L'anello più debole

 L'anello più debole di un sistema informatico è il dispositivo che occupa lo spazio tra la sedia e la tastiera.

Ad ulteriore dimostrazione, il post di un nuovo blog dedicato alla sicurezza dei blog, chiamato blogsecurity. In un mini campione di 50 blog basati su WordPress (nessuna indicazione su come siano stati scelti), 49 sono risultati potenzialmente vulnerabili ad attacchi già conosciuti. Il problema of course non è di wordpress, ma di 49 utenti di wordpress su 50 che per una ragione o per un'altra continuano ad usare versioni sicuramente bacate (pun intended).

Ed a proposito di piattaforme di blogging: forse ci sono nuovi cambiamenti all'orizzonte per questo microscopico blog. Stay tuned.

-quack

Pubblicato giovedì 31 maggio 2007 alle 4:44 PM - 3 commenti so far
Archiviato in: Blog-Tech, Security

Sviluppare come LUA

Vista ha "sdoganato" il concetto di UAC nel mondo Windows e questo ha creato qualche grattacapo di compatibilità con applicazioni abituate a quella "bella vita" di poter fare tutto quello che volevano; esempio classico: Emule che scrive un po' di tutto in \Program Files\Emule. Uno dei consigli più utili a questo riguardo nei confronti degli sviluppatori è di lanciare l'ambiente di sviluppo come utenti normali: questo permette di replicare, sulla macchina dello sviluppatore, l'ambiente target su cui il prodotto deve girare. Il grosso problema è che talune attività importanti (come fare debugging, registrare assembly nella GAC, installare applicazioni, creare directory virtuali IIS, ecc.) richiedono permessi di amministratore.

Ravanando in giro, grazie ad un collega volenteroso nella sua ricerca personale, ho trovato un po' di materiale che può tornare utile a tutti gli sviluppatori Windows.

1. Usare account non privilegiati sempre e ricorrere agli utenti admin solo per i task necessari (facilissimo con Vista, un po' complicato con Windows 2000/XP/2003).

2. Come fare debug di applicazioni web o web service: per fare il debugging di processi che girano in un security context diverso (es: IIS che gira come NetworkService) è necessario avere privilegi di Debug (che sono pressocché simili a quelli di amministatore). Un paio di soluzioni:

  • far girare IIS sotto le proprie credenziali (non-admin ovviamente!). Questo significa però che l'ambiente di sviluppo non sarà lo stesso di quello su cui girerà la web-app finita.
  • far girare un debugger come admin, a discapito dell'integrazione con Visual Studio (VS)
  • far girare IIS su un server diverso (magari virtuale) e lanciare VS con la seguente riga di comando:
    RUNAS.EXE /NETONLY /U:SERVER\ADMINISTRATOR devenv.exe
    (lo switch NETONLY indica a RUNAS di usare le credenziali di amministratore solo per la rete; l'istanza locale di VS girerà come utente normale non-admin)

3. se si sta sviluppando su Windows 2003 un'idea interessante è quella di loggarsi come utente normale e per i compiti amministrativi aprire un remote desktop verso la stessa macchina.

Infine un po' di link che tornano sempre utili (in inglese)

Sviluppare come LUA in generale:

Sviluppare come LUA per Vista:

-Enjoy!

Pubblicato mercoledì 30 maggio 2007 alle 4:38 PM - 0 commenti so far
Archiviato in: Link, Software, Security

Il prezzo di Vista

Dell ha lanciato da pochi giorni una linea di PC con Ubuntu pre-installato.

Jeff Atwood, tipo precisino, ha pubblicato un prospetto che mostra a conti fatti quanto costa realmente Windows pre-installato: Dell chiede ai suoi clienti la 'bellezza' di 79$ per Windows Home Premium, quella che include anche Aero (ne sarà felice qualche esperto informatico specialista di sicurezza) e MediaCenter; SKU di tutto rispetto che suggerisco a tutti gli utenti "casalinghi" che conosco.

Se avessi partecipato ad "OK il prezzo è giusto", avrei perso comunque perché in una mia stima "ho sballato": avevo parlato di "80 euri in su".

Nonostante ciò c'è qualche "maligno" che "esprime qualche dubbio" (in realtà pensa che «Microsoft mangia anche sui Notebook con Linux»): per fortuna si tratta dei soliti noti produttori industriali di «mozzarelle di bufala» e del loro seguito di "copia incollatori" (per carità: assolutamente vietato controllare la "fonte"). Tralascio poi la delusione di chi si aspettava di pagare il laptop 300$ di meno perché Vista costa così tanto perché l'aveva visto da Auchan: delusione così amara che ha portato il malcapitato a gridare «al ladro».

