Il titolo è volutamente provocatorio e l’antagonismo ideologico tra le major dell’informatica non è l’oggetto di questo post, che è un esercizio teorico basato su un fatto di cronaca.

Recentemente c’è stato un attacco coordinato proveniente dalla Cina contro il servizio di posta elettronica di Google. L’attacco sarebbe stato coordinato attraverso dei computer controllati tramite il protocollo Aurora, la cui analisi ne rivela la complessità e fa chiaramente capire che non è stato creato dal solito gruppo di smanettoni cantinari.

Immaginiamo di voler penetrare in un migliaio di account email di Google. Abbiamo sostanzialmente tre vie per farlo: o rubiamo le password agli utenti con vari sistemi (social engineering, accessi fisici ai loro computer, intercettazioni ambientali), o tentiamo di accedere utilizzando password generate più o meno casualmente, o troviamo un buco nella sicurezza dei sistemi di BigG.

Il primo sistema è rischioso, costoso e anche poco efficace, specialmente se le vittime dell’attacco sono preparate dal punto di vista informatico e utilizzano computer diversi per collegarsi. Senza contare che il crivello antispam di Google potrebbe eliminare i messaggi di phishing. Da ultimo, se lo spionaggio venisse scoperto potrebbe compromettere tutta l’operazione. No buono.

Tentare sistematicamente le password è fuori discussione per vari motivi. Innanzi tutto i sistemi di Google sono ben preparati per riconoscere e bloccare questi tentativi; inoltre, in caso di ripetuti tentativi di login non autorizzato, si corre il rischio che l’utente vittima dell’attacco venga avvisato dei tentativi da parte dei sistemi automatici del gestore. Anche se tutte queste limitazioni non esistessero, sarebbe comunque un tentativo che richiederebbe tempo e risorse. Per avere un’idea, utilizzando i soli caratteri scrivibili attraverso una tastiera USA modificati usando solamente il tasto maiuscola (per i tecnici: il set ASCII stampabile), con una password di 10 caratteri le combinazioni sarebbero 95^10. Con il set ASCII-esteso si aggiungono 128 caratteri e una password di 10 caratteri ha 223^10 combinazioni. Il tutto senza prendere in considerazione Unicode e il set di ideogrammi cinesi. Tutto quanto per un solo utente, i numeri devono essere moltiplicati per gli utenti da attaccare. Decisamente poco pratico.

La soluzione più praticabile sembrerebbe essere quella di trovare una falla nella protezione del sistema da attaccare, ben sapendo che, una volta trovata un’ipotetica vulnerabilità, il tempo per sfruttarla sarebbe veramente poco. Teniamo presente che non stiamo parlando di sprovveduti, ma di persone molto abili dal punto di vista informatico. Meglio ancora se si dispone di un basista all’interno di Google, anche se non siamo sicuri di poterlo sfruttare: si sa i tecnici parlano tra loro e discutono volentieri dei loro problemi con i colleghi; peccato che, come insegnavano gli Inglesi, loose lips sink ships. I tentativi possono continuare per dei mesi, ma l’attaccante ha dalla sua un numeroso esercito di computer sotto il suo controllo. Possiamo solo immaginare quale sia stata la sorpresa nello scoprire non già un problema di sicurezza, ma una backdoor collocata deliberatamente per permettere l’accesso alle forze dell’ordine americane. Et voilà! Ecco il “baco perfetto”: una backdoor di un sistema che deve esistere ex lege, non si potrebbe chiedere di meglio.

Vero? Falso? Impossibile dirlo per ora. Però non fatevi spedire password di altri sistemi su Gmail. Just in case…

L’altro ieri è uscita la Release Candidate 2 di Thunderbird 3.0.

Sto utilizzando Thunderbird 3.0 sotto Linux da qualche giorno con ottimi e soddisfacenti risultati. Come è accaduto per la 2.0, anche la RC della 3.0 è utilizzabile per il lavoro quotidiano, anche se credo sia meglio aspettare a darla a tutti gli utenti.

La directory dove Thunderbird registra i dati personali è cambiata. Questo permette di far convivere la versione 2 e la versione 3 senza interferenze reciproche, ma richiede un minimo di smanettamento, in attesa che venga rilasciata la versione definitiva che provvede alla migrazione del profilo. Le nuove directory dei profili sono queste:

Nel caso in cui venga migrato il profilo, la prima volta che veiene esguito Thunderbird parte un background la reindicizzazione dei messaggi. Sul mio Linux dove ho alcune decine di migliaia di messaggi, l’indicizzazione ha richiesto un paio d’ore, ma non ha interferito con la normale attività del programma. Dategli tempo all’inizio se, come me, avete un po’ di messaggi.

Le opzioni, le prestazioni e i report di ricerca dei messaggi sono nettamente migliorati, merito anche del nuovo motore di indicizzazione dei messaggi.

Alcuni plugin non funzionano ancora, altri sono obsoleti. Tra quelli che utilizzo, funzionano Mark All Read Button, Quote Colors, Remove Duplicate Messages (Alternate), Signature Switch e Toolbar Buttons; Enigmail è compatibile, ma nael mio caso ho dovuto reinstallarlo per far apparire l’interfaccia.  Non sono, invece, ancora compatibili Display Mail User Agent, Folderpane Tools, Mail Redirect, Quicktext, Xpunge. Avevo anche un plugin per il cambio veloce del dizionario, la cui funzione è presente anche in Toolbar Buttons. Aggiornamento del 11/12: Folderpane Tools può essere sostituito da Manually sort folders che permette di cambiare manualmente l’ordinamento sia degli account sia delle cartelle. Aggiornamento del 12/12: Quicktext è ora compatibile. Aggiornamento del 15/12: Display Mail User Agent è ora compatibile.

L’avvio con utenze multiple in IMAP è nettamente più veloce della versione precedente. Bisogna fare un po’ di abitudine alla nuova posizione dei pulsanti di risposta, anche se è possibile abilitare la vecchia toolbar attraverso l’assistente della migrazione che si trova nel menu di aiuto.

L’utilizzo dei tab all’inizio sembra un po’ inutile, ma dopo qualche ora si apprezza la nuova opzione di visualizzazione.

Un funzione che potrebbe essere utile è la possibilità di far apparire un reminder con un pulsante per sfogliare il disco quando vengono digitate alcune sequenze come attach, .doc e altre (personalizzabili). Questo dovrebbe servire a ricordare all’utente di allegare dei file.

L’aggiunta di una finestra richiamabile su comando con il log delle attività in corso e appena concluse è un’ottima idea che, finalmente, dovrebbe permettere di avere la risposta alla domanda «Ma cosa sta facendo Thunderbird?». Questa opzione si rivela subito utile durante la reindicizzaizone iniziale delle caselle, in quanto permette di controllare lo stato di avanzamento dell’indicizzaizone.

Da segnalare il fatto che, con alcuni feed RSS non è più possibile visualizzare il contenuto della pagina direttamente da Thunderbird, ma bisogna aprire il link. Devo ancora capire quale sia il nuovo discrimine che causa questo problema. Per esempio,vengono visualizzati correttamente i feed di BoingBoing, Darth Mojo, Engrish, ma non quelli della BBC, fark e Gizmodo.

L’impressione globale è che Thunderbird resti un buon client di email, specialmente se si utilizza il protocollo IMAP.

Aggiornamento del 10 dicembre: ieri è uscita la release 3.0 finale.