Il titolo è volutamente provocatorio e l’antagonismo ideologico tra le major dell’informatica non è l’oggetto di questo post, che è un esercizio teorico basato su un fatto di cronaca.

Recentemente c’è stato un attacco coordinato proveniente dalla Cina contro il servizio di posta elettronica di Google. L’attacco sarebbe stato coordinato attraverso dei computer controllati tramite il protocollo Aurora, la cui analisi ne rivela la complessità e fa chiaramente capire che non è stato creato dal solito gruppo di smanettoni cantinari.

Immaginiamo di voler penetrare in un migliaio di account email di Google. Abbiamo sostanzialmente tre vie per farlo: o rubiamo le password agli utenti con vari sistemi (social engineering, accessi fisici ai loro computer, intercettazioni ambientali), o tentiamo di accedere utilizzando password generate più o meno casualmente, o troviamo un buco nella sicurezza dei sistemi di BigG.

Il primo sistema è rischioso, costoso e anche poco efficace, specialmente se le vittime dell’attacco sono preparate dal punto di vista informatico e utilizzano computer diversi per collegarsi. Senza contare che il crivello antispam di Google potrebbe eliminare i messaggi di phishing. Da ultimo, se lo spionaggio venisse scoperto potrebbe compromettere tutta l’operazione. No buono.

Tentare sistematicamente le password è fuori discussione per vari motivi. Innanzi tutto i sistemi di Google sono ben preparati per riconoscere e bloccare questi tentativi; inoltre, in caso di ripetuti tentativi di login non autorizzato, si corre il rischio che l’utente vittima dell’attacco venga avvisato dei tentativi da parte dei sistemi automatici del gestore. Anche se tutte queste limitazioni non esistessero, sarebbe comunque un tentativo che richiederebbe tempo e risorse. Per avere un’idea, utilizzando i soli caratteri scrivibili attraverso una tastiera USA modificati usando solamente il tasto maiuscola (per i tecnici: il set ASCII stampabile), con una password di 10 caratteri le combinazioni sarebbero 95^10. Con il set ASCII-esteso si aggiungono 128 caratteri e una password di 10 caratteri ha 223^10 combinazioni. Il tutto senza prendere in considerazione Unicode e il set di ideogrammi cinesi. Tutto quanto per un solo utente, i numeri devono essere moltiplicati per gli utenti da attaccare. Decisamente poco pratico.

La soluzione più praticabile sembrerebbe essere quella di trovare una falla nella protezione del sistema da attaccare, ben sapendo che, una volta trovata un’ipotetica vulnerabilità, il tempo per sfruttarla sarebbe veramente poco. Teniamo presente che non stiamo parlando di sprovveduti, ma di persone molto abili dal punto di vista informatico. Meglio ancora se si dispone di un basista all’interno di Google, anche se non siamo sicuri di poterlo sfruttare: si sa i tecnici parlano tra loro e discutono volentieri dei loro problemi con i colleghi; peccato che, come insegnavano gli Inglesi, loose lips sink ships. I tentativi possono continuare per dei mesi, ma l’attaccante ha dalla sua un numeroso esercito di computer sotto il suo controllo. Possiamo solo immaginare quale sia stata la sorpresa nello scoprire non già un problema di sicurezza, ma una backdoor collocata deliberatamente per permettere l’accesso alle forze dell’ordine americane. Et voilà! Ecco il “baco perfetto”: una backdoor di un sistema che deve esistere ex lege, non si potrebbe chiedere di meglio.

Vero? Falso? Impossibile dirlo per ora. Però non fatevi spedire password di altri sistemi su Gmail. Just in case…

L’altro ieri è uscita la Release Candidate 2 di Thunderbird 3.0.

Sto utilizzando Thunderbird 3.0 sotto Linux da qualche giorno con ottimi e soddisfacenti risultati. Come è accaduto per la 2.0, anche la RC della 3.0 è utilizzabile per il lavoro quotidiano, anche se credo sia meglio aspettare a darla a tutti gli utenti.