Aggiungo una ulteriore considerazione da fare nei panni di un "virtuale" cliente Dell: se volesse comprare Vista in futuro dovrebbe spendere almeno 50$ in più, per una identica versione OEM (stessa fonte, post di Jeff); mentre non commento sulle recenti defaillance dell'altro sistema operativo (c'è parecchia gente[1] che afferma di ritrovarsi davanti ad uno schermo completamente nero dopo l'ultimo aggiornamento "automatico" del Kernel) ma mi chiedo con insolito cinismo: tanta tribolazione, vale davvero meno di 79$ [2]?

-quack

Technorati tags: ,


[1] i soliti pignoli

[2] o del suo equivalente in euri?

Pubblicato martedì 29 maggio 2007 alle 6:18 PM - 18 commenti so far
Archiviato in: Windows, Cazzate

Acher cracher e diari

Parlando di acher e di cracher, mi è tornata alla memoria questa storia che, sotto il titolo di «Diario di un Hacker» ha fatto il giro "del mondo" via mail. Pubblico volentieri per (mia) futura memoria visto che la par condicio mi è estranea. Smile

giorno 1
Caro Diario,
Oggi ho deciso di installare Linux. Non si può essere un vero hacker se non si usa Linux, e io voglio essere un vero hacker. Soprattutto per far colpo sulle ragazze. Ho chiesto a quelli che conoscevo ed ho scoperto che Giovanni usa Linux; stranamente ha gli occhiali spessi, è sovrappeso, non si lava molto, non si rade e non conosce nessuna ragazza. Mi aspettavo qualcuno di più figo, con gli occhiali scuri anche al chiuso e il trench di pelle. Probabilmente si traveste pernon dare nell'occhio. Una doppia vita! Che cosa emozionante diventare un hacker. Mi ha consigliato la Debian dicendo che è la "distruzione di Linux" per veri duri. Io sono un duro. Uso il computer da quando ero piccolo; sempre Macintosh, ma quando uno sa usare un computer, li sa usare tutti! Pensa: l'hacker di "Indipendence Day" entrava nel sistema operativo di una nave aliena: figata! Chissà perché si chiama "distruzione di Linux". Dovrò chiedere. Che nome da duro!


giorno 2
Caro diario,
Giovanni mi ha spiegato oggi che la Debian è una DIS-TRI-BU-ZIO-NE di GNU/Linux. Non distruzione. Dice che è molto importante che si dica GNU/Linux, se si dice solo Linux la Microsoft (che dovrei scrivere Micro$oft o Microsuck, non so perché) prenderà il controllo del pianeta, provocherà l'Apocalisse, spegnerà il sole, farà piangere Gesù Bambino e impedirà che ci siano giochi recenti per GNU/Linux. In questo ordine (di importanza). Giovanni dice che GNU vuoi dire "GNU Non è Unix", però Linux è Unix e Giovanni dice che è da queste contraddizioni apparenti che si capisce chi è un vero hacker. Tutti gli altri sono dei perdenti che si meritano che un Virus spedisca alla nonna pezzi di E-Mail pornografiche scambiate con la morosa. Io non posso essere un perdente perché mia nonna è quadriplegica e non sa usare il computer; oltre tutto, non ho mai avuto la morosa, anche se ho scritto dei racconti un po' spinti su Kaori della pubblicità del Philadelphia. Sto già diventando un vero hacker.
giorno 3
Caro Diario,
Ho smesso di fare domande a Giovanni, perché il suo travestimento da non-figo puzza davvero tanto e non riesco a concentrarmi trattenendo il fiato. Chissà dove si procura il suo "odore di ascella non lavata da quindici giorni", è DAVVERO realistico. Un altro segreto hacker, immagino. Ho comprato una rivista con i CD della Debian. Da questa notte il mondo sarà mio: devo solo installarla, poi sarò un vero hacker. Nella rivista non ci sono donnine nude: un vero hacker si eccita con le immagini dei computer nudi (smontati), o con il "codice sorgente". Ci ho provato, ma ho ancora molto da imparare

giorno 4

Caro Diario,
Non trovo setup.exe nel CD. Sarà rovinato.
Domani lo vado a cambiare.

