Finalmente il mio ISP si è assestato. Ne racconterei delle belle, ma a caval donato non si guarda in bocca... soprattutto se ha la bocca chiusa. 
Mentre sono piacevolmente busy (leggi meno al computer del solito) per la visita di Beppe, che devo dire porta molta fortuna visto che il tempo si sta mantenendo clemente e le azioni continuano a salire quasi ogni giorno, volevo approfittare per sparare un po' di «link di riflessione»TM su alcuni argomenti:
- L'amico del leopardo, Tre link tutti da leggere:
Due pesi due misure, da cui quoto:
Today will be no exception. The blogosphere will praise Leopard as the next best thing ever and use it as more proof why Vista sucks (It doesn't). Meanwhile, there will be little good said about Microsoft's colossal 2008 fiscal first quarter results. Those people acknowledging the earnings results will blame Microsoft for trying to kill Linux and babies in Africa as reasons for its success. The perception: When Microsoft competes, it cheats.
Arroganza, da cui quoto:
To be honest, there's really only room for mocking everybody else if you're absolutely flawless.
Infine sull'essere flawless, una delle nuove 300 nuove features è il firewall a livello di applicazione. Heise security (thanks Luca!) ha dato un'occhiata al firewall nuovo 'fiammante' ed ha concluso:
The Mac OS X Leopard firewall failed every test. It is not activated by default and, even when activated, it does not behave as expected. Network connections to non-authorised services can still be established and even under the most restrictive setting, "Block all incoming connections," it allows access to system services from the internet. Although the problems and peculiarities described here are not security vulnerabilities in the sense that they can be exploited to break into a Mac, Apple would be well advised to sort them out pronto. Apple is showing here a casual attitude with regard to security questions which strongly recalls that of Microsoft four years ago.
Insomma, un firewall fiammante simile a quello di XP pre-SP2, in pieno rispetto della security by minority. - SPAM:
Via Giovy ho scoperto Hiddy, plugin per wordpress che a quanto pare funziona a meraviglia. Se solo avessi il tempo di "portarlo" sulla piattaforma che uso! Ai lettori utenti di Community Server lì fuori: any help? - TPM:
Per il prossimo post sull'argomento sono ancora nella fase di raccolta bibliografica. Mi piace accompagnare quello che scrivo con link più diretti possibili alle fonti tecniche.
-enjoy
Dopo nove anni (un numero magico a quanto pare) anche Beppe ha varcato la frontiera ammerigana. E ci sono pure le prove!!
Neanche il battesimo - prima uscita in pub - è andato così male:
MWAHAHAHAHAHAHA
Sull "mio" nuovo fiammante Sony Vaio la webcam è l'unica periferica non riconosciuta al volo da Vista (anche il lettore di impronte lo è, ma ormai non mi sorprendo più di tanto). Siccome - coincidenze delle coincidenze - anche il 'donzo proprio due giorni fa parlava di installazione di webcam integrata per l'Asus su Ubuntu, ecco un post che mette a confronto Vaio+Vista con Asus+Ubuntu. Chiaramente, essendo un confronto tra mele ed arance, non mi pronuncio su quale ritengo sia l'elemento di complicazione (decisamente è colpa dell'Asus 
)
È un post scherzoso (anche se le istruzioni sono vere, almeno per quanto io entienda lo spagnolo), dedicato al rilascio del Gibbone, visto che di provare l'ultimo ritrovato tecnologico di Canonical proprio non mi va più, anche se muoio dalla curiosità di sapere se almeno in questa versione i mouse PS2 virtualizzati funzionano.
Vista + Vaio SZ
Installare il driver della webcam per XP
Ignorare il messaggio di warning di PCA
Usare la webcam (sono certo che funziona) | Ubuntu + ASUS A6KM
Aprire una finestra terminale
sudo update-pciids
sudo update-usbids
Verificare che la webcam sia effettivamente quella:
$ lsusb
Bus 005 Device 003: ID 174f:a311 Rimuovere i driver vecchi:
sudo apt-get remove --purge dash
In alcuni casi rimuovere a mano anche le directory:
sudo rm -f /bin/sh
sudo ln -s /bin/bash /bin/sh
Prepararsi a compilare:
sudo apt-get install build-essential bin86 kernel-package \
libqt3-headers libqt3-mt-dev \
libncurses5-dev libusb-dev libsane-dev \
libsane-extras-dev subversion \
exuberant-ctags camorama
sudo apt-get install dpkg-dev debhelper devscripts fakeroot linda dh-make Installare il driver del kernel (uno dei due in base al kernel installato; non chiedetemi come si fa a saperlo):
sudo apt-get install linux-headers-generic
oppure
sudo apt-get install linux-headers-`uname -r`
Creare una directory e compilare (ignorando i warning, che a cosa servano non si capisce):
sudo bash
cd /usr/src
svn co https://syntekdriver.svn.sourceforge.net/svnroot/syntekdriver syntekdriver
cd syntekdriver/trunk/driver/
make driver in caso di errore forzare la seguente procedura:
cp stk11xx.ko /lib/modules/`uname -r`/kernel/drivers/media/video
depmod -a
Lanciare, via ALT+F2, il seguente comando:
gksu gedit /etc/modules
e aggiungere le seguenti righe al file:
videodev
v4l1-compat
stk11xx
lanciare questo comando per flippare eventualmente l'output della webcam:
modprobe stk11xx hflip=0 vflip=1
Testare la webcam col programma preferito (che funzioni non c'è certezza).
