Lost in translation

Nov 12, 2007 - 0 comments - Archiviato in: #Cazzate #Windows

Ovvero: se colleghi Vista ad una macchina fotografica ti esplode il PC e ti becchi sette anni di sfiga nera.

Innanzitutto mi scuso preventivamente con Christian se non proseguo la "discussione" sul suo blog. Chiedo scusa a chi mi legge se uso un post per fare un reply. I motivi saranno chiari fra poco. E passiamo al tema caldo della discussione.

Nella mia pagina sulle bufale (dal nome poco fantasioso "bufale in Vista") è incluso un link ad un commento di Luca che spiega come un baco davvero di poco conto, in un codec scritto dalla Nikon, sia diventato un post intitolato "Vista distrugge le foto".

Doxaliber giustamente si chiede perché il suo post è una bufala minimizzando:

Alla fine la "bufala" sarebbe un titolo poco felice che però racconta un BUG che esiste(va) davvero, segnalato dalla stessa Microsoft.

E allora visto che il senso reale del "baco" si è perso nella traduzione, da anglofono mi tocca fare un po' di luce. Il post summenzionato contiene la fonte in Inglese (Gizmodo) che recita:

Windows Vista Destroys Photo Metadata
A bit of bad news about Vista if you're a photographer. Apparently if you tag a photo's metadata in Vista, it destroys other important metadata used by image editing apps such as Photoshop. Microsoft's gotten reports of RAW files generated by Nikon cameras being unreadable after being tagged with Vista or Microsoft's Photo Info tool.

What can you do? Well, Microsoft's asking camera vendors to make processing plugins for Vista that don't make images unreadable, but for the mean time we'd just recommend not updating to Vista until everything's fixed. Or just not tagging your stuff in Vista.

Qui di sotto la traduzione "accademica" (sulla sinistra) e la versione di Doxaliber (sulla destra)

Vista distrugge i metadati delle foto

Una notizia un po' bruttina se siete fotografi. A quanto pare "taggare" i metadati di una foto in Vista, può causare la distruzione di metadati importanti usati da altre applicazioni come Photoshop. Microsoft ha ricevuto segnalazioni che i file RAW generati da macchine fotografiche Nikon diventano illeggibili se vengono taggati con Vista o tramite il tool Microsoft Photo Info.
Cosa si può fare? Microsoft sta chiedendo ai produttori di plugin di sistemare il baco, ma nel frattempo vi consigliamo di non fare l'upgrade a Vista fino a quando la questione è sistemata. O per lo meno di evitare di taggare le foto con Vista.

Vista distrugge le fotografie

Piccola segnalazione per gli appassionati di fotografia che visitano questo sito.

Chi usa il tool Photo Info di Vista per visualizzare una fotografia potrebbe avere brutte sorprese e non riuscire più a leggere i dati associati alla fotografia. Con le immagini di tipo RAW il rischio è che l’intero file non sia più leggibile!

Quindi evitate di utilizzare tale programma per visualizzare le fotografie, meglio ancora, evitate di installare Vista, perché questo è solo uno dei tanti “piccoli inconvenienti” a cui andrete incontro!

Qualcosa si è perso nella traduzione dell'articolo dall'inglese all'italiano.

Si è perso il fatto che ad andare persi sono alcuni metadati delle foto, non le foto. Quindi "Vista distrugge i metadati delle foto" è diventato "Vista distrugge le foto". Certamente fa più paura.

È stato tradotto il termine fotografi (che sono gli utenti più hanno a che fare con immagini RAW) con "appassionati di fotografia": sono appassionato di fotografia anche io e perciò il post fa più paura.

È stato tradotto "taggare" - operazione attiva che richiede l'intervento dell'utente - con "visualizzare": certo che se basta visualizzare le foto per "distruggerle", la questione fa più paura. Coincidentalmente anche l'immagine allegata, che su Gizmodo raffigura appunto l'operazione di "taggamento", è stata sostituita da una immagine generica.

Si è perso che il problema è relativo alle immagini generate con le macchinette Nikon: chiaramente se si presenta il problema come un problema che affligge tutte le macchine fotografiche, il post fa più paura.

Si è perso il fatto che Microsoft sta lavorando con i vendor per sistemare al più presto la questione: una questione irrisolta fa più paura.

Infine mentre l'autore consiglia di posticipare l'update a Vista o per lo meno evitare di taggare le foto, il traduttore è più drastico e avvisa: questo “piccolo inconveniente” (l'ironia del traduttore è usata per far capire che Vista ha ben altri problemi che la “semplice distruzione delle foto”) basta e avanza per stare lontani da Vista forever and ever.

A occhio e croce la traduzione mi sembra una bufala e come tale archiviata nell'apposita pagina. Come si può vedere non è solo una questione di "titolo poco felice". È tutto il contenuto ad essere una traduzione molto approssimata con l'involontario (?) effetto super drammatico.

Ma non è finita: Luca ha fatto ancora di più ed ha risalito la catena dei link. Per arrivare a questo documento firmato Microsoft da cui estrapolo il paragrafo interessante:

Important note to users of the Nikon RAW Codec for Windows:  Microsoft has received reports of compatibility issues with Nikon NEF files after installing version 1.0 of Nikon’s RAW codec posted in January 2007.  Tagging the RAW files through Windows Vista or the Microsoft Photo Info tool after the codec is installed appears to cause these files to become unreadable in other applications, such as Adobe Photoshop. We have confirmed that these files can still be opened with Nikon Capture.
Nikon and Microsoft are investigating the issue, and we will post an update when we have more information. In the meantime, Microsoft suggests that you exercise caution with your Nikon RAW files. If you plan on tagging them using Nikon’s codec, make a backup of the file first, and verify that the tagged file continues to work with your other applications before proceeding.
Tagging the file using Photo Info without the Nikon NEF codec installed appears to be safe.

traduzione:

Notizia importante per gli utenti del codec Nikon RAW per Windows: Microsoft ha ricevuto segnalazioni di compatibilità con i file Nikon NEF se si installa la versione 1.0 del codec Nikon RAW pubblicata a Gennaio 2007. Taggare i file RAW tramite Windows Vista o Microsoft Photo Info sembrerebbe causare l'illeggibilità dei file in altre applicazioni come Adobe Photoshop. Possiamo confermare che i file rimangono tuttavia leggibili tramite il software Nikon Capture.

