Decide for yourself

Mi piace tantissimo lo slogan della ‘campagna’ Windows Mojave che da il titolo a questo post.

Affidarsi ai messaggi del marketing è pericolosissimo:

Do I need virus software for a Mac?

No. While no computer connected to the Internet will ever be 100 percent immune to viruses and spyware, the Mac is built on a solid UNIX foundation and designed with security in mind. The Mac web browser, Safari, alerts you whenever you’re downloading an application — even if it’s disguised as an innocent picture or movie file. And Apple continually makes free security updates available for Mac owners. You can even have them download automatically.

Are Apple products built really with security in mind? Decide for yourself.

-squack

Technorati Tags: ,

Pubblicato martedì 29 luglio 2008 alle 7:31 PM - 17 commenti so far
Archiviato in: Apple, Security

Stemming

Mentre debuggavo qualche pezzo di Blogoo inerente stemla ricerca, mi sono imbattuto in un algoritmo alquanto interessante data la mia viscerale passione per l’analisi lessicale: lo stemming, ovvero la riduzione di una parola alla sua radice in modo che la ricerca sia più accurata possibile.

Ho cercato di usare qualcosa di già pronto, ma si è rivelato così bacato che ho preferito riscrivere l’intero algoritmo da capo tenendo in mente che una parte dell’algoritmo deve essere molto veloce.

Anche se ad un certo punto mi son arreso per dare priorità, come dovrebbe pur essere, alla corretta funzionalità.

L’algoritmo che ho usato è una versione modificata di quello descritto in questa pagina. Modifica resasi necessaria per il corretto stemming di parole che terminano in –atrice, –atrici gestite in maniera diversa – e chissà per quale motivo – dai corrispondenti suffissi maschili. Volendo per i programmatori C# volenterosi ci si potrebbe divertire a studiare implementazioni migliori e darle in pasto ad un semplice programma di test.

Nel piccolo di questa piattaforma quindi lo stemming è pressoché completato: magari non serve a niente, ma un algoritmo interessante è difficile da ignorare.

-quack

Technorati Tags: ,

Pubblicato martedì 29 luglio 2008 alle 1:24 AM - 2 commenti so far
Archiviato in: Blog-Tech

Windows Mojave

Esperimento:

  1. Si individuano alcune tra le personalità autorevoli che pensano che Vista sia molto peggio di Windows XP (gli irriducibili)
  2. Le si invita alla presentazione di un OS completamente nuovo, riscritto da zero: Windows Mojave
  3. Si raccoglie il feedback
  4. Le si dice che in realtà Mojave non esiste. Si tratta di Vista

Risultato:

Il 90% del feedback al punto 3 è risultato positivo, con persino qualche “wow!”.

Gira voce che la prossima versione di Windows verrà chiamata Windows Placebo.

mojave

-quack

L’esperimento è qui.

Technorati Tags:

Pubblicato venerdì 25 luglio 2008 alle 7:18 PM - 27 commenti so far
Archiviato in: Cazzate

Metriche di sicurezza

Ogni volta che si parla di sicurezza, materia alquanto delicata soprattutto in virtù degli avvenimenti dell’ultimo periodo, qualche animo “sensibile” tende a tirare fuori i migliori scarponi da alpinista per tentare la più impossibile delle rampicate: specchi ultralisci cosparsi di olio sintetico.

In un commento al post di punto informatico già sommariamente analizzato su questo canale che fa riferimento alla vulnerabilità OpenSSL di debian e derivate, l’autore dell’articolo[1] risponde che:

Lo dice l'articolo che tu stesso citi: la segnalazione della vulnerabilità è delle 16:48 del 13 maggio. La disponibilità della patch nei repository (per gli aggiornamenti automatici) è delel 19:12 dello stesso giorno. Circa tre ore per risolvere una vulnerabilità.

Visto che l’autore nell’articolo parlava di Nimda e CodeRed la mia domanda è: qual’è la risposta se applichiamo la stessa metrica (disponibilità della patch) ai due nefasti episodi? La risposta sorprendente la si ritrova su wikipedia:

Both Code Red, and Nimda were hugely successful exploiting well known and long solved vulnerabilities in the Microsoft IIS server

Cioé la patch esisteva già da diversi mesi prima dell’attacco. L’exploit infatti è stato ottenuto – come spesso accade – facendo il reverse engineering della pezza. Evidentemente sistemare i bachi più velocemente possibile, può non servire ad una emerita cippa. È molto meglio cercare di mantenere la qualità del codice molto alta ed introdurre misure difensive a tappeto (ASLR, protected mode).

La qualità del codice (leggasi numero di bachi di sicurezza) quindi, almeno secondo la mia modestissima opionione, rimane la metrica più affidabile in attesa di qualche illuminazione.

C’è un altro aspetto che mi infastidisce però della risposta sopra menzionata e che mi costringe ad aprire una parentesi retroattiva[2]: il tentativo di minimizzare a tutti costi il pasticcio colossale che è stato il baco in OpenSSL. Grazie ad un plugin per wireshark di Luciano Bello (lo scopritore del baco) è possibile decriptare il contenuto di una conversazione SSL; questo significa che anche se nel browser compare il simbolo del lucchetto (image) la certezza matematica che la comunicazione sia sicura non si può più avere (almeno senza trafficare a bassi livelli). Chi mi dice infatti che durante una transazione bancaria dall’altra parte del filo non ci sia un server Debian/derivato non patchato? In parole povere anche se non sono direttamente utente Debian, la mia sicurezza è stata comunque messa a repentaglio nei secoli dei secoli grazie ad un certo Kurt Roeckx: che si badi bene non è developer esperto di crittografia pasticcione, ma semplicemente un tabaccaio che, non capendo una cippa di numeri casuali ed entropia, ha ritenuto opportuno sistemare tutto da solo:

What I currently see as best option is to actually comment out those 2 lines of code. But I have no idea what effect this really has on the RNG. The only effect I see is that the pool might receive less entropy. But on the other hand, I'm not even sure how much entropy some unitialised data has.

Però per risolvere la vulnerabilità ci sono volute solo 3 ore! (e ci credo è bastato rimettere a posto del codice che ha sempre funzionato). Complimenti!

-quack 


[1] La stessa opinione è stata spesso manifestata dal management di Mozilla. Per fortuna però almeno loro hanno capito che c’era qualcosa che non va e che bisogna individuare un’altra metrica più oggettiva e soprattutto funzionante.
[2] Lo so, non vuol dire niente ma mi piace lo stesso.
[3] C’è da aggiungere che patchare un server Debian senza rigenerare tutte le chiavi è altrettanto inutile

Pubblicato venerdì 25 luglio 2008 alle 1:13 AM - 10 commenti so far
Archiviato in: Security

Ouch ouch ouch

Non c’è più tempo da perdere. Le opzioni sono due:

  1. ci si assicura che il DNS del proprio ISP sia già stato patchato
  2. ci si affida a OpenDNS per un bel po’

ouch ouch ouch

Non sempre gli h4ck3r “buoni” sono persone responsabili.

UPDATE: la situazione peggiora di ora in ora. Un nuovo exploit permette di compromettere un intero dominio anziché un singolo host.

-quack

Technorati Tags:

Pubblicato giovedì 24 luglio 2008 alle 6:51 AM - 13 commenti so far
Archiviato in: Security