Patologia 1

Visto che si parla di virus, trojan (da queste parti tra l’altro è il nome di una marca di preservativi), dedico cinque minuti a scrivere un post glossario giusto per creare un minimo di terminologia comune ad estensione di quanto già detto su questo canale. Altrimenti, come diceva Ciro il pizzaiolo, parlamm e nun ce capaimm.

Virus: è un termine ormai obsoleto. Anni ed anni fa, quando i virus erano l’unica tipologia di applicazione maligna, era usato come sinonimo di malware. Nel duemiladieci il termine è da considerare arcaico al punto che chi parla di “virus” nella stragrande maggioranza dei casi suona agli addetti ai lavori contemporaneo come una poesia di Carducci. Il nome virus dato a questa tipologia di malware deriva dal fatto che il codice maligno, come un virus organico, tende a riprodursi e diffondersi usando altri organismi (programmi) come veicolo di infezione. Oggi giorno i virus non esistono quasi più e tra i settecentocinquantafantastiliardidimilioni di variazioni quelli che continuano a girare sono sempre gli stessi dieci (decina più, decina meno). Esempio di virus: Melissa. Melissa si propagava attraverso i documenti Word. Chi apriva un documento word infetto, attivava il codice malevolo che si replicava su altri documenti word presenti sullo stesso PC. In realtà poi il furbacchiotto mandava uno di questi documenti infetti a caso ad una cinquantina di persone prelevandone i nominativi dalla rubrica indirizzi (fonte). In parole povere la parola virus denota uno specifico tipo di comportamento patologico, ovvero la diffusione automatica del codice malevolo da un file all’altro.

Worm: lo scopo di un worm è di propagarsi da una macchina infettata all’altra usando la connessione in rete. Ironia della sorte l’ambiente naturale dei worm, fino a qualche anno fa, erano i server in quanto gli unici computer ad essere costantemente in rete. Con l’avvento delle connessioni permanenti casalinghe (ADSL) i worm hanno cominciato a trovare terreno fertile anche sulle workstation e home computer. Anche in questo caso la parola worm denota uno specifico comportamento. Melissa oltre ad essere un virus (passare da un file all’altro) era anche un worm in quanto si propagava da un PC all’altro usando l’email, ovvero una connessione di rete.

La differenza principale tra virus e worm è questa: il virus (se non esibisce anche comportamenti da worm) si propaga molto più lentamente del worm in quanto è necessario uno scambio non sollecitato di file tra infettato ed infettando (?). Un’altra differenza tra le due patologie è che molto spesso il virus per attivarsi ha bisogno dell’intervento dell’infettando. Esempio: io passo a Luigi un file con un virus ma fin quando Luigi non lo apre il virus non si attiva e non fa danni. La propagazione di un virus da un PC all’altro è una conseguenza della propagazione dello stesso da un file all’altro e dallo scambio inconsapevole di file infetti e pertanto la propagazione tra un PC e l’altro può risultare anche lenta; i worm invece sono disegnati e pensati da zero per passare da un PC all’altro nel modo più diretto e veloce possibile.

L’esempio di worm più eclatante è Sasser.

Antivirus: applicazione originalmente mirata a bloccare la diffusione dei virus. Nell’esempio di Luigi, se Luigi ha un antivirus installato, quando Luigi clicca sul file per aprirlo l’antivirus controlla e scopre che c’è qualcosa che non va bloccando l’infezione prima ancora che il codice maligno possa avere occasione di essere eseguibile. Pertanto gli antivirus tradizionali sono utilissimi per combattere il primo tipo di malware (e altri).

Trojan: il trojan è un pezzo di codice malevolo aggiunto intenzionalmente in un’applicazione. Per chiarire un piccolo esempio: supponiamo Luigi mi chieda il documento Word dell’estratto conto mensile; io potrei consapevolmente ed intenzionalmente introdurre del codice malevolo abusando della fiducia di Luigi nei miei confronti. I trojan sono la categoria più semplice di malware basato su tecniche di ingegneria sociale. Tendono di solito a nascondersi in applicazioni o file molto appetibili: il filmato porno di quell’attricetta, il crack/keygen di Autocane 2012 e così via.