Nikon e Microsot stanno analizzando la questione e sarà pubblicato un update quando maggiori informazioni saranno disponibili, nel frattempo Microsoft suggerisce cautela nel manipolare i file Nikon RAW. Se pensate di taggarli tramite il codec Nikon, fatene prima un backup e verificate che il file taggato continui a funzionare con le altre applicazioni prima di procedere.
Taggare i file usando Photo Info senza installare il codec Nikon NEF sembra essere "safe".

Come si può notare anche Gizmodo - che ha riportato la notizia di quarta mano (prima mano Microsoft, seconda mano News.com, terza mano LifeHacker) - ha calcato un po' la mano (pun intended): l'illegibilità del file in altre applicazioni, se si usa il codec Nikon, è diventata "distruggere i metadata delle foto" (in terza e seconda mano era "mangles", letteralmente "scompiglia"). Un problema molto specifico e circoscritto, come Luca aveva già notato, che riguarda le foto RAW di Nikon taggate con la versione 1.0 del codec Nikon (ad oggi è già disponibile la versione 1.0.2 in cui immagino il problema sia stato risolto) che diventano incompatibili con Photoshop è diventato - in quinta passata - "se visualizzate foto RAW con Vista, verranno irrimediabilmente distrutte".

Ed ora passiamo al punto numero due, quello di Ubuntu e dei bachi PS/2.

Doxaliber scrive:

Tra l'altro se io sono "partigiano" non vedo come si possa considerare "neutrale" Paperino, che insiste sempre sugli stessi argomenti, che tra l'altro spesso non altro che "mezze verità" (ad esempio il mouse ps2 su Ubuntu non funziona a LUI, probabilmente con pochi specifici modelli e magari in virtualizzazione, non su un linux installato).

Sul partigiano e sul neutrale ci torno dopo. Sul problema dei mouse (spiacente: non è vero che "non funziona solo a me") sono stati aperti diversi bachi/segnalazioni in bugzilla, Ubuntu Forum, RedHat forum e immagino anche altri. In questo post ne ho segnalati ben sei. Un po' tanti se il problema fosse limitato alla virtualizzazione e al mio PC, considerando che non c'è la mia mano in nessuna delle sei segnalazioni. C'è dell'altro: siccome mi interessa di più capire la questione che sconsigliare di usare Ubuntu alla prima occasione, ho fatto qualche extra e ho dedicato un intero post a come by-passare il problema (ricevendo pure un link di complimenti; spero lo siano, non capisco la lingua).

Doxaliber si giustifica:

Secondo me essere di parte non è limitativo, basta non perdere l'obbiettività.

Mi dispiace ma non mi resta che osservare che - se si fanno errori così grossolani semplicemente riportando fatti - l'obbiettività s'è persa per strada, tanto tanto tempo fa.

Sull'essere partigiano: ho già detto in varie altre occasioni che dare del fazioso a me è come dare dello Juventino a Del Piero. D'altra parte sono fazioso, antipatico e ho pure altri mille difetti: ma ciò non toglie che sulla questione io abbia ragione.

-quack

Technorati Tags:

Campi minati

Nov 9, 2007 - 0 comments - Archiviato in: #Cazzate

Innanzitutto un trailer, molto divertente.

E poi una versione sadica e colorita (state avvisati, contiene linguaggio inappropriato) di campo minato.

-Enjoy

Post di servizio

Nov 9, 2007 - 0 comments - Archiviato in: #Blog-Tech

Ho aggiunto anche io un plugin per ridurre lo spam basato sull'idea Hiddy (non è proprio un plugin, mi è toccato modificare il codice della piattaforma Sad)

Se qualche commento non dovesse mai apparire, mandatemelo via mail. Prometto che non cambio più niente di funzionale Wink

-quack

Payback day

Nov 7, 2007 - 0 comments - Archiviato in: #Apple #Cazzate

Sarò cattivok.

Premessa: è un periodo un po' loffo che segue il ritorno dalle vacanze. Che ha raggiunto l'apice della loffaggine quando la formichina ha avuto un paio di settimane fa un incidente mortale con la FormiCarTM[1] #1: loffo ma non tragico perché il danno è stato per fortuna solo materiale e ci ha dato la possibilità di fare l'upgrade alla FormiCarTM #2 ad un prezzo di molto inferiore a quello di mercato con la complicità della dea bendata. Ed oggi, ascoltando i versi del Liga (cosa vuoi che sia? Passa tutto quanto, basta un po' di tempo e ci riderai su), quasi mi son commosso. Per fortuna è arrivato Beppe a portare un po' di buon umore! Premessa finita, un po' di sana meritata cattiveria.

cattivik

Sul lavoro le cose volgono finalmente per il meglio, seguirà un post più dettagliato a riguardo. Ma oggi gioisco perché la legge del contrappasso esiste e non è un'esclusiva dell'oltretomba dantesco: lo so, avevo promesso di non parlarne nel post precedente, ma alcune discussioni lette su altri blog mi hanno fatto davvero rivoltare sulla sedia dalle risate. Su tali luoghi di perdizione mi ha più che sconvolto leggere post di gente pronta a minimizzare un baco di "data loss" (a tal gente vorrei caldamente consigliare una lettura: Oh my bug!). Ho letto - incredulo e commosso - persino che la colpa è del protocollo SAMBA; a cui a questo punto c'è da aggiungere la colpa degli HDD esterni, delle chiavette USB e non per ultimo Turing stesso. Invece a quanto pare,  un'analisi delle API del File System fa sospettare anche me che siamo davanti alla piccolissima punta di un iceberg. Questo paragrafo la dice tutta:

Cutler's system - like all systems worthy of the name - performs a lugubrious number of 'sanity checks' on operation requests. It can't allow 'cyclical' operations which would end up consuming the entire hard drive; it can't allow files and directory hives to be copied into/onto themselves; and so forth.