Se qualcuno dei passi non dovesse funzionare, spulciatevi il codice; se c'è (forse).
|
Non che installare bitlocker su un laptop col BIOS bacato e l'assistenza tecnica di Sony (sono dei geny(*)) sia una passeggiata. Ma anche lì ce l'ho fatta.
-quack
(*) bitlocker è supportato su tutti i PC Sony con TPM 1.2; però su questo laptop è supportato solo Vista Business che peccato non prevede bitlocker per cui sono stato dirottato al supporto Microsoft. In realtà è bastato aggiornare il BIOS.
In questo post, che segue quello sulla definizione di integrità e 
quello sulla definizione di chain of trust, mi interessa presentare i quattro scenari che rappresentano le paranoie vere, quelle che hanno portato alla definizione del TPM così com'è oggi nella versione 1.2. In un certo senso tali scenari pre-datano l'invenzione del TPM e quindi esistono a priori. L'individuazione di tale scenari porterà (spero) a chiarire due ruoli distinti ma spesso maliziosamente confusi nel tentativo di confutare la bontà di alcuni approcci (tornando all'esempio dei passaporti, qualcuno spesso confonde il ruolo del ministro degli interni con quello del titolare del passaporto). Uno dei quattro scenari l'ho già visto "implementato" (senza TPM e quindi con lacune importanti) nell'ultimo viaggio di lavoro quasi a garanzia che la paranoia è un linguaggio universale e universalmente riconosciuto.
Joe il paranoico (risk management)
La preoccupazione di Joe è il furto del portatile o la violazione dell'integrità del suo sistema. Joe non è un genio dell'informatica e qualsiasi mezzo che possa ridurre tali rischi è ben accetto, in quanto in possesso di informazioni di altissimo valore. In questo scenario proprietario ed utente sono la stessa entità.
Gestione dell'hardware
Il dipartimento IT della Vip&Vip Inc. è molto paranoico per quanto riguarda l'accesso alla rete interna. La soluzione perfetta sarebbe quella di garantire l'accesso alla rete solo a PC di proprietà dell'azienda opportunamente configurati. In questo caso invece proprietario (l'IT di Vip&Vip) e l'utente sono entità disgiunte.
E-commerce
Jeannie lavora con l'azienda Quartz&Tempus che gestisce contrattazioni di titoli in borsa. Sia Jeannie che Q&T sono molto paranoici riguardo la legittimità e la non repudiabilità delle transazioni e per protezione reciproca stanno cercando un protocollo che possa garantire entrambi. In questo scenario proprietario ed utente sono la stessa entità.
Gestione della sicurezza e risposta alle emergenze
Un net-worm imperversa nella rete interna di Vip&Vip e il dipartimento IT vuole dirottare tutti i PC infetti in una subnet con sandbox dove permettere di scaricare le patch necessarie. Il worm è abbastanza evoluto ed in grado di ingannare anche i più sofisticati engine di scansione. In questo caso invece proprietario (l'IT di Vip&Vip) e l'utente sono entità disgiunte.
Due note:
- Altri scenari sono ovviamente possibili, come pure anti-scenari (questa forse l'ho inventata io, ma mi piace la definizione di anti-pattern). Seguirà un post su qualcuno di questi.
- Ho volutamente evitato di spiegare come risolvere i vari problemi con un TPM.
Nel prossimo post finalmente si parla "in codice": ovvero di registri, di algoritmi e protocolli. Cominciando da come implementare il secure boot.
-quack
Technorati Tags:
Trusted Computing
Certe volte - per la realtà - non c'è niente di meglio che ispirarsi alla fantasia.
Attacco Ninja fantasia - (fonte)
Attacco Ninja reale - (fonte)
Mr. Anderson fantasia
Mr. Anderson reale
(sorry no pictures: link)
-'uak
Uno degli argomenti più ostici da affrontare quando si parla di Trusted Computing è la differenza tra i concetti di identità e di integrità. Sebbene strettamente correlati tra loro, non sono la stessa cosa. Prima di addentrarcisi su come funziona tecnicamente il famoso chip Fritz, è necessario chiarire tale distinzione. Lo faccio con una metafora spero banale.
