Pretorio online del vostro comune. Del resto sono anche soldi vostri.

La mia posizione sui DRM l’ho più volte detta e ripetuta: sono contrario senza alcun appello. Questa tecnologia di protezione si basa sul fatto che un’operazione matematica sia lunga (mesi, anni) da eseguire se non si conoscono alcuni dati, ma il caso dell’HDCP dovrebbe insegnare qualcosa.

Silvio ha chiarito molto bene quali siano i problemi dei libri protetti da DRM, che i potrebbero riassumere in “non si possono utilizzare come i libri”.

Da noi gli eBook sono più comuni di alcuni Paesi europei, checché ne dicano i soliti mugugnatori che vedono sempre l’Italia dietro tutti gli altri. Come in ogni nuova tecnologia, arrivano prima i piccoli e i pesi massimi seguono con la loro forza, la loro arroganza e anche con la loro stupidità (IOL, VOL… ricordate?).

Sembra quasi che qualcuno voglia deliberatamente rallentare l’avanzata degli eBook con lo scopo di mantenere una posizione di privilegio che sta scricchiolando rumorosamente offrendo dei prodotti implicitamente difettosi per usarli come argomento a supporto delle proprie tesi.

Prendiamo la frase “la carta è destinata a sparire”, dove la si legge nella stragrande maggioranza dei casi? Negli articoli di chi confuta questa affermazione attribuita a chissà chi. In realtà chi ha adottato gli eBook, in parte o in toto, non ha più interesse verso la polpa di alberi morti: semplicemente non costituisce più un problema e il suo destino riveste poco interesse.

Quando, alla fine del 1994, stavamo (io e relativamente poche altre persone) iniziando a lavorare con Internet non avremmo potuto certo prevedere cose come Internet Explorer, Mac OSX, Google, gli smartphone, ICQ, la fibra ottica in casa, YouTube, Napster, Skype… Eravamo lì con i telefoni ETACS grossi come mattoni che manco mandavano gli SMS, Trumpet Winsock, i modem a 28.8 e Windows 3.11 for Workgroup su un 486 sfigato. E la maggior parte delle previsioni del periodo hanno mancato il bersaglio peggio di uno stormtrooper imperiale (Altavista della grande Digital: morti stecchiti entrambi da lì a poco tempo).

È vero che è difficile far previsioni, specialmente quando si parla del futuro, ma è pur vero che le previsioni tipo “il trend costante verrà mantenuto” (o similari) sono altrettanto ridicole. Gli editori stanno scendendo in campo con gran squilli di trombe, che, loro sperano, dovrebbero coprire le urla di rabbia di chi inizierà a scottarsi con i DRM: “Ha aggiornato il firmware del telefono e ha perso tutti i suoi libri? Eh, mi dispiace, ma doveva fare prima un’esportazione delle chiavi, poi l’aggiornamento, poi l’importazione, poi la validazione, poi… [CLICK!]“.

Molti si stanno chiedendo come sarà il 2011 (più in là non azzardano, ma non per i Maya). Il futuro siamo noi consumatori a costruirlo e una cosa è certa: ogni acquisto di prodotti coperti da DRM è un voto a favore del DRM, quindi pensateci bene. Se volete regalare un libro elettronico, magari val la pena iniziare da chi non tratta l’acquirente come un ladro. È un sacrificio? Certamente! Ma ne potrebbe valere la pena.

Il caso e-stonia del 2007 sembrava essere il più eclatante e forse lo è ancora per la sfrontatezza con cui l’attaccante ha colpito e inginocchiato una repubblica sovrana in poche ore.

Ma gli eventi degli ultimi giorni legati a Stuxnet fanno tornare alla mente di nuovo alcuni scenari fantascientifici o cyberpunk di attacchi informatici.

Se è vero anche solamente in parte quello che riporta DEBKA, l’attacco ha colpito il bersaglio in pieno. Il mio sospetto è che non ci sia stato ancora nessuno che si sia offerto volontario per andare a risolvere il problema degli Iraniani perché ci potrebbe essere il rischio concreto che il viaggio per Tehran sia di sola andata o abbia comunque un ritorno… difficoltoso.

Spiace dirlo, ma credo che qui ci si trovi davanti ad un altro caso di LASER in mano agli antichi Romani, ovvero di persone che maneggiano una tecnologia di cui non conoscono esattamente le caratteristiche.