Try any of that on a Windows box and Cutler tells you where to get off. But in the world of Apple there is no sanity checking whatsoever: any line of rogue code in any program written by any programmer in the world can contain a bug that hoses the entire system. And that bug can be prevalent or latent and only once in a great while manifest itself. And users can go on for the longest time blissfully unaware.

Non posso verificare direttamente, mi piacerebbe tanto farlo, ma se fosse vero altro che baco, altro che showstopper! Ad occhio e croce mi sembra una ingenuità ben peggiore di quanto affliggeva Windows NT 4.0 pre-SP1, quando invocare una API con parametri invalidi generava un BSOD (nessuna distruzione di dati): peccato che da allora siano passati "solamente 12 anni"!
Per non parlare poi di quanta tenerezza (sento una lacrimuccia rigare il mio viso) mi ha suscitato leggere questo commento:

ora sposto sempre con copia, poi cancello a mano

E a questo punto perché fidarsi del comando "copia"? Meglio aprire due editor esadecimali e copiare a mano il contenuto!!

Evito di infierire sul fatto che qualcun altro abbia pubblicamente sostenuto che - siccome nonostante la dicitura "blocca tutte le connessioni" - il firewall lasci passare connessioni a "servizi di sistema", il baco sia nella "dicitura" e non nel firewall stesso. Come se - una richiesta di password che accettasse qualsiasi input come buono - sia un «baco nella dicitura "password"».

Roba da cabaret, ha ragione Mary Jo.

-quack

Technorati Tags: ,

P.S. domanda: ma non sarebbe stato meglio se i soldi spesi nella più stupida campagna di marketing che abbia mai visto fossero stati investiti in «software engineering»?


[1] Nome inventato da Beppe

Sparalink #2

Nov 6, 2007 - 0 comments - Archiviato in: #Cazzate

  1. Scegli il tuo slogan, di Mary Jo Foley. Molto divertente e pieno di link interessanti.
  2. Hypervisor sottili come rasoi, di Joanna. Quote:

    Well, 32MB of code is definitely not a "razor-thin" hypervisor in my opinion and it’s not even close to a thin hypervisor...

    Se Joanna pensa che si possa scrivere un hypervisor sottilissimo prevedo che prima o poi qualche rootkit serio basato sulla virtualizzazione verrà fuori.

  3. La mela coi vermi. Nessun link, non è difficile trovarne (pericoloso spostare i file, time machine che non funziona, firewall che dice di "bloccare tutto" ma non lo fa, hard disk difettosi, ecc.). Qualcuno dei soliti ha provato a minimizzare salvandosi però in calcio d'angolo.

-quack

    Sparalink #1

    Oct 31, 2007 - 0 comments - Archiviato in: #Cazzate

    Finalmente il mio ISP si è assestato. Ne racconterei delle belle, ma a caval donato non si guarda in bocca... soprattutto se ha la bocca chiusa. Smilecavaldonato

    Mentre sono piacevolmente busy (leggi meno al computer del solito) per la visita di Beppe, che devo dire porta molta fortuna visto che il tempo si sta mantenendo clemente e le azioni continuano a salire quasi ogni giorno, volevo approfittare per sparare un po' di «link di riflessione»TM su alcuni argomenti:

    • L'amico del leopardo, Tre link tutti da leggere:
      Due pesi due misure, da cui quoto:
      Today will be no exception. The blogosphere will praise Leopard as the next best thing ever and use it as more proof why Vista sucks (It doesn't). Meanwhile, there will be little good said about Microsoft's colossal 2008 fiscal first quarter results. Those people acknowledging the earnings results will blame Microsoft for trying to kill Linux and babies in Africa as reasons for its success. The perception: When Microsoft competes, it cheats.
      Arroganza, da cui quoto:
      To be honest, there's really only room for mocking everybody else if you're absolutely flawless.
      Infine sull'essere flawless, una delle nuove 300 nuove features è il firewall a livello di applicazione. Heise security (thanks Luca!) ha dato un'occhiata al firewall nuovo 'fiammante' ed ha concluso:
      The Mac OS X Leopard firewall failed every test. It is not activated by default and, even when activated, it does not behave as expected. Network connections to non-authorised services can still be established and even under the most restrictive setting, "Block all incoming connections," it allows access to system services from the internet. Although the problems and peculiarities described here are not security vulnerabilities in the sense that they can be exploited to break into a Mac, Apple would be well advised to sort them out pronto. Apple is showing here a casual attitude with regard to security questions which strongly recalls that of Microsoft four years ago.
      Insomma, un firewall fiammante simile a quello di XP pre-SP2, in pieno rispetto della security by minority.
    • SPAM:
      Via Giovy ho scoperto Hiddy, plugin per wordpress che a quanto pare funziona a meraviglia. Se solo avessi il tempo di "portarlo" sulla piattaforma che uso! Ai lettori utenti di Community Server lì fuori: any help? Smile
    • TPM:
      Per il prossimo post sull'argomento sono ancora nella fase di raccolta bibliografica. Mi piace accompagnare quello che scrivo con link più diretti possibili alle fonti tecniche.

    -enjoy

    Beppe for USA

    Oct 26, 2007 - 0 comments - Archiviato in: #Aneddoti

    Dopo nove anni (un numero magico a quanto pare) anche Beppe ha varcato la frontiera ammerigana. E ci sono pure le prove!!

