Metasemantica: il lonfo

Dopo aver visto l'interpretazione di Gigi Proietti in TV, ho deciso di impararla a memoria. Big Smile



Il Lonfo

Il Lonfo non vaterca né gluisce
e molto raramente barigatta,
ma quando soffia il bego a bisce bisce
sdilenca un poco e gnagio s'archipatta.

E' frusco il Lonfo! E' pieno di lupigna
arrafferia malversa e sofolenta!
Se cionfi ti sbiduglia e ti arrupigna
se lugri ti botalla e ti criventa.

Eppure il vecchio Lonfo ammargelluto
che bete e zugghia e fonca nei trombazzi
fa lègica busìa, fa gisbuto;

e quasi quasi in segno di sberdazzi
gli affarferesti un gniffo. Ma lui zuto
t' alloppa, ti sbernecchia; e tu l'accazzi.

Fosco Maraini

-Enjoy

Technorati tags: Il Lonfo, Gigi Proietti

Pubblicato sabato 24 febbraio 2007 alle 11:53 PM - 1 commento so far
Archiviato in: Cazzate, Video

Security by minority: statisticamente più sicuro

Mi voglio togliere un sassolino dalla scarpa una volta per tutte. Una delle diatribe dell'informatica è la questione "il sistema operativo XYZ" è più sicuro perché non ci sono virus (*). Stessa conclusione a cui è giunto l'esperto di trusted computing (**) di punto informatico.

Sostengo da sempre che tale affermazione è una cazzata e proverò a fare un esempio di quando statisticamente più sicuro non basta.

Attraversare la strada a Redmond è più sicuro che attraversare la strada a Bari (dato di fatto). Se questo fosse sufficiente, attraverserei la strada a Redmond anche bendato. È chiaro che se lo facessi in maniera consistente tutti i giorni mi porterebbero in manicomio.

Tempo fa avevo parlato di quante nuove tecnologie di sicurezza fossero presenti in Vista in confronto con quelle ad esempio di MacOS 10.4 (che a parere dell'esperto di cui sopra è più sicuro di Vista).

Accolgo la figura sopra, tratta da questo blog (a sua volta tratta da questo power point, ma anche questo non è male), con immenso gaudio perché riassume benissimo quanto avevo cercato di spiegare in precedenza a parole (x windrago: se allora mi hai fatto i complimenti, ora voglio la standing ovation Stick out tongue).

Morale della favola? Anche se Steve Jobs si sforza di mostrare che MacOS è sicuro in quanto basato su BSD, dallo schemino affianco si capisce quanto la realtà sia ben lontana dalla sua fantasia. Spaventosa la differenza tra OpenBSD e MacOS. Quanto siano importanti tali misure di sicurezza è dimostrato dal fatto che i tre worm più letali di tutti i tempi (Nimda, CodeRed e Slammer) non avrebbero funzionato su Vista soprattutto a causa dell'ASLR (EXE Randomization e DLL randomization di cui sopra). Per gli scettici basta dare un'occhiata alla pagina "the Month of Apple Bugs" per rendersi conto che la stragrande maggioranza dei bachi (tra cui il peggiore) è basata su Stack Overflow ed Apple ha ancora molto da lavorare. Mi auguro che la prossima versione del loro OS guadagni almeno qualche pallino blu o grigio piuttosto che sfoderare nuove features esistenti dai tempi di Windows XP (time machine, ma mi faccia il piacere... Big Smile)

Ognuno tragga le sue considerazione dopo aver valutato attentamente i fatti.

-quack

(*) Si ignora spesso che storicamente il primo virus è stato scritto per Apple; Il primo rootkit per Unix

(**) L'esperto disse:

Più esattamente, dal punto di vista della sicurezza, il nuovo Windows equivale alla situazione che si poteva ottenere con il vecchio Windows 95 dopo aver installato ZoneAlarm (il più diffuso firewall personale gratuito) e AdAware (il più diffuso sistema antiadware e antispyware gratuito).