giorno 5

Caro diario,
Non c'è il setup.exe! E' tutto molto semplice: si inserisce il CD a computer spento, si seleziona da BIOS di boot-are (un modo di dire inglese che vuoi dire "stivalare", ah! gergo hacker!) da CD, e si installa. Facilissimo. Ci ho messo solo 3 ore a capirlo. Ora devo solo scoprire come invocare il BIOS.

giorno 7

Caro diario,
Sono fortunato! Il BIOS nel mio computer si invoca semplicemente premendo i tasti
CTRL-ALT-SHIFT-CANC-Q-W-E-R-T-Y-1-2-3-4-5 contemporaneamente nei 4 microsecondi in cui avviene il check della memoria. Pensa che nel computer di uno che conosco è possibile invocarlo solo nelle notti di luna nuova, dopo la mezzanotte, se si rimane all'interno d'un pentagramma tracciato per terra col sangue d'un gallo nero. E' destino che io diventi un hacker.

giorno 8

Caro Diario,
Sto installando. Ho aspettato 4 ore che comparisse la schermata grafica, ma continuo solo a vedere delle scritte. E non compare la freccetta del mouse. Devo chiedere.

giorno 9

Caro diario,
Le scritte andavano lette! Pensa come sono furbi questi hacker, nessuno può usare il LORO GNU/Linux se non sa che le scritte vanno lette. E' un po' come una società segreta.

giorno 10

Caro diario,
Ieri mentre installavo mi è stato chiesto di "partizionare l'hard-disk". Ho spinto OK quattro o cinque volte e sono andato avanti. Cosa sono i moduli del kernel? Non so, ne ho scelti alcuni a caso.

giorno 11

Caro Diario,
In solo una settimana ho fatto partire il sistema. Pare che io abbia cancellato tutto quello che c'era sull'hard disk quando lo ho partizionato, ma non è grave: c'erano solo le mie mail personali degli ultimi 3 anni con tutti gli indirizzi (quando sarò un hacker famoso, si rifaranno vivi tutti) e la copia digitale della dimostrazione dell'ultimo teorema di Fermat che avevo trovato in soffitta della nonna, dopo che è morta (non sono andato al funerale perché stavo installando). Poco male: diventerò un hacker, ed ho la copia cartacea.
Non faccio una doccia da quando ho cominciato, ho la barba un po' lunga e sto solo mangiando pizza e hamburger. Però sto bene.

giorno 12

Caro Diario,
I moduli del kernel non andavano scelti a caso. Pare che io abbia fatto qualcosa che non va riguardo al modulo per la scheda grafica. Il monitor è esploso. Poco male: ne ho un altro. Nell'incendio è bruciata la copia cartacea della dimostrazione dell'ultimo teorema di Fermat. Non importa, non trattava di Linux. Le mie ferite guariranno in un mese, nessuno farà caso alle cicatrici quando sarò un hacker figo. Ho messo su 4 chili: smaltirò poi, ora non ho tempo.

giorno 14

Caro diario,
Ho passato due giorni a scegliere quali programmi installare: l'elenco ne comprende 6739, con nomi di solito senza vocali come ed, amb, brlscnb e mvf fncl; di questi, 1356 sono editor di testo! Pare che servano tutti: gli hacker ne sanno una più del diavolo!

giorno 15

Caro Diario,
XF86Config ne sa MOLTE più del diavolo. O forse serve ad evocare il diavolo stesso, non ho capito bene.

giorno 20

Caro diario,
Finalmente il computer funziona. Meno di tre settimane per sistemarlo: un record di velocità. Ho dovuto saltare le docce per risparmiare tempo, ma non ne ho risentito. Certo, non funziona l'audio, la grafica non va a più di 16 colori a 640*480, il masterizzatore non dà segni di vita e il cursore si teletrasporta da un angolo all'altro dello schermo: ma è proprio dalla capacità di affrontare questi piccoli disagi che si vede il vero hacker. Ora mi connetterò a Internet. Mi hanno detto che gli altri hacker sono sempre molto disponibili verso chi vuole imparare. Sono passati i vicini a chiedere dove era il cadavere. "Quale cadavere" ho chiesto io. "C'è odore di cadavere in decomposizione" hanno risposto. Non capisco. Non sento nessun odore: saranno impazziti? In effetti mi lanciavano delle occhiate poco rassicuranti.

giorno 21

Caro diario,
Oggi ho provato a connettermi a Internet. Ho un WinModem. Questo è MALE.

giorno 22

Caro diario,
Oggi ho provato a connettermi a Internet. Qualche cosa è andato storto, dal nuovo modem vengono rumori strani e un po' irati.