    IMG_2346

    Neanche il battesimo - prima uscita in pub - è andato così male:

    IMG_2341

    MWAHAHAHAHAHAHA

    Installare una webcam integrata

    Oct 24, 2007 - 0 comments - Archiviato in: #Cazzate

    Sull "mio" nuovo fiammante Sony Vaio la webcam è l'unica periferica non riconosciuta al volo da Vista (anche il lettore di impronte lo è, ma ormai non mi sorprendo più di tanto). Siccome - coincidenze delle coincidenze - anche il 'donzo proprio due giorni fa parlava di installazione di webcam integrata per l'Asus su Ubuntu, ecco un post che mette a confronto Vaio+Vista con Asus+Ubuntu. Chiaramente, essendo un confronto tra mele ed arance, non mi pronuncio su quale ritengo sia l'elemento di complicazione (decisamente è colpa dell'Asus Stick out tongue)

    È un post scherzoso (anche se le istruzioni sono vere, almeno per quanto io entienda lo spagnolo), dedicato al rilascio del Gibbone, visto che di provare l'ultimo ritrovato tecnologico di Canonical proprio non mi va più, anche se muoio dalla curiosità di sapere se almeno in questa versione i mouse PS2 virtualizzati funzionano. Smile

    Vista + Vaio SZ

    Installare il driver della webcam per XP

    Ignorare il messaggio di warning di PCA

    Usare la webcam (sono certo che funziona)
    Ubuntu + ASUS A6KM

    Aprire una finestra terminale

    sudo update-pciids
    sudo update-usbids

    Verificare che la webcam sia effettivamente quella:

    $ lsusb
    Bus 005 Device 003: ID 174f:a311

    Rimuovere i driver vecchi:
    sudo apt-get remove --purge dash

    In alcuni casi rimuovere a mano anche le directory:
    sudo rm -f /bin/sh
    sudo ln -s /bin/bash /bin/sh

    Prepararsi a compilare:

    sudo apt-get install build-essential bin86 kernel-package \
       libqt3-headers libqt3-mt-dev \
       libncurses5-dev libusb-dev libsane-dev \
       libsane-extras-dev subversion \
       exuberant-ctags camorama

    sudo apt-get install dpkg-dev debhelper devscripts fakeroot linda dh-make

    Installare il driver del kernel (uno dei due in base al kernel installato; non chiedetemi come si fa a saperlo):
    sudo apt-get install linux-headers-generic
    oppure
    sudo apt-get install linux-headers-`uname -r`

    Creare una directory e compilare (ignorando i warning, che a cosa servano non si capisce):

    sudo  bash
    cd /usr/src
    svn co https://syntekdriver.svn.sourceforge.net/svnroot/syntekdriver syntekdriver
    cd syntekdriver/trunk/driver/
    make driver

    in caso di errore forzare la seguente procedura:

    cp stk11xx.ko /lib/modules/`uname -r`/kernel/drivers/media/video
    depmod -a

    Lanciare, via ALT+F2, il seguente comando:
    gksu gedit /etc/modules

    e aggiungere le seguenti righe al file:
    videodev
    v4l1-compat
    stk11xx

    lanciare questo comando per flippare eventualmente l'output della webcam:

    modprobe stk11xx hflip=0 vflip=1

    Testare la webcam col programma preferito (che funzioni non c'è certezza).

    Se qualcuno dei passi non dovesse funzionare, spulciatevi il codice; se c'è (forse).

    Non che installare bitlocker su un laptop col BIOS bacato e l'assistenza tecnica di Sony (sono dei geny(*)) sia una passeggiata. Smile Ma anche lì ce l'ho fatta.

    -quack

    (*) bitlocker è supportato su tutti i PC Sony con TPM 1.2; però su questo laptop è supportato solo Vista Business che peccato non prevede bitlocker per cui sono stato dirottato al supporto Microsoft. In realtà è bastato aggiornare il BIOS.

    Technorati Tags:

    Paranoie vere

    Oct 23, 2007 - 0 comments - Archiviato in: #Trusted Computing

    In questo post, che segue quello sulla definizione di integrità e Paranoiaquello sulla definizione di chain of trust, mi interessa presentare i quattro scenari che rappresentano le paranoie vere, quelle che hanno portato alla definizione del TPM così com'è oggi nella versione 1.2. In un certo senso tali scenari pre-datano l'invenzione del TPM e quindi esistono a priori. L'individuazione di tale scenari  porterà (spero) a chiarire due ruoli distinti ma spesso maliziosamente confusi nel tentativo di confutare la bontà di alcuni approcci (tornando all'esempio dei passaporti, qualcuno spesso confonde il ruolo del ministro degli interni con quello del titolare del passaporto). Uno dei quattro scenari l'ho già visto "implementato" (senza TPM e quindi con lacune importanti) nell'ultimo viaggio di lavoro quasi a garanzia che la paranoia è un linguaggio universale e universalmente riconosciuto.

    Joe il paranoico (risk management)
    La preoccupazione di Joe è il furto del portatile o la violazione dell'integrità del suo sistema. Joe non è un genio dell'informatica e qualsiasi mezzo che possa ridurre tali rischi è ben accetto, in quanto in possesso di informazioni di altissimo valore. In questo scenario proprietario ed utente sono la stessa entità.

    Gestione dell'hardware
    Il dipartimento IT della Vip&Vip Inc. è molto paranoico per quanto riguarda l'accesso alla rete interna. La soluzione perfetta sarebbe quella di garantire l'accesso alla rete solo a PC di proprietà dell'azienda opportunamente configurati. In questo caso invece proprietario (l'IT di Vip&Vip) e l'utente sono entità disgiunte.

    E-commerce
    Jeannie lavora con l'azienda Quartz&Tempus che gestisce contrattazioni di titoli in borsa. Sia Jeannie che Q&T sono molto paranoici riguardo la legittimità e la non repudiabilità delle transazioni e per protezione reciproca stanno cercando un protocollo che possa garantire entrambi. In questo scenario proprietario ed utente sono la stessa entità.

