Giro una notizia che sta passando abbastanza in sordina ma che dovrebbe fare immediatamente il giro del mondo.
Microsoft ha rilasciato l’SDK di U-Prove di cui avevo già parlato in maniera flash in precedenza. La parte più interessante è questa:
It is made available under the BSD open-source license.
Vittorio Bertocci aka Vibro.Net ha intervistato Stefan Brands, il ricercatore dietro questa importante innovazione. L’intervista è estremamente godibile per gli appassionati dell’argomento cryptografia; Vittorio la definisce in una parola sola come cryptopr0n.
Enjoy!
P.S. sempre a proposito di privacy le scuse pubbliche di Google sulla questione Buzz sono esilaranti. The Onion è un giornale satirico, però l’esagerazione caricaturale dell’articolo è davvero minima.
La nuova release di Firefox mi ha fatto imbestialire molto. Uno dei miei plugin preferiti non funziona più, buona parte delle nuove funzionalità le trovo totalmente inutili (Personas? come on…) e quindi mi sembrava ora di tornare ad usare Chrome-on-Scroogle.
L’unico motivo però che mi legava a Firefox era la compatibilità di questo con i vari plugin di password management offerti in bundle con i lettori di impronte digitali. Deciso a trovare una soluzione alternativa, mi son imbattuto in LastPass. Solo qualche mese fa avrei fatto una smorfia di disgusto: un password manager online mi sembrava una pessima idea, dopo aver letto recensioni entusiaste di un simile sito made in Italy (Clipperz.com). Poi però ho analizzato un attimo il workflow e valutato un po’ di pro e contro mentre nel “frattempo” penso ad una soluzione “ideale”, quella di hostare un password server per conto mio.
Mi sarei potuto accontentare di KeePass ma non sono riuscito a trovare una soluzione convincente che fosse compatibile con un clipboard manager come ClipX e compatibile al meglio con tutti i browser decenti. Mi dispiacerebbe se cambiando ancora idea sul mio browser di default mi costringesse a rivedere di nuovo questa scelta.
Un password manager online ha un grosso vantaggio rispetto a quelli offline: girando contestualmente nel browser potrebbe riempire automaticamente i form di login senza passare dalla clipboard. In più un password manager online offre la possibilità di accedere ovunque alle mie password in maniera estremamente sicura tramite l’uso di One Time Password. Sia Clipperz che LastPass da questo punto di vista offrono le stesse feature ma ho scelto il secondo per due motivi fondamentali: la disponibilità di plugin nativi per tutti i browser che mi interessano (IE, FF e Chrome) che si traduce in una comunicazione più sicura ed il supporto di multi-factor authentication via YubiKey un affarino USB moooolto interessante. L’offerta di 2 YubiKey con un anno gratis di LastPass Premium (che costa 1$ al mese ed è necessario per il supporto della YubiKey) poi sembra molto allettante… un pensierino ce lo sto facendo.
La soluzione ideale? Portare il server Clipperz in .Net e scrivere una piccola extension per i tre browser. Ma è il tempo che mi manca, bisognerebbe allungare le giornate, ecc. per cui per ora mi accontento di quello che già sembra un grosso passo avanti.
-quack
Ovvero per quale motivo al mondo il governo francese e quello tedesco hanno sconsigliato l’uso di Internet Explorer.
È semplice: il pianeta è pieno di malinformatici. Gente che, non conoscendo la differenza tra mitigazione ed eliminazione, pontifica a destra e sinistra su quale browser usare, quale sistema operativo usare, che marca di PC comprare.
La differenza per gentilezza la spiego io: si chiama defense in depth e parte dal presupposto che rilasciare prodotti perfetti è impossibile. Se il prodotto è “pericoloso” come lo è appunto un browser, significa perseguire una politica di limitazione del danno. E cioè se una pagina cattiva riesce a causare un odioso buffer over/underrun l’unica applicazione a sopperire è il browser stesso.