Scusate la ripetizione, ma questa affermazione mi fa troppo ridere; meglio di una freddura di Woody Allen. Big Smile

Technorati tags: ,

Pubblicato venerdì 23 febbraio 2007 alle 11:04 PM - 11 commenti so far
Archiviato in: Windows, Apple, Security

Falsi miti di Vista: Vista costa più di XP

Una delle cazzate che si sente più spesso in giro è che Vista costa più di XP. Tale cazzata non prende in considerazione che di versioni retail di XP ce ne sono solo 2 (XP home e XP professional), mentre di Vista ce ne sono 4 (home, home premium, business, ultimate). Se si considera che la mappatura è la seguente:

XP home equivale a Vista Home basic ( ~200$ versione full, ~100$ upgrade)
XP professional equivale a Vista Business (~300$ full, ~200$ upgrade)

ci si rende conto che tali versioni costano più o meno uguale . Rispetto al passato ci sono 2 nuove edition: home premium (che contiene le funzionalità mediacenter e tablet) e ultimate (che contiene tutte le feature di home premium e business combinate oltre a bitlocker e gli "ultimate extra"): ma più opzioni significa più libertà di scelta. O sbaglio? Wink

-quack

UPDATE: per chi non lo sapesse, anche se nella confezione è contenuto solo il disco per la versione 32 bit, è possibile richiedere il disco per la versione a 64 bit al solo costo delle spese. Nella versione Ultimate sono invece presenti tutti e due i dischi.

UPDATE 2: Se si prende in considerazione anche l’inflazione ci si può rendere conto che il costo di Windows è da sempre in diminuzione: fonte.

Technorati tags:

Pubblicato venerdì 23 febbraio 2007 alle 12:15 AM - 16 commenti so far
Archiviato in: Windows

Cazzate a iosa: i fissati del trusted computing

A tre settimane tre dal rilascio di Vista avrei pensato che le cazzate che si sarebbero lette in giro avrebbero avuto un andamento asintotico rispetto al tempo (almeno in quantità). Qualcosa tipo:

Dove x è il tempo, f(x) è la quantità di cazzate. E invece. Quasi in un gioco di chi la spara più grossa su Punto Informatico di "oggi" Giovedì 22 Febbraio c'è il secondo articolo intitolato "Untrusted/ Windows Vista ed il Trusted Computing". Cominciamo con la carrellata delle cazzate e pazienza se questo post è un papiro.

Cazzata numero 1:

Nonostante le iperboli delle riviste del mondo Microsoft, Windows Vista non è significativamente più sicuro delle precedenti versioni di Windows e resta nettamente meno sicuro di Linux e di tutte le varie versioni di Unix, compreso MacOS X. Più esattamente, dal punto di vista della sicurezza, il nuovo Windows equivale alla situazione che si poteva ottenere con il vecchio Windows 95 dopo aver installato ZoneAlarm (il più diffuso firewall personale gratuito) e AdAware (il più diffuso sistema antiadware e antispyware gratuito).
Mi rendo perfettamente conto del fatto che questa è una affermazione pesante e che molti lettori non saranno d'accordo, ma basta un attimo di riflessione per rendersi conto del fatto che le cose stanno proprio in questo modo.
La dimostrazione più immediata di quello che ho appena detto è il fatto che Windows Vista, come tutti i suoi predecessori, impone comunque l'installazione di un buon antivirus. Microsoft stessa si premura di raccomandare questa misura di sicurezza preventiva. Non solo: tutti gli osservatori indipendenti sono d'accordo con la casa madre nel ritenere che si tratti di una misura di sicurezza indispensabile per Windows Vista. Come noto, né Linux, né BSD, né MacOS X né nessuno degli altri sistemi operativi conosciuti ha bisogno di un antivirus per funzionare in condizioni di sicurezza.

Inutile che sto a ripetere come la penso sull'equazione "meno virus = sistema più sicuro". Se fosse vera il C64 sarebbe il sistema più sicuro al mondo e mi verrebbe da ridere. Ma da qui a paragonare Vista a Windows 95 (che non aveva nessun meccanismo di separazione della memoria tra i processi) ce ne vuole davvero tanto di coraggio.