    Gestione della sicurezza e risposta alle emergenze
    Un net-worm imperversa nella rete interna di Vip&Vip e il dipartimento IT vuole dirottare tutti i PC infetti in una subnet con sandbox dove permettere di scaricare le patch necessarie. Il worm è abbastanza evoluto ed in grado di ingannare anche i più sofisticati engine di scansione. In questo caso invece proprietario (l'IT di Vip&Vip) e l'utente sono entità disgiunte.

    Due note:

    1. Altri scenari sono ovviamente possibili, come pure anti-scenari (questa forse l'ho inventata io, ma mi piace la definizione di anti-pattern). Seguirà un post su qualcuno di questi.
    2. Ho volutamente evitato di spiegare come risolvere i vari problemi con un TPM.

    Nel prossimo post finalmente si parla "in codice": ovvero di registri, di algoritmi e protocolli. Cominciando da come implementare il secure boot.

    -quack

    Technorati Tags:

    Fantasia e realta'

    Oct 22, 2007 - 0 comments - Archiviato in: #Cazzate

    Certe volte - per la realtà - non c'è niente di meglio che ispirarsi alla fantasia.

    Attacco Ninja fantasia - (fonte)

    ninja1

    Attacco Ninja reale - (fonte)

    ninja2

    Mr. Anderson fantasia

    image

    Mr. Anderson reale

    (sorry no pictures: link)

    -'uak

    Technorati Tags:

    Integrita' ed identita'

    Oct 21, 2007 - 0 comments - Archiviato in: #Trusted Computing

    Uno degli argomenti più ostici da affrontare quando si parla di Trusted Computing è la differenza tra i concetti di identità e di integrità. Sebbene strettamente correlati tra loro, non sono la stessa cosa. Prima di addentrarcisi su come funziona tecnicamente il famoso chip Fritz, è necessario chiarire tale distinzione. Lo faccio con una metafora spero banale.pass-elettr

    Per viaggiare all'estero verso paesi extra-europei c'è bisogno del passaporto. La foto con i dati anagrafici sul passaporto dicono all'addetto alla frontiera chi siamo. Chi siamo corrisponde alla nostra identità che viene verificata appunto attraverso il matching con la foto sul nostro passaporto. Il fatto che il passaporto sia impossibile da modificare, ossia che sia tamper-proof, rende perfettamente il concetto di integrità del passaporto. Se scopriamo che il passaporto ha la pellicola trasparente manipolata, possiamo essere certi che l'integrità del passaporto è stata violata, anche se la foto sul passaporto (identità) è la stessa. Il guaio è - a voler dare retta a qualcuno - che l'addetto alla frontiera è estremamente interessato all'integrità del passaporto in misura maggiore o uguale all'identità. Anche se io sono certo di essere io al 100%, l'ufficiale alla frontiera non può più avere tale certezza in quanto l'identità senza integrità non serve a molto in una relazione tra entità sconosciute. A completare l'esempio, calzante quasi come un guanto, il fatto che la pellicola trasparente sul passaporto protegge solo una parte sebbene alquanto importante del passaporto stesso: nessuno ci vieta di pasticciare con ghirigori degni di Mirò tutte le restanti pagine del passaporto.

    Trasponendo l'esempio nel mondo del trusted computing, la foto (identità) coincide con la password, la smartcard o l'impronta digitale (o meglio ancora una combinazione delle tre); la pellicola trasparente con il secure boot via TPM. Le due cose sono complementari[1] ma purtroppo anche strumenti di identità abbastanza complessi come una smart card o un'impronta digitale sono totalmente inutili per garantire l'integrità. A peggiorare le "cose del software" ed aumentare la paranoia dei tecnofili, un'ulteriore differenza tra l'esempio del passaporto e il mondo software: la scalabilità degli attacchi nel mondo del computing. Se manipolare mille passaporti (entrare nella casa di qualcuno, manipolare, usare e restituire) è mille volte più difficile che manipolarne uno solo, portare a termine un milione di attacchi usando una vulnerabilità 0-day combinata è facile quasi quanto portare a termine un singolo attacco basato sulla stessa vulnerabilità (se la vulnerabilità è "abbastanza buona"). Nella trasposizione dell'esempio, il fatto che possiamo usare le pagine non sigillate del passaporto come vogliamo corrisponde con il fatto che possiamo più o meno lanciare, su una macchina integra, tutti sistemi operativi che vogliamo con tutti i processi che vogliamo, compresi virus e altre schifezze (i menzionati ghirigori): l'unica cosa che non può accadere è che qualcuno modifichi la foto o i dati anagrafici gli elementi importanti per l'integrità del sistema (e questo lo decide il paese che rilascia il passaporto sistema operativo/utente) senza che il titolare se ne possa accorgere.

    Un'ulteriore nota sul concetto di integrità. L'integrità è un valore booleano (vero/falso) e non un floating point; non ci sono valori intermedi di integrità (esempio: il sistema è integro al 99.999%). Quanto questo valore interessi il proprietario del sistema è un altro paio di maniche che dipende anche dalla paranoia ma non solo del propetario: se il propetario del sistema è il povero IT manager che deve gestire decine di migliaia di desktop qualsiasi valore inferiore alla certezza matematica potrebbe non avere nessun significato.

    Infine un'ultima osservazione: il passaporto tamper-proof è una tecnologia moderna interessante. Come avviene per tutte le tecnologie si possono teoricamente verificare degli abusi. La critica che più va di moda è cosa succederebbe se tutte le pasticcerie del mondo decidessero di vendere bigné solo a cittadini nati in anni dispari che presentano un passaporto tamper-proof alla cassa. È per questo che il gruppo promotore "Mondo senza passaporti", in virtù del fatto che alcuni paesi che rilasciano passaporti sono delle "sanguinarie" dittature, nell'interesse "eventuale futuro" dei diritti dei compratori di bigné ha fatto richiesta presso il "ministero dei passaporti mondiali" che - in base alla pura discrezione del titolare del passaporto - la pellicola trasparente, e quindi anche i dati relativi all'identità, sia facilmente falsificabile; la motivazione ufficiale è "non si sa mai". Non sto scherzando. E pensare che basterebbe smettere di comprare bigné!