Nel caso del baco di cui si è tanto parlato in questi giorni è la stessa differenza che c’è tra un baco sfruttabile facilmente ed uno che potrebbe essere limitato solo al mondo teorico.
Ovviamente è altrettanto chiaro che se una persona si ostina ad usare e consigliare Mac perché è sicuro non può sapere né capire quanto l’effetto di qualche mitighescion può essere fondamentale quando OSX è l’unico sistema operativo al mondo che scompatta ed esegue automaticamente file zippati.
Ma questa è la vie nell’era dei malinformatici.
-quack
P.S. Google non sta raccontando tutto quello che sa. Ed il mondo dovrebbe aprirsi al principio di reciprocità: se il governo cinese usa malware per rubare dati, tutto il software prodotto in occidente ed esportato in Cina dovrebbe essere dotato di backdoor. Così la vedo io….
(manco a farlo apposta ecco un baco spettacolare; venghino siòre e siòri)
È caldamente sconsigliato usare un portatile con Windows 7 come paracadute; nonostante le varie migliorie nel “settore” sicurezza, Windows 7 non può essere equiparato a dispositivi salva-vita come e non limitato a salvagenti, paracaduti, airbag, cinture di sicurezza, preservativi, mascherine anti-batteriche.
È caldamente sconsigliato approfittare delle nuove caratteristiche di stabilità di Windows 7: per quanto se ne dica (bene) in giro Windows 7 non è resiliente a terremoti, intemperie, immersioni, martellate e forti stress di tipo chimico, fisico, elettrico o meccanico.
Sembra strano dover fare certe raccomandazioni, ma a leggere certe disinformazioni in giro non credo di esagerare. Ovviamente le disinformazioni di Sophos sono state subito riprese e ripubblicate con una certa enfasi dai siti disinformati di tutti il mondo: il sotto testo è sempre lo stesso, “io ho un mac e non ho di questi problemi”.
A proposito di mela: tempo fa ho comprato Snow Leopard dal negozio fantascientifico con tanto di ricevuta via email. Senza chiedermi il permesso hanno deciso di aggiungermi alla loro mailing list di novità; dopo essermi cancellato hanno deciso che sono comunque interessato alle loro novità e continuano a spammarmi. Un po’ come succede per la nuova mirabolante versione di iTunes: vuoi abilitare l’autorun? No?? Allora te lo abilitiamo lo stesso in una maniera o un’altra buttando nel cesso anni e anni di evoluzione in termini di sicurezza. Un consiglio spassionato anche se inutile per chi mi segue: non comprate prodotti che richiedono software fogna per funzionare.
-quack
Campionario spam 2009 diviso in categorie e percentuali ad occhio.
Arrapati: Cial1s, v1agra & co. Un classico sempre-verde, circa il 50% dello spam. Scopo: vendere prodotti scadenti di origine probabilmente asiatica e con probabile riciclo di carta di credito.
Gamblers: una interessante novità del 2009; il mittente fa finta di avermi aggiunto per sbaglio ad un thread in cui spiega un sistema “vincente” per vincere ai Casino online e che si rivela essere una variante più aggressiva e pericolosa della martingala. Il sistema è presentato in parole semplici e con accluso link ad uno dei tanti mirabolanti siti per testarlo immediatamente. Circa 10% dello spam. Scopo: truffa e riciclo della carta di credito.
Rolex: circa 10%, anche questo un sempre verde.
Malware: clicca qui, clicca là, c’è una foto che non ti devi perdere, ecc. 29% del mio spam.
Craiglisters: classica truffa nigeriana, ho bisogno assolutamente del portatile/macchina fotografica/mulo/scimmia di mare che stai vendendo localmente su Craiglist. Purtroppo verrei di persona ma sono di Washington D.C. e sto in vacanza a Londra e devo fare un regalo a mio figlio/nipote/pronipote/amico delle elementari che vive (indovina un po’?) in Nigeria (*). Ti mando un paypal perché voglio che tu spedisca in fretta e per poi ritrattare dicendo che mi è stata rubata la carta di credito. Già dal primo contatto, quello in cui ti chiedono il prezzo “finale” dell’oggetto o se è ancora disponibile, sono riconoscibili per una ragione fondamentale: usano nomi banali del tipo “John Smith”, “Robert Williams” e “Joy Sweet” (bellissima questa!).
