Mi piace tantissimo lo slogan della ‘campagna’ Windows Mojave che da il titolo a questo post.
Affidarsi ai messaggi del marketing è pericolosissimo:
Do I need virus software for a Mac?
No. While no computer connected to the Internet will ever be 100 percent immune to viruses and spyware, the Mac is built on a solid UNIX foundation and designed with security in mind. The Mac web browser, Safari, alerts you whenever you’re downloading an application — even if it’s disguised as an innocent picture or movie file. And Apple continually makes free security updates available for Mac owners. You can even have them download automatically.
Are Apple products built really with security in mind? Decide for yourself. 
-squack
Technorati Tags:
Apple,
Security
Mentre debuggavo qualche pezzo di Blogoo inerente 
la ricerca, mi sono imbattuto in un algoritmo alquanto interessante data la mia viscerale passione per l’analisi lessicale: lo stemming, ovvero la riduzione di una parola alla sua radice in modo che la ricerca sia più accurata possibile.
Ho cercato di usare qualcosa di già pronto, ma si è rivelato così bacato che ho preferito riscrivere l’intero algoritmo da capo tenendo in mente che una parte dell’algoritmo deve essere molto veloce.
Anche se ad un certo punto mi son arreso per dare priorità, come dovrebbe pur essere, alla corretta funzionalità.
L’algoritmo che ho usato è una versione modificata di quello descritto in questa pagina. Modifica resasi necessaria per il corretto stemming di parole che terminano in –atrice, –atrici gestite in maniera diversa – e chissà per quale motivo – dai corrispondenti suffissi maschili. Volendo per i programmatori C# volenterosi ci si potrebbe divertire a studiare implementazioni migliori e darle in pasto ad un semplice programma di test.
Nel piccolo di questa piattaforma quindi lo stemming è pressoché completato: magari non serve a niente, ma un algoritmo interessante è difficile da ignorare. 
-quack
Technorati Tags:
Algoritmi,
Stemming
Esperimento:
- Si individuano alcune tra le personalità autorevoli che pensano che Vista sia molto peggio di Windows XP (gli irriducibili)
- Le si invita alla presentazione di un OS completamente nuovo, riscritto da zero: Windows Mojave
- Si raccoglie il feedback
- Le si dice che in realtà Mojave non esiste. Si tratta di Vista
Risultato:
Il 90% del feedback al punto 3 è risultato positivo, con persino qualche “wow!”.
Gira voce che la prossima versione di Windows verrà chiamata Windows Placebo. 
-quack
L’esperimento è qui.
Technorati Tags:
Windows Mojave
Ogni volta che si parla di sicurezza, materia alquanto delicata soprattutto in virtù degli avvenimenti dell’ultimo periodo, qualche animo “sensibile” tende a tirare fuori i migliori scarponi da alpinista per tentare la più impossibile delle rampicate: specchi ultralisci cosparsi di olio sintetico.
In un commento al post di punto informatico già sommariamente analizzato su questo canale che fa riferimento alla vulnerabilità OpenSSL di debian e derivate, l’autore dell’articolo[1] risponde che:
Lo dice l'articolo che tu stesso citi: la segnalazione della vulnerabilità è delle 16:48 del 13 maggio. La disponibilità della patch nei repository (per gli aggiornamenti automatici) è delel 19:12 dello stesso giorno. Circa tre ore per risolvere una vulnerabilità.
Visto che l’autore nell’articolo parlava di Nimda e CodeRed la mia domanda è: qual’è la risposta se applichiamo la stessa metrica (disponibilità della patch) ai due nefasti episodi? La risposta sorprendente la si ritrova su wikipedia:
Both Code Red, and Nimda were hugely successful exploiting well known and long solved vulnerabilities in the Microsoft IIS server
Cioé la patch esisteva già da diversi mesi prima dell’attacco. L’exploit infatti è stato ottenuto – come spesso accade – facendo il reverse engineering della pezza. Evidentemente sistemare i bachi più velocemente possibile, può non servire ad una emerita cippa. È molto meglio cercare di mantenere la qualità del codice molto alta ed introdurre misure difensive a tappeto (ASLR, protected mode).
La qualità del codice (leggasi numero di bachi di sicurezza) quindi, almeno secondo la mia modestissima opionione, rimane la metrica più affidabile in attesa di qualche illuminazione.
C’è un altro aspetto che mi infastidisce però della risposta sopra menzionata e che mi costringe ad aprire una parentesi retroattiva[2]: il tentativo di minimizzare a tutti costi il pasticcio colossale che è stato il baco in OpenSSL. Grazie ad un plugin per wireshark di Luciano Bello (lo scopritore del baco) è possibile decriptare il contenuto di una conversazione SSL; questo significa che anche se nel browser compare il simbolo del lucchetto (
) la certezza matematica che la comunicazione sia sicura non si può più avere (almeno senza trafficare a bassi livelli). Chi mi dice infatti che durante una transazione bancaria dall’altra parte del filo non ci sia un server Debian/derivato non patchato? In parole povere anche se non sono direttamente utente Debian, la mia sicurezza è stata comunque messa a repentaglio nei secoli dei secoli grazie ad un certo Kurt Roeckx: che si badi bene non è developer esperto di crittografia pasticcione, ma semplicemente un tabaccaio che, non capendo una cippa di numeri casuali ed entropia, ha ritenuto opportuno sistemare tutto da solo:
What I currently see as best option is to actually comment out those 2 lines of code. But I have no idea what effect this really has on the RNG. The only effect I see is that the pool might receive less entropy. But on the other hand, I'm not even sure how much entropy some unitialised data has.