    Nel prossimo post intendo analizzare quelle che sono le vere paranoie ed entrare nei dettagli tecnici di come il TPM intende risolverle; il secure boot via chain of trust è solo una di quelle.

    -quack

    [1] Nella realtà è possibile usare - ma è sconsigliato - una delle feature del TPM anche per scopi di identità ma non viceversa (usare la smart card per garantire l'identità)

    Technorati tags:

    Linksys PAP2T, Betamax e VOIP

    Oct 20, 2007 - 0 comments - Archiviato in: #Link

    Ho ricevuto in questi giorni il mio VOIP adapter di cui ora vado molto, molto fiero. Lo scatolotto qui a fianco è un Linksys PAP2T delle dimensioni di una confezione di sofficini Findus per due, comprato su Voxilla. Smilepap2t

    Le mie impressioni sull'oggetto in questione, che supporta due linee telefoniche e quindi due diversi provider VOIP, sono ottime. Se non fosse che il mio provider attuale, justvoip, di proprietà di betamax finge di non supportare il SIP (session initiation protocol, abbastanza standard nel mondo VOIP) ci avrei messo meno di 10 minuti nel configurarlo.

    La mia "recensione" si basa sulle esigenze di un residente negli USA di chiamare l'Italia (fisso e mobile) e di fare chiamate fuori distretto negli USA (che le compagnie telefoniche fanno pagare in media quanto una chiamata VOIP USA -> Italia cellulare); e sul fatto che fossi già cliente Betamax e Justvoip nello specifico (tariffe: 0c al minuto per le chiamate agli USA e Italia fisse; 10c al minuto per le chiamate ai cellulari italiani). 

    Una volta collegato lo scatolotto al router e al telefono, tutto è avenuto in automatico. Lo scatolotto si è preso un indirizzo IP e tramite interfaccia web based sono riuscito a configurarlo. Purtroppo, nonostante riuscisse a loggarsi correttamente presso il server justvoip, non sono riuscito a fare nessuna chiamata in uscita. Cercando in giro ho scoperto che justvoip - a differenza di altri prodotti betamax - non vuole supportare il VOIP arrivando ad usare alcuni stratagemmi per evitare di inoltrare la chiamata. Una prova banale con VOIPSTUNT (presso cui vanto un credito di quattro cent e scoperto grazie al blog di Beppe Grillo!) mi ha dato la certezza finale che non era una questione di parametri, ma semplicemente di provider. La difficoltà successiva è stata quella di impostare il dial plan.

    Il dial plan è una specie di regular expression che permette di mappare quello che digitiamo sulla tastiera del telefono a quello che sarà il numero in uscita. La cosa sembra banale ma no lo è in quanto provider diversi hanno regole di composizione del numero telefonico diverse e dipendenti dal paese in cui si trovano. Per esempio per fare una chiamata dalla Svizzera all'Italia bisogna comporre +39... oppure 0039... Se ci si trova in America invece bisogna comporre 01139..., ovvero in America al posto del +/00 si usa 011. Alla fine il dial plan che ho usato è il seguente:

    (<1:+1>xxxxxxxxxxS0|<0:+390>xxxxxxxxxS0|<3:+393>xxxxxxxxxS0)

    che significa che se il numero comincia per 1 seguito da altre dieci cifre, la chiamata va dirottata in America usando +1 come prefisso (Betamax è localizzata in Europa e quindi usa la convenzione europea). Se comincia per 0 o per 3, la chiamata va dirottata in Italia. Non è il miglior dial plan possibile in quanto ci sono diverse eccezioni a queste numerazioni, ma per gli scopi di casa basta e avanza.

    L'ultima cosa da fare è trovare un provider VOIP conveniente in base al target di chiamata (nel mio caso solo USA e Italia). Il migliore che ho trovato, tramite questa tabella gentilmente indicata da Pluto, ho scoperto che voipcheap è il provider che fa per me visto il supporto per il SIP e tariffe di 0c/min, 0c/min e 11c/min rispettivamente verso l'America, numeri fissi italiani e i cellulari italiani. Visti i costi della telefonia odierna (anche in Italia ho speso davvero tanto per le chiamate dal cellulare in sole 5 settimane) l'affarotto, dal costo di 70$ spediti, si ammortizza in pochissimo tempo. Certo si può fare la stessa cosa anche via PC, ma accendere il laptop, cercare il microfono e chiamare non è altrettanto immediato come usare il telefono. Il che mi fa chiedere perché non l'ho fatto prima (forse perché lo scatolotto costava un pochino di più). L'affidabilità è abbastanza elevata e la qualità audio altrettanto, forse anche meglio della telefonia tradizionale che probabilmente sotto sotto usa tecnologie VOIP. Smile

    Se qualcuno avesse intenzione di sperimentare in tal senso il mio suggerimento è di far attenzione ad adattatori lockati su specifici provider, come avviene per alcuni telefonini.

    Parlando di telefonate mi è venuto in mente il mio rapporto personale con i costi della telefonia passato da 10$ per 7 minuti con una scheda telefonica regalatami al mio arrivo ai 0-10c/min delle chiamate VOIP. La telefonia ha fatto davvero passi da gigante! Viva il voip.