Mi sono trovato più volte in un’organizzazione (alcune volte di produzione, per giunta) con qualche centinaio di PC attaccati contemporaneamente dal medesimo virus, anche se, probabilmente, non complesso come Stuxnet, ma altrettanto virulento. In tutti i casi è stata fondamentale la cooperazione del management (o chi per esso) e degli utenti. Con il management vengono decise le linee d’azione e gli eventuali piani di backup, gli utenti rispettano le direttive (perché loro stessi hanno un’idea, seppur vaga, di cosa sia un virus) e il gruppo di azione riesce ad intervenire e a bonificare i computer.

Nel caso iraniano la situazione è molto complessa, vuoi per il contesto (non è rilassante avere un militare imbufalito alle spalle mentre cerchi di debellare un’infezione informatica), vuoi per il fatto che probabilmente non esiste l’infrastruttura tipica di un’azienda (backup, firewall, ridondanze, swtich con capacità di routing, amministrazione centralizzata di account e aggiornamenti, disaster recovery plan) vuoi per il fatto che ci possono essere degli utenti che non hanno la familiarità tipica di una persona occidentale, senza, per questo, voler dare alcun giudizio generico di merito.

Sto cambiando auto, la qual cosa da sola mi procura fastidio, ma di questo darò forse conto in un altro post.

Nell’ambito di questo travaglio ho dovuto firmare e timbrare una quantità letteralmente incredibile di fogli, molti dei quali utili solamente a giustificare una burocrazia autoreferenziale. Ma transeat.

La quasi totalità dei documenti che ho firmato o consegnato sono passati tramite una mail: quelli che ho firmato di pugno sono stati inviati via PDF, stampati e firmati. I documenti che ho inviato io li ho passati allo scanner, convertiti in PDF e inviati via email.

Noi lombardi assieme a, credo, i connazionali della Sicilia abbiamo in tasca la CRS che potrebbe contenere dei certificati per la firma digitale “forte” e le aziende sono dotate ex lege della PEC, che, in alcuni casi, può essere fornita assieme ad un token per la firma digitale “forte” (smart card, chiavetta USB).

Più volte ho proposto ai vari interlocutori di firmare digitalmente i PDF al posto di firmarli in modo chirografo, ma ho ricevuto sempre reazioni tra la negazione totale e la sorpresa. Avessi proposto una firma quantica basata sul mio DNA o un’altra technobabble simile forse non avrei avuto una reazione simile.

Allo stesso modo alcuni interlocutori mi hanno chiesto di inviare via mail scansioni di documenti vari, ma nessuno ha accennato alla possibilità di riceverli tramite PEC o accompagnati da una firma digitale di qualsiasi tipo.

Rispetto a qualche anno fa, sono stati fatti indubbiamente molti passi avanti; tuttavia credo che sia il momento di iniziare ad utilizzare gli algoritmi di firma digitale, quantomeno per sostituire le firme chirografe meno importanti o meno vincolanti dal punto di vista legale e vedere l’effetto che fa.

Su segnalazione del blog di Karanbir Singh, ho scaricato la beta della Red Hat 6.0; Karanbir ha scritto le sue prime impressioni sui package della nuova versione, scrivo qui di seguito le mie, dopo aver installato il sistema operativo in una macchina virtuale di vmware workstation.

La scelta dei device di installazione durante il setup è molto variegata e denota evidentemente un’attenzione agli ambienti enterprise: vengono supportati nativamente molti tipi di ambienti SAN e di soluzioni RAID.

Anche la scelta della partizione di installazione è molto più variegata della versione precedente e include la possibilità di ridurre lo spazio di una partizione esistente; non posso però verificare questa funzione durante questo test, quindi seleziono la definizione personalizzata delle partizioni, in cui il default è ext4. Creo una partizione boot, una swap e il resto sotto il root file system. Noto che è stata aggiunta una finestra che avvisa quando i dati delle partizioni stanno per essere fisicamente scritti sul disco.

Anche la scelta dei pacchetti di installazione rivela un’attenzione più agli ambienti enterprise che allo smanettone casalingo, pur non tralasciandone le necessità. Apprezzo molto la razionalizzazione dei gruppi di pacchetti, più orientata alle funzionalità dei programmi, molto più razionale della versione precedente.

Non so se sia a causa della beta, ma in questa versione la dipendenza dei pacchetti non è ancora stata definita, quindi se non si definiscono esplicitamente i pacchetti, questi non vengono installati, anche se sono stati selezionati dei pacchetti “dipendenti” (in poche parole, se selezionate gnome, ricordatevi di selezionare anche X Windows, altrimenti non funziona nulla).