-quack
(*) Giuro, tutto vero.
Due progetti interessanti ed uno abbastanza controverso basati sul boot chaining (?) mi hanno tenuto abbastanza impegnato durante il weekend.
Il primo riguarda l’installazione di OSX su PC non marcati Apple (*). Per spirito di hackeraggio ho seguito una delle tante guide che spiega come installare OSX su un Dell Mini. A quanto pare l’hardware del Mini è tra i più compatibili con OSX ed è stato tutto un fiorire di guide da 10 mila passi guai a sgarrarne uno e di tool “semi-automatici aspetta e spera” che automatizzano alcuni di questi. Il mio obiettivo era di testare la possibilità di installare OS X e Windows 7 in dual boot: obiettivo abbastanza stimolante in quanto OS X richiede una partizione GPT per il boot, Windows 7 richiede una partizione MBR. In questo caso il boot chaining avviene caricando un bootloader prima del boot di OS X e che faccia credere ad OS X di essere su un Mac. Qualcuno di questi è abbastanza sofisticato da presentare un menù grafico con tante opzioni e le icone più appropriate in base al sistema operativo.
Il secondo riguarda il supporto CableCard su hardware generico. C’è molta affinità tra questi due perché da specifiche CableCard il software di decoding può girare solo su PC blessed dal consorzio. Qualcuno un po’ per caso ha scoperto che dal punto di vista pratico questo blessing avviene con la presenza di una stringa nel BIOS e che alcune schede madre teoricamente non-blessed contengono tale stringa comunque. Qualcuno si è spinto oltre ed ha riconvertito qualcuno dei tool per piratare Windows in un boot loader che simulasse il blessing di CableCard come alternativa alla manipolazione diretta del BIOS. Materiale molto interessante che mi ha fatto esitare un po’. (Detto fra noi il blessing è una ca*ata pazzesca, inventato più per motivi politici che tecnologici)
Last but not least qualche giorno fa era tornato alla ribalta su Slashdot l’ennesimo episodio-scoop dei due ricercatori che con VBootkit erano riusciti a prendere controllo di Windows 7 (mi meraviglio di come mai qualcuno in Intel/AMD non abbia cercato ancora un briciolo di pubblicità mostrando come creando un micro-processore apposito, si possa prendere il controllo dell’OS). Aldilà della faccenda puramente politica del tirare fango stupidamente, la questione è interessante in quanto VBootkit, che altro non è che un chain-loader primordiale, inverte i ruoli di “vittima” e “carnefice”. Se nei primi due casi la vittima è il sistema (OS X che crede di girare su Mac, CableCard che crede di girare su HW blessed) nel terzo vorrebbe essere l’utente. Condizionale d’obbligo perché alcuni sistemi operativi propriamente configurati impediscono già di default tale tipo di attacchi. Windows 7, a differenza della concorrenza, è uno di questi ed al lettore attento si lascia l’onere della dimostrazione del teorema.
-quack
Safari su MacOS è caduto in pochissimi secondi grazie al solito Charlie Miller; se si aggiunge che non è stato l’unico si può tirare facilmente il quadro della situazione pietosa.
Sono seguiti (credo nell’ordine da quanto si legge fra le righe) Firefox e IE8/Win7, quest’ultimo parrebbe con molta più difficoltà.
E per favore cominciamo a chiamare MacOS/Safari con il giusto nome: “giocattoli”. 
Sì, sì certo non ci sono “virus” per Mac. A queste condizioni temo non ci sia gusto… 
-quack
Pagina Successiva »