Differenza tra trojan e virus: nel caso dei trojan c’è intenzionalità da parte di chi diffonde il codice malevolo che manca nel caso dei virus. Per lo scopo di diffondere l’infezione i trojan sono perciò più efficaci, basta semplicemente creare qualcosa di appetibile.

Rootkit: un rootkit è un pezzo di codice intenzionato a sfuggire a tutti i controlli di presenza del sistema. A differenza di un virus, in cui il sistema sa che c’è del codice in esecuzione ma non può distinguerlo dal codice benigno in quanto agnostico delle intenzioni, un rootkit è un vero e proprio mantello di invisibilità. Un rootkit di per sé non è malware o per lo meno c’è sempre forte dibattito attorno a questo punto. Il problema piuttosto è che tale mantello viene nel 99.9% periodico dei casi usato per scopi malevoli: l’esempio più famoso è il rootkit della Sony le cui intenzioni erano quelle di gestire il DRM a modo proprio diventato ponte di lancio per infezioni banali ma difficili da individuare.

Vulnerabilità: tutte le applicazioni purtroppo contengono bachi. Alcuni bachi sono però più gravi di altri dal punto di vista della sicurezza e permettono ad un malintenzionato di effettuare operazioni normalmente impossibili. Vulnerabilità in applicazioni o peggio ancora in servizi di sistema sono praticamente il veicolo principale della propagazione dei worm.

C’è infine una categoria che va sotto il nome piuttosto generico di exploit. Per alcuni tratti si comportano come dei trojan, ovvero richiedono l’inganno per portare l’utente a visitare un sito e sfruttando una vulnerabilità non patchata sulla macchina di chi lo visita permettono l’esecuzione di malware, l’installazione di un rootkit o l’aggregazione del PC ad una botnet a cui sarebbe da dedicare un post separato.

Il malware è però innanzitutto software ovvero codice applicativo. Come tale malware per OSX non funziona su Windows e viceversa. Dire che ci sono centomilamiliardi di “virus” (daje!) per Windows che non attaccano il Mac è la stessa cosa che dire che ci sono centomilamiliardi di applicazioni per Windows che non girano su MacOS. In realtà poi il malware ha una proprietà intrinseca che lo porta a diventare obsoleto molto più in fretta delle normali applicazioni d’uso quotidiano.

E per questo post basta così.

-quack

P.S. se fa piacere proporrei alla fine della serie un popquiz, un test a scelte multiple, per misurare la conoscenza dell’argomento

Pubblicato mercoledì 24 marzo 2010 alle 6:11 PM - 36 commenti so far
Archiviato in: Security

Restore PLAN

Un piano di backup, senza aver mai provato un’operazione di restore, è praticamente placebo.

Help! Help!