Due differenze con la vecchia versione al termine dell’installazione: è ora obbligatorio creare un utente (ottimo, non si lavora come root) e selinux è abilitato per default in modo enforcing. Per disabilitare selinux basta editare

Le impressioni di lavoro in produzione sono difficili da dare su una beta appena uscita, mi limito, quindi, a fornire un elenco di verisoni di programmi distribuiti, che saranno, probabilmente, quelle con cui dovremo lavorare nei prossimi anni, se decideremo per Red Hat o CentOS:

• Apache 2.2
• PHP 5.3
• Postfix 2.6 (finalmente il default al posto di sendmail)
• MySQL 5.1
• Postgresql 8.4
• OpenOffice 3.1
• Thunderbird 3.0
• Firefox 3.5
• Samba 3.4

Un cliente ha acquistato un server nuovo un HP ProLiant ML150 G6 con Windows 2008 R2 per aggiornare il suo vecchio server. Sembrava una passeggiata, visto che Windows 2008 è fuori da tempo e HP, seguendo le orme di Compaq, fornisce un CD (SmartStart o Easy Setup, a seconda dai modelli) per l’installazione guidata.

Povero illuso.

Il CD di Easy Setup 1.0 fornito con il server non supporta Windows 2008 R2 x64 Microsoft OEM, decido quindi di provare a scaricare la versione 2.0 (500 Mb), ma nemmeno quella supporta questa versione di Windows.

Scarico, quindi, i driver del controller (Smart Array B110i), il setup di Windows me li carica correttamente, mi lascia creare una partizione, me la lascia formattare, ma al momento di avviare il setup, il programma dice di non riuscire a trovare alcun disco o alcuna partizione utilizzabile. Notare che è il medesimo programma che ha appena creato e formattato la partizione. C’è qualcosa di molto strano.

Sconsolato, mi rivolgo al supporto HP, da cui apprendo che, dal momento che i dischi e il lettore DVD del server sono gestiti dal medesimo controller, il setup di Windows 2008 si incasina: devo installare da chiavetta USB utilizzando il Windows 7 USB/DVD Download Tool, che, nonostante il nome, va bene anche per Windows 2008. Ringrazio e mi armo di tanta pazienza per seguire la procedura indicata, fortuna che ho con me due chiavette da 4 Gb e il fido portatile.

Scarico l’utility indicata, tento di installarla ma necessita delle Microsoft Image Mastering API v2; scarico anche quelle, le installo, ma hanno bisogno del reboot. E vabbè, riavviamo.

Installo e avvio il Windows 7 usb/dvd download tool ma scopro che l’utility non legge il DVD, ma vuole un’immagine ISO. Creo, quindi, l’immagine ISO del DVD con un programma esterno e la do in pasto all’utility, che la accetta, formatta la chiavetta e copia i file di installazione. Teniamo presente che l’immagine ISO sono 3 Gb, che sono stati prima trasferiti dal lettore DVD e poi ritrasferiti sulla chiavetta USB. Ci vuole un po’ di tempo per fare tutto ciò.

Alla fine della creazione della chiavetta di boot l’utility dice che la copia è terminata, ma non le è possibile aggiornare il boot record della chiavetta perché non trova l’utility BOOTSECT.EXE. Dirlo prima di un’ora di copia dei file no, eh? Maledetti…

A quanto pare, BOOTSECT.EXE può essere facilmente scaricato dal sito Microsoft utilizzando le medesime credenziali con cui si accede all’area di download per scaricare l’ISO di installazione di Windows. Peccato che io non sia in possesso di quelle credenziali perché l’ISO l’ho creato dal DVD, non l’ho scaricato dal loro sito. Ma non è un problema perché ci sono sempre delle fonti alternative.

Una volta ottenuto BOOTSECT.EXE, secondo le istruzioni di Microsoft avrei dovuto copiarlo in una directory particolare e rilanciare la creazione della chiavetta (un’altra ora di non-lavoro). Dopo qualche tentativo ho divinato la command line giusta per creare il boot sector della chiavetta: bootsect.exe /nt60 x:

Fatto ciò, il percorso è oramai in discesa: una volta copiati sulla chiavetta i driver del controller, l’installazione di Windows è andata via come un olio.

Dopotutto, non era così difficile!

La notizia: il motore di ricerca cinese Baidu ha bloccato le ricerche con parole chiave che hanno a che fare con il terremoto appena verificatosi nella regione del Qinghai che ha provocato, per ora, 400 vittime e 8.000 feriti.

Il contrasto con altri motori di ricerca occidentali è stridente: noi utilizziamo i motori di ricerca quando abbiamo bisogno di notizie, un esempio è l’analisi compiuta da Google trends (già Google zeitgeist). Limitare le ricerche proprio nel momento in cui sono più utili è un’azione che non ha certo bisogno di commenti.