    -quack

    Technorati tags: , ,

    Monopoly

    Oct 19, 2007 - 0 comments - Archiviato in: #Apple #Google #Microsoft

    Mi limito a riportare alcuni articoli e brani interessanti:

    1. Is Apple the new Microsoft?

      The market, however, corrects issues such as that. In the case of Microsoft's "monopoly," Linux, Firefox and now Apple prove that customers always had choices.
    2. Europe’s new ‘monopoly’ tariff on Microsoft bypasses WTO

      The EU Competition Competitor Neelie Kroes said that the EU now expects a “significant drop” in Microsoft’s overwhelming market share.  In fact Kroes even hinted that perhaps somewhere around 50% but not exactly is the correct market share.  Kroes’ spokesman Jonathan Todd clarified that:

      “Once illegal abuse has been removed and competitors are free to compete on the merits, the logical consequence of that would be to expect Microsoft’s market share to fall,”

      So I can translate this (via the contrapositive rule of logic) that if the market share doesn’t fall, then that “logically” must means that free competition doesn’t yet exist and illegal abuse must still be rampant.  That leaves absolutely no other possible explanation for Microsoft’s dominant market share so what’s next if crippling PC makers doesn’t work?  Will the EC then order ISVs (Independent Software Vendors) to port all of their applications to Linux with equivalent performance, functionality, stability, and validation if they wish to continue doing business in Europe?  Where does the madness end?

    3. Has Google actually read U.S. v. Microsoft?

      The weaknesses in Google's argument are that it has nothing to do with the original Microsoft case or with the purpose of the consent order, and that it does not relate to the conditions of the market that have developed in the years since the case ended.

     MonopolyLogoSign

    Una sola osservazione e una domanda: avere un monopolio in U.S. non è di per sé illegale. Se Firefox non fosse gratuito ma costasse 80$ avrebbe la stessa quota di mercato?

    -quack

    Technorati Tags: , , , ,

    P.S. oggi sono 9 anni.

    Quest'anno le M&Ms sono nere e arancioni:
     mms_9

    Vista e le previous versions scomparse

    Oct 19, 2007 - 0 comments - Archiviato in: #Windows

    Un baco degno dei migliori post de "i miei guai con Vista" attanaglia la feature delle "Previous Versions" di Vista. In alcune edizioni di Vista è infatti possibile recuperare versioni precedenti dei propri folder cliccando col tasto destro su un folder e scegliendo "Restore previous Versions":

    PVMenu

    Quello che appare è una schermata che presenta tutte le versioni precedenti del folder che poi è possibile ripristinare, aprire o addirittura copiare da qualche altra parte:

    VistaPreviousVersions

    L'utilità di questa feature sta nel fatto che viene creata una copia di backup differenziale di tutto il drive almeno ogni giorno e che si può assegnare quanto spazio di HD assegnare a tali backup. La stessa feature di System Backup/Restore fa uso del meccanismo delle Shadow Copies per mantenere la copia dei file di sistema di volta in volta aggiornati.

    Certe volte capita invece che per qualche motivo tutta la parte inerente le versioni più vecchie è completamente mancante, come nella figura qui sotto:

    VistaPreviousVersionsBug

    Il baco è dovuto alla cancellazione, o la mancata accessibilità, della "Default Share", quella che per intenderci viene creata automaticamente dal sistema ed indicata con il nome lettera_drive + simbolo_dollaro (C$ per C:, D$ per D:, ecc.). Questo può avvenire per svariate ragioni:

    1. cancellazione accidentale o accidentata
    2. migrazione di hard-disk da un PC all'altro
    3. firewall aggressivi che bloccano l'accesso di loopback a \\localhost\c$
    4. varie ed eventuali

    Per ripristinare la situazione (insieme con tutti i dati che non sono mai stati cancellati!) basta ricreare la share di default che si può fare in due modi diversi:

    1. aprire l'applet dei servizi ( + R e lanciare services.msc), cercare il servizio "Server", cliccare-col-destro e scegliere riavviare:
      RestartServer
    2. aprire un command prompt da amministratore e digitare:
      NET STOP SERVER
      NET START SERVER

    Dopodiché la finestra delle "Previous Versions" dovrebbe magicamente tornare a mostrare tutti i file. Un ringraziamento ad Enrico che mi ha permesso di indagare sul baco.

    -Enjoy!

    UPDATE: in qualche caso strano la soluzione proposta potrebbe non funzionare. Se per qualche motivo riavviare il servizio server non rigenera le share di default, la mossa successiva e definitiva è di ricrearle a manina. La via più semplice da descrivere su un blog è quella del command prompt da amministratore. Digitare:
    NET SHARE x$=x:\
    (dove x è la lettera del drive e va fatto per tutti i drive. Esempio:  NET SHARE C$=C:\)

    Technorati Tags:

    Isaia

    Oct 18, 2007 - 0 comments - Archiviato in: #Apple #Security

    Sei mesi fa ho fatto una previsione multipla basata su 3 affermazioni. IsaiaManca meno di una settimana alla verifica finale (che coinciderà con il rilascio di Leopard) e come si può vedere la previsione numero due:

    Security: non che ce ne sia bisogno, ma visto che il lavoro sui compilatori vari è stato già fatto da altri, il nuovo arrivato colmerà qualcuno dei buchi vistosamente mancanti nella colonna MacOS, di questa tabella.

    si è realmente concretizzata. Dato il mio forte interesse per la sicurezza, sono piuttosto deluso che di tutta la tabella è stata colmata solo una delle tante lacune. Ma d'altra parte sono sinceramente contento che oltre a queste features "compile time" sono state introdotte anche altre misure runtime, quasi (?) tutte sono già precedentemente implementate in altri sistemi operativi (non che sia un male!). Andiamo per ordine:

    1. ASLR (Vista RTM, Linux 2.6.20)
    2. Sandboxing (sembra simile agli IL di Vista, ma stranamente Safari non sembrerebbe sandboxed)
    3. Tagging Downloaded Applications (Windows XP SP2)
    4. Signed Applications (sembra molto interessante e sono curioso di vedere come è stata implementata)
    5. Application Based Firewall (Vista RTM)
    6. Storage Encryption (che dalla descrizione sembra più simile a TrueCrypt che a Bitlocker)

    -quack

    Technorati Tags: ,

    Hot coffee

    Oct 18, 2007 - 0 comments - Archiviato in: #Cazzate

    Che Seattle sia la patria di Starbucks è risaputo; la gente beve "caffé" anche mentre guida.