L’ha scoperto a sue spese Jeff @ CodingHorror, che ha “istituito” la giornata internazionale del backup consapevole spiegandone le ragioni in questa pagina. Nel mio caso c’è però un piccolo antefatto: ho esteso lo storage primario della mia Workstation con un secondo SSD identico. Ho aspettato a lungo l’uscita dei nuovi SSD basati su controller SandForce sperando che il costo per GB scendesse come promesso di gran fanfara. Il rilascio dei primi prodotti ha disatteso tutte le mie aspettative ed ho pensato che la soluzione più economica è quella di due SSD in Raid0 (l’unico Raid che funziona ). Ero indeciso se fare un restore o una reinstallazione da zero ed ho optato per la seconda, però ho voluto dapprima tentare comunque il restore per capire cosa succede e se è davvero possibile farlo. Non ci sono praticamente riuscito ma non a causa di difficoltà che avevo messo in conto, ma per il fatto che il Restore CD di Windows Home Server non ha in dotazione i driver corretti della scheda di rete della Workstation (che fortuna, eh?). Una volta però che ho reinstallato tutto ho deciso di andare a fondo e di cercare la soluzione al mistero. Per indagare ho dovuto più volte riavviare da CD o chiavetta USB scontrandomi con un altro problemino che con la mia Workstation ho avuto praticamente da sempre: la fase iniziale di boot di WinPE è lentissima. Ovvero tra un passo e l’altro del wizard di restore passano diversi minuti, cosa riscontrabile anche durante le prime fasi di installazione dei nuovi sistemi operativi (Vista e 7). Questo significa che ogni tentativo di restore, tra passi opzionali e meno, ha finito per richiedere almeno 20 minuti. Mi è venuto in aiuto San Scroogle: ho scoperto che il problema si presenta con alcuni BIOS molto diffusi se nei settaggi è indicata la presenza di un floppy drive che però non esiste. Rimosso tale settaggio tutto ha cominciato a filare a meraviglia, rispostando la mia attenzione sul problema del driver della scheda di rete. La regia mi dice che praticamente Realtek ha cappellato il versionamento dei driver: la soluzione è l’esistenza di un Restore CD creato da qualche tabaccaio all’uopo e contenente una quantità sterminata di driver per Windows Home Server. L’ho provato e il tutto ha funzionato decisamente al primo colpo.

Morale del post:

  1. se l’installazione da zero di Windows 7 o Vista è lentissima durante la prima fase, assicurarsi di disabilitare il floppy drive fantasma nel BIOS.
  2. se il restore wizard di WHS non sembra riconoscere la rete correttamente, cosa che è sicura al limone nel caso si possieda una scheda di rete basata su Realtek, scaricare e masterizzare il “Windows Home Server Restore CD X:\files edition

-quack

Pubblicato martedì 23 marzo 2010 alle 7:53 PM - 8 commenti so far
Archiviato in: Hardware, Backup

La casa in campagna

Charlie Miller dixit:

Mac OS X is like living in a farmhouse in the country with no locks, and Windows is living in a house with bars on the windows in the bad part of town.

Per una volta non sono d’accordo, la metafora non è corretta. È una frase che Charlie ripete spesso ed è venuta alla ribalta in questi giorni. Perché detta così la casa in campagna sembrerebbe un’idea molto allettante di quanto lo sia in realtà che è ben più complessa della semplice metafora. E soprattutto non tiene conto di un semplice fatto: non si tratta del posto in cui viverci, ma soprattutto del modo in cui viverci. Se si decide di vivere in una casa col minimo indispensabile (qualche elettrodomestico, un cambio di biancheria, ecc.), dal punto di vista della sicurezza non ci sarebbe nessuna differenza; se invece l’intento di una casa è di viverci a medio-termine con tutto quello che ne CasaInCampagnaconsegue, si avrebbe bisogno di un posto sicuro in cui tenere roba di valore: qualche contante, un televisore decente, una botta di vita. La metafora inoltre non tiene conto di un altro elemento: Apple non vende una casa in campagna desolata; se fosse per Cupertino avremmo una casetta per ogni angolo a meno che non si considera il prezzo come forma di disincentivo.

Io avrei usato una metafora diversa e basata sull’appetibilità: Windows è come una Ferrari con tutti i sistemi di sicurezza pre-attivati; OSX è una Citroën Visa senza neanche una serratura funzionante. Molto più economicamente sensato cercare di impossessarsi di una Ferrari, tanto qualcuna con l’allarme spento, la porta aperta e le chiavi nel cruscotto la si trova sempre. All’equazione infatti va aggiunto il fatto che con la diffusione di Internet la percentuale di ganzi online è aumentata drasticamente ed in fin dei conti basta essere solo un po’ meno ganzo del vicino di casa per vivere tranquilli: la saggezza popolare dice che se non vedi altri polli intorno il pollo sei tu. Applicata alla metafora della casetta in campagna si potrebbe dedurre che chi sceglie questa soluzione non può essere mai certo di non fare la fine del pollo.