La directory dove Thunderbird registra i dati personali è cambiata. Questo permette di far convivere la versione 2 e la versione 3 senza interferenze reciproche, ma richiede un minimo di smanettamento, in attesa che venga rilasciata la versione definitiva che provvede alla migrazione del profilo. Le nuove directory dei profili sono queste:

Nel caso in cui venga migrato il profilo, la prima volta che veiene esguito Thunderbird parte un background la reindicizzazione dei messaggi. Sul mio Linux dove ho alcune decine di migliaia di messaggi, l’indicizzazione ha richiesto un paio d’ore, ma non ha interferito con la normale attività del programma. Dategli tempo all’inizio se, come me, avete un po’ di messaggi.

Le opzioni, le prestazioni e i report di ricerca dei messaggi sono nettamente migliorati, merito anche del nuovo motore di indicizzazione dei messaggi.

Alcuni plugin non funzionano ancora, altri sono obsoleti. Tra quelli che utilizzo, funzionano Mark All Read Button, Quote Colors, Remove Duplicate Messages (Alternate), Signature Switch e Toolbar Buttons; Enigmail è compatibile, ma nael mio caso ho dovuto reinstallarlo per far apparire l’interfaccia.  Non sono, invece, ancora compatibili Display Mail User Agent, Folderpane Tools, Mail Redirect, Quicktext, Xpunge. Avevo anche un plugin per il cambio veloce del dizionario, la cui funzione è presente anche in Toolbar Buttons. Aggiornamento del 11/12: Folderpane Tools può essere sostituito da Manually sort folders che permette di cambiare manualmente l’ordinamento sia degli account sia delle cartelle. Aggiornamento del 12/12: Quicktext è ora compatibile. Aggiornamento del 15/12: Display Mail User Agent è ora compatibile.

L’avvio con utenze multiple in IMAP è nettamente più veloce della versione precedente. Bisogna fare un po’ di abitudine alla nuova posizione dei pulsanti di risposta, anche se è possibile abilitare la vecchia toolbar attraverso l’assistente della migrazione che si trova nel menu di aiuto.

L’utilizzo dei tab all’inizio sembra un po’ inutile, ma dopo qualche ora si apprezza la nuova opzione di visualizzazione.

Un funzione che potrebbe essere utile è la possibilità di far apparire un reminder con un pulsante per sfogliare il disco quando vengono digitate alcune sequenze come attach, .doc e altre (personalizzabili). Questo dovrebbe servire a ricordare all’utente di allegare dei file.

L’aggiunta di una finestra richiamabile su comando con il log delle attività in corso e appena concluse è un’ottima idea che, finalmente, dovrebbe permettere di avere la risposta alla domanda «Ma cosa sta facendo Thunderbird?». Questa opzione si rivela subito utile durante la reindicizzaizone iniziale delle caselle, in quanto permette di controllare lo stato di avanzamento dell’indicizzaizone.

Da segnalare il fatto che, con alcuni feed RSS non è più possibile visualizzare il contenuto della pagina direttamente da Thunderbird, ma bisogna aprire il link. Devo ancora capire quale sia il nuovo discrimine che causa questo problema. Per esempio,vengono visualizzati correttamente i feed di BoingBoing, Darth Mojo, Engrish, ma non quelli della BBC, fark e Gizmodo.

L’impressione globale è che Thunderbird resti un buon client di email, specialmente se si utilizza il protocollo IMAP.

Aggiornamento del 10 dicembre: ieri è uscita la release 3.0 finale.

Il commercialista mi ha informato sulle novità delle varie leggi e manovre delle ultime settimane. Tra queste mi salta all’occhio l’obbligo immediato per le nuove aziende e differito per quelle esistenti di dotarsi di un indirizzo di posta elettronica certificata (PEC). I dettagli della legge li potete leggere sul sito del Sole.