Cazzata numero 2:

Come abbiamo detto, in questo caso il TPM viene usato come "cassaforte" per memorizzare la chiave di cifra usata per cifrare e decifrare la partizione del disco che ospita il sistema operativo ed i programmi. Le funzionalità di sicurezza della Trusted Platform sottostante vengono quindi usate solo in piccola parte.
L'uso del TPM è così ridotto che, di fatto, questo componente può essere rimpiazzato da una normale chiave di memoria USB su cui viene memorizzata la chiave di cifra. Più esattamente, la chiave USB può essere usata sia in alternativa al TPM che in associazione ad esso. Si può condizionare l'accesso ai dati contenuti nella partizione cifrata ad uno o più dei seguenti elementi di controllo.

1) La chiave di cifra memorizzata nel TPM
2) Un codice di startup memorizzato nella chiave USB
3) Un PIN simile a quello usato nei telefoni cellulari
Può essere usata una qualunque combinazione di questi tre elementi di controllo.
Questo è già un primo punto su cui sarebbe il caso di riflettere: se il TPM viene usato così poco da poter essere sostituito da una chiave di memoria USB, probabilmente i vantaggi che fornisce non sono molto diversi da quelli tipici della chiave di memoria o di un CD-ROM.

Già il fatto che qualcuno dica che la nuova tecnologia XYZ è inutile in quanto c'è già la tecnologia ABC mi fa abbondantemente sorridere. Se così fosse a che serve inventare le chiavette USB? Ci sono i CD-R... A che servono i CD-R? Ci sono i floppy... ecc. Una tecnologia ha senso se risolve problemi pratici.

Problema pratico:

se memorizzo la chiave crittografica del mio PC di ufficio su pendrive USB e dimentico (o peggio smarrisco) il pendrive, che ne sarà di me?

Ma di più, facciamo un passo indietro. Che senso ha criptare un drive (più precisamente la partizione contenente il SO)? Serve a prevenire attacchi di tipo offline. Cioé significa che se perdo il mio laptop e la partizione con l'OS non è criptata, qualcuno ne potrebbe smontare l'HD, installarlo su un PC, copiare il file delle password hashes, tentare un attacco di forza bruta (con le rainbow tables meno di qualche ora), recuperare la password ed avere accesso TOTALE e INCONDIZIONATO anche a partizioni criptate usando EFS. Questa non è una debolezza di Windows ma di tutti i S.O. Cioè non si può memorizzare un segreto in maniera sicura su qualcosa di facilmente accessibile (nel caso specifico l'HD). Il chip TPM rende tale tipo di attacco impossibile (a meno di tentare un attacco di forza bruta sul FS direttamente) restando al tempo stesso molto pratico (nessun pin da memorizzare, nessuna chiavetta da portare appresso, ecc.): per i più paranoici più "elementi di controllo" possono essere usati contemporaneamente. Trovo poi esilarante che proprio poche notizie più in giù su punto informatico figuri "Hard disk usati? Una miniera d'oro di dati"

Cazzata numero 3:

Le funzionalità DRM (anticopia) del Trusted Computing sono quindi già pienamente disponibili su Windows Vista persino con questo livello minimo di sfruttamento della Trusted Platform sottostante. Si tratta, di fatto, della tanto temuta funzionalità di "Secure boot" del Trusted Computing, anche se Microsoft si guarda bene dal chiamarla con questo nome.
Questa funzionalità non aggiunge molto alla protezione anticopia di Windows Vista, già garantita da altri mezzi, ma fornisce un potente strumento anticopia ai programmi di terze parti che si insediano sulla stessa partizione cifrata del sistema operativo.
Ma non facevamo prima con un Live CD?
La sicurezza aggiuntiva che fornisce il Trusted Computing al sistema è piuttosto limitata, soprattutto se viene confrontata con ciò che il mercato fornisce da anni, gratuitamente, su tutte le piattaforme.
Questa stessa funzionalità, infatti, può facilmente essere ottenuta, da diversi anni e su qualunque sistema operativo esistente, grazie all'uso di uno qualunque dei vari sistemi di verifica della integrità del file system, come Tripwire, e di un qualunque supporto esterno per la memorizzazione delle chiavi (un CD-ROM, una chiave USB, etc.).
Questi sistemi funzionano in questo modo:

1) Un apposito programma (Tripwire o simili) genera un apposito "checksum" (MD5 o CRC) che identifica univocamente ogni singolo file che si vuole tenere sotto controllo.
2) Questi checksum sono piccoli file che vengono memorizzati fuori dalla portata di eventuali malfattori, di solito su un CD.
3) Al momento del bootstrap, si esegue il programma, si ricalcolano i checksum e li si confronta con quelli memorizzati. Se uno di questi non corrisponde, vuol dire che il file è stato modificato o sostituito ed il bootstrap viene interrotto in attesa dell'intervento dell'amministratore.