Il mondo purtroppo – per qualsiasi argomento – si divide in people who care e people who don’t care. Usare una metafora banale per cercare di convincere il secondo gruppo ad interessarsi alla questione è contro-producente. Se il dito del saggio indica la luna, lo sguardo del ganzo è fermo sul dito. E chi di metafora ferisce, di metafora morisce.

-quack

P.S.: una delle cose che mi avvilisce di più è che in Apple anche le regole più elementari di security testing sono palesemente ignorate. Bontà loro…

Pubblicato lunedì 22 marzo 2010 alle 4:50 AM - 167 commenti so far
Archiviato in: Apple, Security

Mix 2010

Tempo fa circolava una mail di Dean Hachamovitch che parlava delle meraviglie di IE9 da venire, giunta nella mia casella grazie al forward del capo, del capo, del capo, ecc. Allora feci l’avvocato del diavolo e chiesi: ma ha senso ancora difendere un rendering engine che le piglia da tutti sotto tutti i punti di vista? Non sarebbe meglio impacchettare un’altra incarnazione di WebKit? La risposta fu sul tono di “aspetta e vedrai”, Microsoft è l’unica azienda che ha interesse a fare un buon browser in cambio di soldi dai propri clienti. Per Mozilla è più importante mantenere il Web aperto, per Google è più importante veicolare quanta più pubblicità possibile e così via.

Il mio scetticismo è letteralmente scomparso quando ho provato la nuova preview. Se n’è discusso in precedenza ma IE9 se la gioca benissimo, pur essendo una preview, con tutti i browser sul mercato in ogni campo. Ed oggi ho smesso di pensare che WebKit sia l’unica soluzione.

Qualche maligno non la pensa così e qualcuno può leggersi la risposta di Thurrot (interessante osservazione: As if there is a single thing called WebKit. The truth, sadly, is that WebKit-based browsers all render things differently, and this is even worse on the mobile web)

Qualche altro ha pensato di porre l’accento sul fatto che è l’ennesimo tentativo di MS per portare clienti a Windows (ma va?)

Qualche altro aggiunge che i meriti di IE9 vanno dati _solo_ alla concorrenza (ma va?).

Pochissimi hanno discusso invece di oData rilasciato tra l’altro con Licenza Apache.

Qualcosa è cambiato da un pezzo ma sono in pochi ad essersene ancora accorti.

-quack

P.S. segue una serie di vignette simpatiche che riflette un po’ la situazione odierna. (via)

imageimageimageimage

Pubblicato mercoledì 17 marzo 2010 alle 9:32 PM - 103 commenti so far
Archiviato in: Cazzate

Innovescion

Giornata di MIX ancora poco interessante in quanto il “Gu” ci ha presentato SL4 in anteprima diversi mesi orsono…. il pensiero va alla concorrenza, visto che in Off Topo è un argomento ancora caldo e visto soprattutto che viene citata dai soliti noti come l’azienda più innovativa dell’universo intero ecc. ecc. La memoria va ad una discussione avuta con amici e colleghi sulla presentazione dell’iPhone 1.0. Qualcuno lo chiamava un dispositivo rivoluzionario altri si limitavano a definirlo evoluzionario. mela_marciaLa prima versione non supportava neanche le reti 3G (quel furbacchione di Steve Jobs raccontava la favola che era impossibile costruire un dispositivo onnipotente e anche 3G senza richiedere alimentazione nucleare salvo poi annunciare una nuova versione pochi mesi dopo). L’unico SDK per l’iPhone era Safari (esiste ancora?) e la volontà di venderlo come tale fu così tanta che fu sponsorizzato il porting di Safari per Windows, uno dei prodotti Software più inutili della storia, utile solo ai webmaster diligenti che volevano essere sicuri che i propri siti web funzionassero decentemente anche su OSX senza doversi svenare con la Apple Tax. Poi è arrivato il jailbreaking e Steve vide che era buono… che effettivamente c’era qualcuno al di fuori di Apple capace di immaginare usi del telefono diversi da quelli immaginabili esclusivamente a Cupertino. Fu così che nacque – secondo la mia modestissima opinione – l’idea dell’iPhone SDK e iFart partì alla conquista del mondo. Nel frattempo la concorrenza annaspava ma tirava fuori prodotti degni di rispetto: quello che ad esempio si poteva fare con il G1 (tethering senza hackeraggi, shopsavvy grazie alla fotocamera capace di mettere a fuoco, ecc.) era addirittura impensabile col telefono made in Cupertino. Alla fine hanno deciso di metterci finalmente una pezza con l’ultimo modello davvero niente male ma neanche niente di che dal punto di vista innovativo. Guardo al percorso evolutivo e noto:

iPhone 1.0 = Mezzo Smartphone + Multitouch + Ottima UI + “Ottimo” browser
iPhone 3G = iPhone 1.0 + 3G + Mezzo Smartphone (l’altra metà che mancava)
iPhone 3GS = iPhone 3G++ (hardware aggiornato alla soglia della decenza)

Last but not least:

iPad = (iPhone con funzionalità --) con dimensioni++

Ovvero praticamente da 3 anni e passa Apple vive di rendita pubblicitaria sull’innovazione: sul come c’è veramente da imparare lezioni e lezioni magistrali di marketing per vaporware. Se si prende l’iPad si può pensare a:

Fase segreta: alcune informazioni lasciate trapelare qui e là per suscitare interesse molto prima di avere qualcosa di concreto. Con una percentuale non irrilevante di clientela questo funziona molto bene, Robert Scoble in un suo twit si diceva pronto a mettersi in fila già dal giorno della presentazione del prodotto sulla fiducia. Contento lui…

Fase pre-lancio: il prodotto viene sottomesso all’approvazione dell’FCC. Alcune informazioni succose potrebbero essere già definite (es. se l’oggetto avrà un telefono o meno, ecc.) per cui Apple tiene tanto a mantenere questo come il più breve possibile.

Fase di lancio: gli aggettivi si sprecano (wonderful, beautiful, magical) il Reality Distortion Field viene pompato al massimo.

Fase di prevendita (opzionale): si annuncia che il tale giorno a tale ora si potrà ordinare il prodotto che sarà consegnato XXX giorni dopo. I trombettieri del Re ovviamente tornano a parlare del nuovo oggetto del desiderio.

Fase di vendita vera e propria, con i più fedeli a fare la fila accampati dal weekend precedente.

Sono convinto però che con l’iPad qualcosa si sia rotto. Se il 10% dei miei colleghi possiede un iPhone (brava Apple, però vorrei sapere quanti dei tuoi clienti/dipendenti possiede a casa un PC con una copia [magari pirata] di Windows: io lo so ma non lo posso dire ed assicuro che è un numero esageratamente grande rispetto a quel dieci), la totalità di quelli da me intervistati mi ha mostrato una smorfia quando è stato presentato l’iPad. Si aggiunga che mai prima d’ora Apple si era dimostrata sensibile ad un ritocco al ribasso del prezzo a pochi giorni dalla fase di lancio.

E ancora: qualcuno mi dica quali sono le novità rilevanti di Snow Leopard a parte la scopiazzatura in fretta e furia di qualche feature di Win7 rispetto a Windows Vista.

Infine sull’innovazione e brevetti: dodici anni fa si scherzava sul fatto che Microsoft avesse brevettato il codice binario. Qualcuno però legga l’articolo e sostituisca Microsoft con Apple e BillG con SteveJ e mi dica se quello stesso post non è molto più verosimile oggi di come lo era oltre una decade fa.

Il tempo dirà se quello che mi sembra un declino innovativo è realistico o meno.

-quack

Pubblicato lunedì 15 marzo 2010 alle 6:54 PM - 175 commenti so far
Archiviato in: Apple