Internet non è un brutto babau in cui non vigono regole, come ha scritto un giudice italiano (signor giudice, cosa ne pensa degli stadi italiani?). È un posto con delle regole differenti, che possono confondere chi si ostina a non volerle comprendere e insiste nel voler applicare paradigmi dello scorso millennio ad una tecnologia nuova. Internet è uno strumento in cui “pluralità d’informazione” non significa poter leggere sia il Corsera, sia la Repubblica, ma poter leggere il Guardian, Al Jazeera, il NY Times, El País, la FAZ, e Haaretz, farsi una propria idea di cosa stia succedendo e magari concludere facendosi due risate con il Sun e la Bild.

Possa questa pluralità avere vita lunga e prospera, ma stiamoci attenti.

C’era una volta un’informatica in cui il costo per byte sia della RAM sia dei sistemi di memorizzazione era notevole. In quell’informatica di una volta i programmatori facevano di tutto per risparmiare anche un singolo byte nei database, ben sapendo che un singolo byte moltiplicato per il numero di record aveva un peso notevole.

L’informatica è cambiata, i costi per byte sono diminuiti e la potenza dei motori di database è aumentata in maniera quasi esponenziale: immaginate solo il lavoro per fare una FULL OUTER JOIN o una semplice UNION con dBase III.

Purtroppo ci sono ancora aziende la cui anagrafica articoli è ferma a metà degli anni ‘90 del secolo scorso, con anagrafiche articoli esposte al pubblico di relativamente pochi caratteri.

Prendiamo, ad esempio, una nota ditta di produzione software il cui quartier generale sta dalla parti di Redmond, WA. Questa simpatica ditta ha descrizioni del tipo

Small Bus Svr Prem 2008 w/SP2 1PK DVD 1-4CPU 5 Clt EN OEM

WHAT?! Questi erano gli stessi che si facevano beffe dell’IBM il cui sistema operativo OS/400 aveva comandi onestamente alieni, tipo WRKACTJ per l’elenco dei processi attivi sul sistema o PWRDWNSYS per fare uno shutdown. Andiamo a pagina 46 e leggiamo la soluzione di quell’appendice alla pagina della sfinge della descrizione: Windows Small Business Server 2008 Premium con Service Pack 2; confezione da 1 DVD; licenza per 1-4 CPU; con 5 licenze client, edizione inglese OEM.

E vi risparmio le descrizioni degli articoli utilizzati per i vari schemi di licenza, che sono ancora più criptiche.

È vero che per chi deve lavorare all’interno e vede tutti i giorni quelle descrizioni è molto più facile la versione compressa, ma costa così tanto avere due descrizioni, una interna e l’altra esposta al pubblico?

Interna: SBS Svr Pre 2008 w/SP2 1PK DVD 1-4CPU 5 Clt EN OEM

Esterna: Small Business Server 2008 with SP2, 1 DVD pack, for 1-4 CPU, 5 Clients included, English OEM edition

Nella seconda versione è anche più facile fare delle ricerche su tutto il testo, cosa non indifferente.

Microsoft non è certo l’unica ad abbandonarsi a pratiche simili e chi è senza peccato scagli il primo hard disk: SYMC ENDPOINT PROTECTION SMALL BUSINESS EDITION 12.0 PER USER BNDL COMP UG LIC ESSENTIAL 12 MESI EXPRESS BAND B

Sia chiaro, questo post non è per niente un’istigazione a scialacquare risorse, ma il consiglio ad usarle quando ci sono e servono, tenendo presente che ci sono persone che devono leggere l’anagrafica articoli una volta al mese, o più raramente, e possibilmente senza doversi imparare un inutile sistema di offuscamento delle informazioni.

Per varie ragioni (che non includono solamente il masochismo) voglio portare una procedurina di monitoraggio che ho scritto in Perl sotto Linux in ambiente Windows.

Volendo usare un linguaggio script nativo in ambiente Windows per evitare di installare programmi di qualsiasi tipo sulla macchina da monitorare, decido di usare la PowerShell.

Prima sorpresa: Microsoft distribuisce un (a suo dire) potente interprete di comandi e di script in cui l’esecuzione degli script è bloccata per default. Vabbè, la cosa si risolve creando (o modificando) la chiave di registro HKEY_Local_Machine\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.Powershell\ExecutionPolicy con valore Unrestricted. Benedetta Microsoft!

Ok, gli script ora sono eseguibili.

Veniamo allo scopo del test: creare uno script che prende una variabile data e la invia ad un server tramite HTTP POST (ovvero simulando la compilazione di un form) e recuperare la risposta del server.