C'è mica bisogno di spiegare perché un sistema sicuro già dal boot è più sicuro di un sistema sicuro "a posteriori"? Esempio pratico il rootkit. Un rootkit può far credere a qualsiasi software - di sistema o meno - di leggere un file mentre il file è stato modificato. Questo significa che in presenza di un rootkit sistemi come "tripwire o simili" sono destinati semplicemente a fallire. Il "secure boot" rende la vita molto difficile (non impossibile!) a chi scrive questa roba.

Cazzata numero 4:

Una soluzione ancora più semplice (e già molto diffusa nella realtà) consiste nell'usare una distribuzione "Live" di Linux (Knoppix, Ubuntu, etc.) e magari salvare i dati su una chiave USB. Questa soluzione non richiede nessuna particolare competenza tecnica e mantiene il sistema operativo al sicuro sul CD (che non è scrivibile e quindi non può essere modificato). Questa soluzione viene usata, ad esempio, per creare dei server resistenti a qualunque tipo di attacco o dei "chioschi" in grado di ripartire da una situazione sicura dopo un possibile crash.

Se proprio vuoi essere sicuro di avere il controllo di quello che viene scritto sul tuo HD, butta via l'HD. Bella roba. Poi vorrei capire come si fa a far girare applicazioni per Windows su Linux Live.

Cazzata numero 5:

Il Trusted Computing di Windows Vista, quindi, non fornisce nessuna funzionalità realmente innovativa. Ciò che si può fare con il TPM, può essere fatto con altri mezzi da molti anni, gratuitamente.
Si noti che, a differenza di quanto avviene nel caso di Windows Vista e del suo TPM, sia usando Tripwire che il Live CD il controllo resta sempre e comunque nelle mani dell'utente (o amministratore) del sistema. Non può succedere, nemmeno per sbaglio, che il controllo del sistema passi, anche solo in parte o temporaneamente, ad un programma non autorizzato dall'utente o ad una persona diversa dall'utente legittimo del sistema (ad esempio un fornitore).

La prima frase è un riassunto di riflessioni sbagliate, quindi sbagliata in se. Come faccia l'utente ad essere sicuro di avere il controllo del PC, senza un controllo di integrità che comincia con il boot, resta ancora un mistero.

Cazzata numero 6:

Di conseguenza, anche se il Trusted Computing di Windows Vista fosse, per ipotesi, una funzionalità utile, resterebbe comunque qualcosa riservato ad una èlite. Per nostra fortuna, questo vuol anche dire che non succederà mai che ci rifilino una macchina dotata di TPM e di Windows Vista Enterprise od Ultimate senza che ce ne accorgiamo.

I venditori di PC sono persone pratiche. Anche se il bitlocker fosse disponibile su tutte le versioni di Windows, non ce li vedo che lo installino di default. Tra l'altro bitlocker, come tante altre feature, è attivabile/disattivabile a volontà (non facilmente). Non c'è nessuna versione di Windows che viene distribuita con un "bitlocker per forza". Sinceramente tutto questo allarmismo mi sembra a tratti estremamente ridicolo.

Cazzata numero 7:

Per quanto riguarda la sicurezza dei sistemi operativi, è importante far sapere che Microsoft sta attivamente lavorando su una interessante alternativa al Trusted Computing: i sistemi operativi "intrinsecamente sicuri" ("Intrisecally Safe Operating System").

[...]