La PEC è stata normata in Italia qualche anno fa, quando è stata introdotta una legge che consentiva di diventare fornitori di PEC di fatto solamente alle Poste e alle banche. In quel periodo c’era in ballo anche la PEC per la pubblica amministrazione (PA): ogni ente della PA (comuni, prefetture, regioni…) dovevano avere un indirizzo PEC. Iniziativa lodevole nell’intento, ma abbastanza incasinata nell’implementazione: dal momento che (ipotizziamo) un Comune può avere un solo indirizzo PEC, i dipendenti di quel Comune devono comunque rivolgersi all’addetto della PEC per inviare un messaggio. È facile intuire che lo strumento è poco pratico: tanto vale stampare un documento firmarlo, timbrarlo, imbustarlo e passarlo alla segretaria perché lo smisti. Con buona pace del paperless office.

La PEC sta avendo ancora poco successo e i provider di PEC che hanno speso fior di quattrini per mettere in piedi le strutture previste dalla legge si trovano con pochi clienti.

Ecco che arriva la legge che obbliga tutte le nuove aziende e i professionisti ad avere la PEC. E quando avremo tutti la PEC cosa ce ne faremo? Io e il mio commercialista ci scambiamo già documenti via posta elettronica e ho la ragionevole certezza che le comunicazioni siano legittime e veritiere, anche se nessuno di noi due firma i messaggi con certificati, forti o leggeri che siano.

Mi chiedo come possa servire la PEC alla salumeria o all’officina che apre in zone rurali o montane dove non arrivano né ADSL né UMTS, a parte offrire un appiglio per sanzionare l’azienda in caso di controlli.

Anziché imporre ex lege l’utilizzo della tecnologia, sarebbe stato meglio fare in modo che alle aziende e ai professionisti convenisse utilizzare la PEC, magari partendo dal dialogo con la PA; in questo modo l’azienda o il professionista percepirebbe la dotazione della PEC come infrastruttura necessaria al pari di una linea telefonica o il contratto con il fornitore di energia elettrica, non come l’imposizione di uno strumento inutile.

Il team coordinato da David Ascher ha reso disponibile la prima versione beta “meno che beta” di Thunderbird 3.La versione pubblicata si chiama beta ma non ha dichiaratamente la qualità di una beta.

Molte novità sono, infatti, disabilitate e l’interfaccia a tab è presente, ma non si capisce bene ancora come la si possa sfruttare, sebbene ci siano alcune anteprime promettenti.

Nonostante questi possibili problemi, ho installato la versione Linux sulla medesima Ubuntu 8.10 su cui utilizzo Thunderbird 2 ogni giorno.

Un’altra interessante funzione, le conversazioni, è purtroppo disabilitata e non la si può testare. Questa funzione permetterebbe di visualizzare i messaggi non separati tra posta inviata e posta in arrivo, ma in una sorta di threading simile a quello dei newsgroup. La funzione è molto interessante, specialmente quando il dialogo via mail si ramifica su più fronti.

Altra funzione annunciata, l’integrazione del calendario, non è disponibile. Parimenti, tutti i plugin che ho installato non vengono caricati perché nonsono ancora stati aggiornati, ma è comprensibile perché siamo solamente all’inizio della versione 3 del programma.

L’impressione generale e’ di una maggior velocità rispetto alla versione 2: i miei account IMAP con tanti messaggi si caricano molto più velocemente; parimenti lo spostamento tra messaggi, cartelle e account risulta più sciolto.

Positivi il collocamento di alcuni comandi usati spesso nell’area grigia dell’header del messaggio e l’evidenziazione con una stella gialla a fianco degli indirizzi presenti in rubrica.

Sotto Linux Thunderbird 3 utilizza una cartella di default differente rispetto alla versione 2; a titolo di prova ho fatto trovare a Thunderbird 3 tutti i file del profilo della versione 2. Thunderbird 3 non ha dato problemi e ha caricato e riconosciuto tutte le impostazioni, i plugin e i file di dati della versione precedente senza problema.

Thunderbird 3 beta 1 è praticamente una preview della versione 3. Molte caratteristiche sono disabilitate o non presenti; nonostante ciò, il prodotto è stabile e più veloce della release 2. Thunderbird 3 parte con il piede giusto, in bocca al lupo!