Svolgimento in PERL:
$ua = LWP::UserAgent->new;
$req = (POST "http://pippo", ["campo1" => "valore1", "campo2" => "valore2"]);
$risposta = $ua->request($req);

Svolgimento in PowerShell:
[Reflection.Assembly]::LoadFile(’C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Web.dll’) | out-null
$postData = ‘campo1=valore1&campo2=valore2′
$buffer = [text.encoding]::ascii.getbytes($postData)
[net.httpWebRequest] $req = [net.webRequest]::create(’http://pippo’)
$req.method = “POST”
$req.ContentType = “application/x-www-form-urlencoded”
$req.ContentLength = $buffer.length
$req.TimeOut = 5000
$reqst = $req.getRequestStream()
$reqst.write($buffer, 0, $buffer.length)
$reqst.flush()
$reqst.close()
[net.httpWebResponse] $res = $req.getResponse()
$resst = $res.getResponseStream()
$sr = new-object IO.StreamReader($resst)
$risposta = $sr.ReadToEnd()

E per fortuna che è una shell power!!!

Il titolo è volutamente provocatorio e l’antagonismo ideologico tra le major dell’informatica non è l’oggetto di questo post, che è un esercizio teorico basato su un fatto di cronaca.

Recentemente c’è stato un attacco coordinato proveniente dalla Cina contro il servizio di posta elettronica di Google. L’attacco sarebbe stato coordinato attraverso dei computer controllati tramite il protocollo Aurora, la cui analisi ne rivela la complessità e fa chiaramente capire che non è stato creato dal solito gruppo di smanettoni cantinari.

Immaginiamo di voler penetrare in un migliaio di account email di Google. Abbiamo sostanzialmente tre vie per farlo: o rubiamo le password agli utenti con vari sistemi (social engineering, accessi fisici ai loro computer, intercettazioni ambientali), o tentiamo di accedere utilizzando password generate più o meno casualmente, o troviamo un buco nella sicurezza dei sistemi di BigG.

Il primo sistema è rischioso, costoso e anche poco efficace, specialmente se le vittime dell’attacco sono preparate dal punto di vista informatico e utilizzano computer diversi per collegarsi. Senza contare che il crivello antispam di Google potrebbe eliminare i messaggi di phishing. Da ultimo, se lo spionaggio venisse scoperto potrebbe compromettere tutta l’operazione. No buono.

Tentare sistematicamente le password è fuori discussione per vari motivi. Innanzi tutto i sistemi di Google sono ben preparati per riconoscere e bloccare questi tentativi; inoltre, in caso di ripetuti tentativi di login non autorizzato, si corre il rischio che l’utente vittima dell’attacco venga avvisato dei tentativi da parte dei sistemi automatici del gestore. Anche se tutte queste limitazioni non esistessero, sarebbe comunque un tentativo che richiederebbe tempo e risorse. Per avere un’idea, utilizzando i soli caratteri scrivibili attraverso una tastiera USA modificati usando solamente il tasto maiuscola (per i tecnici: il set ASCII stampabile), con una password di 10 caratteri le combinazioni sarebbero 95^10. Con il set ASCII-esteso si aggiungono 128 caratteri e una password di 10 caratteri ha 223^10 combinazioni. Il tutto senza prendere in considerazione Unicode e il set di ideogrammi cinesi. Tutto quanto per un solo utente, i numeri devono essere moltiplicati per gli utenti da attaccare. Decisamente poco pratico.

La soluzione più praticabile sembrerebbe essere quella di trovare una falla nella protezione del sistema da attaccare, ben sapendo che, una volta trovata un’ipotetica vulnerabilità, il tempo per sfruttarla sarebbe veramente poco. Teniamo presente che non stiamo parlando di sprovveduti, ma di persone molto abili dal punto di vista informatico. Meglio ancora se si dispone di un basista all’interno di Google, anche se non siamo sicuri di poterlo sfruttare: si sa i tecnici parlano tra loro e discutono volentieri dei loro problemi con i colleghi; peccato che, come insegnavano gli Inglesi, loose lips sink ships. I tentativi possono continuare per dei mesi, ma l’attaccante ha dalla sua un numeroso esercito di computer sotto il suo controllo. Possiamo solo immaginare quale sia stata la sorpresa nello scoprire non già un problema di sicurezza, ma una backdoor collocata deliberatamente per permettere l’accesso alle forze dell’ordine americane. Et voilà! Ecco il “baco perfetto”: una backdoor di un sistema che deve esistere ex lege, non si potrebbe chiedere di meglio.

Vero? Falso? Impossibile dirlo per ora. Però non fatevi spedire password di altri sistemi su Gmail. Just in case…