Per viaggiare all'estero verso paesi extra-europei c'è bisogno del passaporto. La foto con i dati anagrafici sul passaporto dicono all'addetto alla frontiera chi siamo. Chi siamo corrisponde alla nostra identità che viene verificata appunto attraverso il matching con la foto sul nostro passaporto. Il fatto che il passaporto sia impossibile da modificare, ossia che sia tamper-proof, rende perfettamente il concetto di integrità del passaporto. Se scopriamo che il passaporto ha la pellicola trasparente manipolata, possiamo essere certi che l'integrità del passaporto è stata violata, anche se la foto sul passaporto (identità) è la stessa. Il guaio è - a voler dare retta a qualcuno - che l'addetto alla frontiera è estremamente interessato all'integrità del passaporto in misura maggiore o uguale all'identità. Anche se io sono certo di essere io al 100%, l'ufficiale alla frontiera non può più avere tale certezza in quanto l'identità senza integrità non serve a molto in una relazione tra entità sconosciute. A completare l'esempio, calzante quasi come un guanto, il fatto che la pellicola trasparente sul passaporto protegge solo una parte sebbene alquanto importante del passaporto stesso: nessuno ci vieta di pasticciare con ghirigori degni di Mirò tutte le restanti pagine del passaporto.
Trasponendo l'esempio nel mondo del trusted computing, la foto (identità) coincide con la password, la smartcard o l'impronta digitale (o meglio ancora una combinazione delle tre); la pellicola trasparente con il secure boot via TPM. Le due cose sono complementari[1] ma purtroppo anche strumenti di identità abbastanza complessi come una smart card o un'impronta digitale sono totalmente inutili per garantire l'integrità. A peggiorare le "cose del software" ed aumentare la paranoia dei tecnofili, un'ulteriore differenza tra l'esempio del passaporto e il mondo software: la scalabilità degli attacchi nel mondo del computing. Se manipolare mille passaporti (entrare nella casa di qualcuno, manipolare, usare e restituire) è mille volte più difficile che manipolarne uno solo, portare a termine un milione di attacchi usando una vulnerabilità 0-day combinata è facile quasi quanto portare a termine un singolo attacco basato sulla stessa vulnerabilità (se la vulnerabilità è "abbastanza buona"). Nella trasposizione dell'esempio, il fatto che possiamo usare le pagine non sigillate del passaporto come vogliamo corrisponde con il fatto che possiamo più o meno lanciare, su una macchina integra, tutti sistemi operativi che vogliamo con tutti i processi che vogliamo, compresi virus e altre schifezze (i menzionati ghirigori): l'unica cosa che non può accadere è che qualcuno modifichi la foto o i dati anagrafici gli elementi importanti per l'integrità del sistema (e questo lo decide il paese che rilascia il passaporto sistema operativo/utente) senza che il titolare se ne possa accorgere.
Un'ulteriore nota sul concetto di integrità. L'integrità è un valore booleano (vero/falso) e non un floating point; non ci sono valori intermedi di integrità (esempio: il sistema è integro al 99.999%). Quanto questo valore interessi il proprietario del sistema è un altro paio di maniche che dipende anche dalla paranoia ma non solo del propetario: se il propetario del sistema è il povero IT manager che deve gestire decine di migliaia di desktop qualsiasi valore inferiore alla certezza matematica potrebbe non avere nessun significato.
Infine un'ultima osservazione: il passaporto tamper-proof è una tecnologia moderna interessante. Come avviene per tutte le tecnologie si possono teoricamente verificare degli abusi. La critica che più va di moda è cosa succederebbe se tutte le pasticcerie del mondo decidessero di vendere bigné solo a cittadini nati in anni dispari che presentano un passaporto tamper-proof alla cassa. È per questo che il gruppo promotore "Mondo senza passaporti", in virtù del fatto che alcuni paesi che rilasciano passaporti sono delle "sanguinarie" dittature, nell'interesse "eventuale futuro" dei diritti dei compratori di bigné ha fatto richiesta presso il "ministero dei passaporti mondiali" che - in base alla pura discrezione del titolare del passaporto - la pellicola trasparente, e quindi anche i dati relativi all'identità, sia facilmente falsificabile; la motivazione ufficiale è "non si sa mai". Non sto scherzando. E pensare che basterebbe smettere di comprare bigné!
Nel prossimo post intendo analizzare quelle che sono le vere paranoie ed entrare nei dettagli tecnici di come il TPM intende risolverle; il secure boot via chain of trust è solo una di quelle.