Però per risolvere la vulnerabilità ci sono volute solo 3 ore! (e ci credo è bastato rimettere a posto del codice che ha sempre funzionato). Complimenti!
-quack
[1] La stessa opinione è stata
spesso manifestata dal management di Mozilla. Per fortuna però almeno loro hanno capito che c’era qualcosa che non va e che
bisogna individuare un’altra metrica più oggettiva e soprattutto funzionante.
[2] Lo so, non vuol dire niente ma mi piace lo stesso.
[3] C’è da aggiungere che patchare un server Debian senza rigenerare tutte le chiavi è altrettanto inutile
Non c’è più tempo da perdere. Le opzioni sono due:
-
ci si assicura che il DNS del proprio ISP sia già stato patchato
-
ci si affida a OpenDNS per un bel po’
Non sempre gli h4ck3r “buoni” sono persone responsabili.
UPDATE: la situazione peggiora di ora in ora. Un nuovo exploit permette di compromettere un intero dominio anziché un singolo host.
-quack
Technorati Tags:
DNS poisoning
Quando batman parla, il joker se la ride.
Brani degni di nota per uno spettacolo di cabaret:
Perché "non ci si arrivava in fondo". Noi facevamo il giro ad installare i service pack ed a configurare correttamente il software e, dopo due minuti, la situazione era già cambiata a causa degli aggiornamenti di Microsoft e dei suoi partner (che a volte modificano anche alcuni aspetti della configurazione) e, soprattutto, a causa del comportamento irresponsabile degli utenti e dei loro capi.
Qui non capisco cosa abbia a che fare la questione numero di aggiornamenti con il fatto che Windows sia proprietario. Sappiamo quali sono i prodotti più bacati, per lo meno in “numero”.
Teoricamente, infatti, è possibile cercare e correggere gli errori all'interno dei sorgenti, senza aspettare l'intervento di altre persone.
Infatti la prima cosa che un utente fa dopo aver installato OpenOffice è cercare gli errori. Come no!
Tuttavia, non abbiamo ancora sperimentato situazioni veramente critiche come quelle prodotte da Code Red, Nimda ed altri virus.
Che strana memoria. Ci si ricorda di Nimda e Code Red (2001) e non ci si ricorda del tapiro d’oro Maggio 2008.
"Far sì che i Web server IIS (Internet Information Server) esposti ad Internet IIS siano sicuri, comporta per le aziende un costo di manutenzione molto alto", si legge in un'analisi pubblicata dal Gartner pochi giorni dopo la rapida diffusione di Nimda. "Le aziende che stanno usando il server Web Microsoft IIS devono aggiornare ogni server IIS con ogni patch di sicurezza rilasciata da Microsoft su base quasi settimanale. Tuttavia Nimda (ed in minor misura Code Red) ha nuovamente dimostrato l'alto rischio insito nell'utilizzo di IIS ed il grande sforzo necessario per stare al passo con le frequenti patch di sicurezza di Microsoft."
[…]
Nell'analisi del Gartner, firmata da John Pescatore, si arriva addirittura a consigliare alle aziende colpite da entrambi i worm, Code Red e Nimda, di "prendere immediatamente in considerazione alternative a IIS (...) come iPlanet e Apache. Sebbene questi server Web abbiano richiesto alcune patch di sicurezza, essi offrono maggiore affidamento di IIS e non sono sotto l'attacco attivo di un vasto numero di creatori di virus e worm". (Da Nimda non molla. IIS sotto processo)
È bello fare considerazioni quando si guarda a dati del 2001. Il mondo da allora ha fatto passi avanti. Secondo secunia:
Apache 2.2.x
IIS 6.x
Se la storia deve insegnarci qualcosa, allora la storia ci insegna a fidarci del software Open Source ed a diffidare di quello Closed Source. Non è una questione di opinioni ma il semplice risultato della conta dei cadaveri sul campo di battaglia: per ogni Apache "schiantato" ci sono 100, o forse 1000, MS IIS.
A parte che se ci si diverte a tirar fuori storie del 2001, non si tratta più di storia ma di archeologia. Fortify è stata abbastanza chiara nel notare che ormai gli attacchi si stanno “alzando di livello”. Cercare e sfruttare una vulnerabilità per IIS o Apache è tempo mal speso per un hacker quando basta fare una ricerca su google ed avere una lista di 500 mila applicazioni web infettabili via SQL Injection o SQL Execution. Magari tutte open source.
-just joking
Technorati Tags:
Security
Una legge di Murphy recita che chi sa fare, fa; chi non sa fare, insegna; chi non sa insegnare, critica. Paul Thurrot, dopo aver analizzato una circolare di Apple inviata a tutti rivenditori che invita a ritirare con effetto immediato lo slogan “Exchange for the rest of us” in quanto chiaramente falso, fa le pulci alla recensione di David Pogue del servizio MobileMe; tale recensione sembra studiata a tavolino con molto impegno in quanto alcuni aspetti di certo non secondari sono accuratamente nascosti sotto uno zerbino virtuale.
David Pogue non ha mai nascosto di essere un fan sfegatato della mela mozzicata. L’ha dimostrato in questo video ormai famoso. Che poi un osservatore attento si spinge a chiedere perché mai Pogue si sia mai sforzato di scrivere un libro intitolato Windows Vista the missing manual (buon libro per carità). Decisamente sorprendente, come la piattaforma usata per gestire i pagamenti nella totalità degli Apple Store americani.
-quack
Pagina Successiva »