giorno 23

Caro diario,
I rumori strani erano la voce di un cambogiano che rispondeva alle telefonate. Pare che il suo numero di telefono sia quello usato di default per la connessione a Internet. Ha detto che, se voglio, mi legge ad alta voce il giornale, così mi sento nell'autostrada dell'informazione. Per ora ho declinato. Si chiama Chea Vichea.

giorno 24

Caro diario,
Mi sono connesso! Fino a che non esco dal pentagramma di sangue di gallo nero, tutto funziona a meraviglia! Mi chiedo cosa succederà all'alba. Sento degli strani rumori provenire dalla cantina.

giorno 25

Caro diario,
Ho mandato delle mail su Internet chiedendo aiuto per capire meglio. Ho scritto sulla mailing list Kernel Dev, mi sembra il posto migliore per trovare degli esperti.

giorno 26

Caro diario,
Chi è RTFM? E quando comincerà ad aiutami?

giorno 31 (o forse 52)

Caro diario,
Sono stato multato. Pare che sia vietato bruciare i computer in terrazzo. Ho detto che dopo tutto era Capodanno, ma mi hanno spiegato che Capodanno è stato tre settimane fa: devo aver perso il conto dei giorni. Ora che ho eliminato il computer, sto molto meglio.
Dopo la terza doccia ho sentito i miei vicini di casa urlare "era ora che riparassero quel tombino, l'aria era proprio irrespirabile!". Ho comprato un machete per tagliarmi la barba, fino ad ora ho rotto tre rasoi. Domani parto per la Cambogia, ho ritelefonato a Chea Vichea. Mi ha trovato un lavoro come bracciante nelle risaie. Non vedo l'ora di cominciare: ha detto che il computer più vicino è a 5km dal suo villaggio. Basterà?

-quack

Technorati tags:

Pubblicato lunedì 28 maggio 2007 alle 4:31 PM - 10 commenti so far
Archiviato in: Cazzate

Ubuntu 7.04 e Virtual PC

Per installare tale versione di Ubuntu su Virtual PC e VMWare bisogna fare qualche piccola magagna in più a causa del famoso baco (ancora aperto nel momento in cui scrivo) che affligge i mouse PS2 emulati da entrambi i software.

La magagna è basata su una patch binaria del kernel non-ufficiale, non-supportata e che potrebbe anche non-funzionare («it works on my PC, certified», però); questo significa che al primo aggiornamento del Kernel la patch quasi certamente smetterà di funzionare (ma magari il nuovo kernel potrebbe aver sistemato le cose: condizionale d'obbligo). La patch è disponibile qui.

Le istruzioni sono semplici:

  • seguire i passi indicati da 1. a 5. nella guida all'installazione della versione 6.10 disponibile in questo post (mi raccomando a non riavviare)
  • digitare i seguenti comandi:
    wget http://librarian.launchpad.net/7583925/unsupported-patch-for-87262.sh
    chmod +x unsupported-patch-for-87262.sh
    ./unsupported-patch-for-87262.sh
  • seguire il resto dei passi della guida linkata sopra dal 6. in poi (il punto 7. potrebbe non essere necessario, ma il punto 8. potrebbe esserlo)
  • auguratevi buona fortuna

Ho nel frattempo trovato una soluzione migliore in giro per risolvere il problema in maniera migliore soprattutto in vista di un update del kernel qualora l'update non contenga la fix (già successo per altro); le seguenti istruzioni sono estremamente dettagliate per chi non conosce ricorda i comandi di vi:

  • seguire i passi indicati da 1. a 5. nella guida all'installazione della versione 6.10 disponibile in questo post (mi raccomando a non riavviare)
  • lanciare i seguenti comandi:
    vi /boot/grub/menu.lst
    portarsi col cursore sulla prima riga simile a questa (comincia per kernel e finisce con splash):
    kernel    /boot/vmlinuz-2.6 […] splash
    premere il tasto 'A' (sta per append; è importante la maiuscola); aggiungere il parametro:
    i8042.noloop
    Uscire e salvare premendo il tasto 'ESC' seguito da 'ZZ' (due zeta maiuscole)
  • seguire il resto dei passi della guida linkata sopra dal 6. in poi (il punto 7. potrebbe non essere necessario, ma il punto 8. potrebbe esserlo)
  • auguratevi buona fortuna

Tali passi potrebbero essere necessari ripeterli qualora un update del kernel non contenga la fix necessaria.

Enjoy!

-quack

Pubblicato domenica 27 maggio 2007 alle 4:29 PM - 5 commenti so far
Archiviato in: Virtualizzazione, Linux