-quack
[1] Nella realtà è possibile usare - ma è sconsigliato - una delle feature del TPM anche per scopi di identità ma non viceversa (usare la smart card per garantire l'identità)
Technorati tags:
Trusted Computing
Ho ricevuto in questi giorni il mio VOIP adapter di cui ora vado molto, molto fiero. Lo scatolotto qui a fianco è un Linksys PAP2T delle dimensioni di una confezione di sofficini Findus per due, comprato su Voxilla. 
Le mie impressioni sull'oggetto in questione, che supporta due linee telefoniche e quindi due diversi provider VOIP, sono ottime. Se non fosse che il mio provider attuale, justvoip, di proprietà di betamax finge di non supportare il SIP (session initiation protocol, abbastanza standard nel mondo VOIP) ci avrei messo meno di 10 minuti nel configurarlo.
La mia "recensione" si basa sulle esigenze di un residente negli USA di chiamare l'Italia (fisso e mobile) e di fare chiamate fuori distretto negli USA (che le compagnie telefoniche fanno pagare in media quanto una chiamata VOIP USA -> Italia cellulare); e sul fatto che fossi già cliente Betamax e Justvoip nello specifico (tariffe: 0c al minuto per le chiamate agli USA e Italia fisse; 10c al minuto per le chiamate ai cellulari italiani).
Una volta collegato lo scatolotto al router e al telefono, tutto è avenuto in automatico. Lo scatolotto si è preso un indirizzo IP e tramite interfaccia web based sono riuscito a configurarlo. Purtroppo, nonostante riuscisse a loggarsi correttamente presso il server justvoip, non sono riuscito a fare nessuna chiamata in uscita. Cercando in giro ho scoperto che justvoip - a differenza di altri prodotti betamax - non vuole supportare il VOIP arrivando ad usare alcuni stratagemmi per evitare di inoltrare la chiamata. Una prova banale con VOIPSTUNT (presso cui vanto un credito di quattro cent e scoperto grazie al blog di Beppe Grillo!) mi ha dato la certezza finale che non era una questione di parametri, ma semplicemente di provider. La difficoltà successiva è stata quella di impostare il dial plan.
Il dial plan è una specie di regular expression che permette di mappare quello che digitiamo sulla tastiera del telefono a quello che sarà il numero in uscita. La cosa sembra banale ma no lo è in quanto provider diversi hanno regole di composizione del numero telefonico diverse e dipendenti dal paese in cui si trovano. Per esempio per fare una chiamata dalla Svizzera all'Italia bisogna comporre +39... oppure 0039... Se ci si trova in America invece bisogna comporre 01139..., ovvero in America al posto del +/00 si usa 011. Alla fine il dial plan che ho usato è il seguente:
(<1:+1>xxxxxxxxxxS0|<0:+390>xxxxxxxxxS0|<3:+393>xxxxxxxxxS0)
che significa che se il numero comincia per 1 seguito da altre dieci cifre, la chiamata va dirottata in America usando +1 come prefisso (Betamax è localizzata in Europa e quindi usa la convenzione europea). Se comincia per 0 o per 3, la chiamata va dirottata in Italia. Non è il miglior dial plan possibile in quanto ci sono diverse eccezioni a queste numerazioni, ma per gli scopi di casa basta e avanza.
L'ultima cosa da fare è trovare un provider VOIP conveniente in base al target di chiamata (nel mio caso solo USA e Italia). Il migliore che ho trovato, tramite questa tabella gentilmente indicata da Pluto, ho scoperto che voipcheap è il provider che fa per me visto il supporto per il SIP e tariffe di 0c/min, 0c/min e 11c/min rispettivamente verso l'America, numeri fissi italiani e i cellulari italiani. Visti i costi della telefonia odierna (anche in Italia ho speso davvero tanto per le chiamate dal cellulare in sole 5 settimane) l'affarotto, dal costo di 70$ spediti, si ammortizza in pochissimo tempo. Certo si può fare la stessa cosa anche via PC, ma accendere il laptop, cercare il microfono e chiamare non è altrettanto immediato come usare il telefono. Il che mi fa chiedere perché non l'ho fatto prima (forse perché lo scatolotto costava un pochino di più). L'affidabilità è abbastanza elevata e la qualità audio altrettanto, forse anche meglio della telefonia tradizionale che probabilmente sotto sotto usa tecnologie VOIP.
Se qualcuno avesse intenzione di sperimentare in tal senso il mio suggerimento è di far attenzione ad adattatori lockati su specifici provider, come avviene per alcuni telefonini.
Parlando di telefonate mi è venuto in mente il mio rapporto personale con i costi della telefonia passato da 10$ per 7 minuti con una scheda telefonica regalatami al mio arrivo ai 0-10c/min delle chiamate VOIP. La telefonia ha fatto davvero passi da gigante! Viva il voip.
-quack
Pagina Successiva »