Il progetto di sistema operativo intrinsecamente sicuro di Microsoft si chiama Singularity ed è stato presentato ufficialmente alla stampa nei mesi scorsi con una serie di interviste ai suoi sviluppatori. Microsoft ha pubblicato queste interviste video sul suo canale VideoOverIp Channel 9. Singularity è solo un sistema operativo "da ricerca". Non è destinato a raggiungere il mercato. Tuttavia, Singularity dimostra in modo inequivocabile come esistano delle alternative credibili al Trusted Computing e come Microsoft stessa sia un vero protagonista nel loro sviluppo.

Sistemi come Singularity tendono a risolvere un tipo di problema diverso (che richiederebbe un post intero). D'altra parte questo pezzo dell'articolo contraddice in maniera sostanziale quanto detto nella cazzata numero 1, visto che tutte le nuove features di sicurezza di Vista secondo l'autore non servono ad un c###o.  Delle due l'una:

  1. in Singularity (o sistemi intrinsecamente sicuri) è impossibile scrivere codice tipo "System.Drive["C"].Format"; in tal caso ci ritroveremmo con un OS utile quanto quello del c64: non un gran passo avanti.
  2. Codice come quello nel punto 1 è possibile. Ma chi decide se tale codice deve girare? Se è l'utente saremmo non lontani da dove siamo oggi (sindrome dell'utente che clicca dappertutto); se è l'OS davvero non riesco a capire quali dei tanti algoritmi di lettura del pensiero potrebbe provarsi utile.

Infine la cazzata numero 8, quella conclusiva:

Tuttavia, il pur limitato supporto al Trusted Computing di Windows Vista è socialmente pericoloso. Lo è perché mette un potente strumento di controllo nelle mani, non sempre pulitissime, delle aziende che producono e distribuiscono software e contenuti multimediali. Per capire quanto questo possa essere pericoloso, basterà pensare a cosa è successo l'anno scorso con i CD musicali di Sony/BMG (afflitti niente meno che da un rootkit!).

Se ci fosse stato il "secure boot" su XP secondo voi Sony sarebbe riuscita a certificare il suo rootkit o si sarebbe dovuta limitare a quanto offre l'OS? Io propendo per la seconda.

-quack

Pubblicato giovedì 22 febbraio 2007 alle 3:59 AM - 21 commenti so far
Archiviato in: Windows

Il sito delle poste visto da IBM

Non è un mistero che il sito del servizio postale americano sia stato realizzato dall'IBM. Tale sito ha funzionalità incredibili e tra le altre cose permette di comprare l'affrancatura online tramite carta di credito.

La prima implementazione di qualche anno fa richiedeva l'installazione della JAVA VM. Qualcosa come un centinaio di mega per poter stampare un francobollo. La cosa più assurda è che l'ultimo worm che ho visto da vicino si intrufolava attraverso un baco nella JVM che purtroppo non ha nessun meccanismo di autoupdate. Da allora ho disinstallato la JVM da tutti i PC "reali" e per stampare il famigerato francobollo elettronico mi limitavo ad usare una virtual machine. Non è passato molto tempo che - probabilmente grazie al feedback di molti clienti che la JVM non sanno neanche cos'è - l'implementazione è cambiata nella forma ma non nella sostanza. Ora il francobollo elettronico non è più generato da un applet ma sul loro server in formato PDF: peccato che purtroppo tutti i tentativi di usare il reader foxit (che rispetto a quello ADOBE gira in soli 1.5MB di memoria) sono falliti miseramente; anche salvare il PDF in locale è praticamente impossibile in quanto di fatto annulla di fatto l'affrancatura (e vai di nuovo a reinserire il numero di carta di credito, ecc.). Unica soluzione è installare il reader Adobe: un bel miglioramento visto che il reader richiede 80MB circa rispetto ai 100MB di download della JVM.

Immagino quanto sia costato alle poste americane commissionare tale giochino: a me il problema sembra piuttosto semplice ed è quello di generare una semplice immagine dal lato server (una gif praticamente); nella prima implementazione anche una modesta applet era in grado di farlo. Ma possibile che c'è gente che ammazza le mosche con un bazooka? D'altra parte però se il bazooka lo vendi pure un senso tutta questa storia ce l'ha.

Sgrunt!

Technorati tags:

Pubblicato mercoledì 21 febbraio 2007 alle 5:00 PM - 0 commenti so far
Archiviato in: Cazzate, Software