    Meno risaputo che Seattle fosse la patria di cowgirls espresso:

    CowgirlsEspresso

    Magari il caffé lascia desiderare, ma il servizio sembrerebbe compensare Smile

    -quack

    Chain of trust

    Oct 16, 2007 - 0 comments - Archiviato in: #Security #Trusted Computing

    Sabato scorso avevo proposto un quiz sul tanto odiato TPM. La domanda era cosa offre un TPM che una Smart Card non può offrire. La risposta è riassunta nel titolo di questo post, la chain of trust.

    Il TPM - essendo un dispositivo riconosciuto e supportato da BIOS - permette di validare il Sistema  Operativo prima che quest'ultimo venga caricato in memoria, cominciando appunto dal boot loader: in parole povere iTPMChip l TPM è in grado di garantire l'integrità del boot loader _AL_ sistema operativo; l'unico modo safe in cui questo può avvenire è via hardware e necessariamente prima che il sistema operativo venga caricato. Perché non ci si può fidare del boot loader solamente via software? Perché il boot loader potrebbe venire facilmente aggirato e programmato per mentire (i rootkit sono solo una via). Il TPM, per come è costruito, garantisce l'integrità fisica delle chiavi private in esso contenute: modificarle dall'esterno è impossibile, come può avvenire con una chiave memorizzata su una chiavetta USB.

    Per far funzionare una Smart Card, o un dispositivo SD, c'è bisogno di driver e di un sistema operativo. Per questo motivo una Smart Card, laddove non supportata a livello di BIOS[1], non può essere usata come dispositivo per garantire la chain of trust.

    Nota importante: il compito principale del secure boot non è quello di impedire di far partire software "non firmato" ma è quello di dare al software interessato la risposta «certa» alla domanda «ma io sono veramente io?». La reazione a tale risposta dipende quindi solamente da «chi» fa la domanda e non dal TPM stesso.

    C'è infine un aspetto pratico: se si usasse una Smart Card per memorizzare le chiavi di cifratura di bitlocker, il trafugamento fisico dei dati sarebbe un pelino più semplice.

    Questo da parte mia è il primo post sull'argomento Trusted Platform. Cercherò di evitare accuratamente «false» paranoie; quelle vere vanno prese in considerazione in quanto alla base dei requirements per creare una Trusted Platform.

    -quack

    Technorati Tags: ,

    [1] Ad oggi, non sono a conoscenza di sistemi in vendita che supportino il secure boot via smartcard.

    Licenza di scrivere

    Oct 14, 2007 - 0 comments - Archiviato in: #Cazzate

    Prendo spunto da questo complimento (mi fanno arrossire):

    Il blogger e' letteralmente un pazzo con la licenza di scrivere !!!!  

    Watson: ma Sherlock, ma che licenza ci vuole per scrivere?
    Sherlock: elementare Watson, elementare!!!

    -quack

    TPMQ

    Oct 13, 2007 - 0 comments - Archiviato in: #Cazzate

    Oggi è giornata di quiz sul TPM.

    "Batman" ha colpito ancora. L'articolo, che varrebbe uno dei miei "soliti" post, è pieno di inesattezze. Siccome sono in vena di quiz, ne riporto un paragrafo:

    Se avete acquistato un banalissimo notebook con Vista Hut (la versione povera di Vista Home) sappiate che potete tranquillamente cifrare il disco fisso usando uno qualunque dei vari strumenti disponibili sul libero mercato. Potete usare BestCrypt di Jetico, TrueCrypt o cercare qualcosa di alternativo a Tucows. Non occorre avere Windows Vista Enterprise ed un TPM per avere accesso a questa feature. Più esattamente, non è nemmeno necessario avere Windows.

    La mia domanda: c'è un motivo specifico per il quale in uno scenario del genere un chip beerTPM diventa insostituibile. Quale?

    Un punto in più per chi spiega perché quello che si può fare con un TPM non si può fare con una memory card SD (secure digital) oppure una smartcard (a cui pare Batman ci sia molto affezionato).

    La risposta (corretta?) dopo il weekend. Io intanto vado a farmi una birra all'Oktoberfest di Leavenworth, paese  bavarese negli Stati Uniti Indifferent.

    -Salut'!

    Disabilitare il secure desktop di Vista

    Oct 12, 2007 - 0 comments - Archiviato in: #Windows

    UACshield In passato ho già spiegato come disabilitare parzialmente UAC, operazione che sconsiglio vivamente (senza UAC molte features interessanti sono altrettanto spente). Un'altra possibilità alternativa alla disabilitazione parziale è quella di disabilitare il secure desktop. Tale desktop, totalmente separato da quello normalmente "interattivo", viene usato dal sistema esclusivamente per presentare il prompt di UAC ma non solo: il secure desktop è controllato esclusivamente dal sistema e nessun software può interagire automaticamente con esso; una misura di sicurezza in più a garanzia dell'utente.

    Spegnere il secure desktop è abbastanza semplice. Basta settare a zero il valore di questo intero nel registry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    PromptOnSecureDesktop

    Per riattivarlo basta rimetterci il valore "1".

    Quali sono le implicazioni dal punto di Vista della sicurezza?

    Se il malware è già presente ed in esecuzione sul sistema ma come 'utente normale' (e già basta per far parecchi danni) potrebbe lanciare un altro processo, forzare UAC e avere accesso totale (e quindi infettare anche tutti gli altri profili). Infine, sarà una mia impressione, ma i prompt UAC con il SP1 in un secure desktop mi sembrano istantanei, ma potrebbe essere dovuto ad un effetto placebo. Il mio consiglio: questa opzione è interessante dal punto di vista sperimentale. Fatti i dovuti esperimenti è meglio lasciare tutto come prima.

    -quack

    Technorati tags: ,