Make a difference!

Mar 1, 2007 - 0 comments - Archiviato in: #Cazzate

Se usate MSN messenger, non vi costa niente. Via Mario.

In Italia si sta male

Mar 1, 2007 - 0 comments - Archiviato in: #Link

Bellissima. Mitico Rino! Via Kataweb.

Vista, UAC & SendKey

Feb 28, 2007 - 0 comments - Archiviato in: #Security #Windows

Alla fine, per chiarirmi con me stesso, mi son letto il post di Joanna (citato in precedenza) e mi sono sciroppato questa presentazione di Russinovich (che consiglio vivamente!).

Joanna afferma:

The fact that UAC implementation contains bug(s), like e.g. the bug I pointed out in my article, which allows a low integrity level process to send WM_KEYDOWN messages to a command prompt window running at high integrity level.

Mark dice l'esatto opposto, cioé che in realtà i low integrity level process non dovrebbero permetterlo. Armato di santa pazienza ho fatto la prova del nove.

  1. ho installato una banale applicazione SendKey.exe e lanciata come utOnto normale
  2. aperto notepad come utOnto normale e attivato sendkey. Tutto funziona come ci si aspettava
  3. aperto notepad come admin e riattivato sendkey. Tutto NON funziona come ci si aspettava

Conclusione il baco non c'è e la security sussiste. Siccome sono le 8.18PM e sono ancora in ufficio me ne vado a casa felice e meno ignorante: ho anche capito cosa Russinovich intende per "security boundary" nella sua replica; ma purtroppo tale spiegazione non ci starebbe nei margini di questo post. Ne seguirà sicuramente un altro.

~quack

Technorati tags: ,

Chi fa i capelli al barbiere di Siviglia?

Feb 27, 2007 - 0 comments - Archiviato in: #Cazzate #Windows

Parimenti: chi acchiappa le bufale di un'acchiappa bufale? Ci provo io. L'intervista delle iene, grazie a Gioxx, l'ho trovata qui.

Alcuni brani (in grassetto il mio commento):

[Vista è meglio di XP in] molte cose dal punto di vista della sicurezza. (Giusto, ma non solo)
[Vista] è il sistema operativo microsoft più caro in assoluto. (Quasi-bufala-totale; edizioni equivalenti costano quanto XP; tra l'altro non capisco perché se Vista costa caro, Paolo suggerisca i Mac che costano di più(*))
[I vantaggi di Vista su XP sono] abbastanza limitati. (Contraddizione; se Vista è meglio di XP dal punto di vista della sicurezza e la sicurezza è importante, allora questa è una contraddizione)
MacOS offre le stesse cose di Vista da più tempo. (Almeno opinabile; sulla sicurezza intanto MacOS è molto indietro... e per favore: basta con la storia che non ci sono virus per Mac, lo sappiamo perché Big Smile)
[Vista è] troppo caro (già dibattuto, alquanto opinabile), troppo lucchettato, contiene troppi sistemi anticopia (il supporto legale per DVD e HD è un lucchetto? Mi sembra il contrario; sarà un fissato?), troppo pesante, richiede un computer estremamente potente (Bufala! Ho afferreto! Paolo ha visto Vista in cartolina Big Smile), troppo tardi perché sistemi alternativi già offrono tutto quello che da pochi giorni offre Windows Vista (mmm.... incluso l'enorme parco software? Decisamente opinabile!)
Grazie ai lucchetti digitali è molto difficile sviluppare schede video, schede audio che ne rispettino tutti gli standard (mmm... Tranne NVidia - in evidenti difficoltá a raggiungere la quality bar per i driver ma in maniera totalmente scorrelata con i lucchetti digitali - quasi tutti gli altri produttori non hanno avuto grossi problemi; ovviamente non mancano eccezioni. Bufala)
[Uso un mac] perché funziona (Alquanto opinabile)

Da un giornalista informatico mi sarei aspettato una recensione basata sui fatti, al contrario di quanto visto finora. Peccato.

La mia stima per Paolo peró rimane immutata quando si limita a parlare di bufale o di sicurezza in generale (bella la frase "la sicurezza è un processo" non una feature). Big Smile

-quack

(*) osservazione di Luca.

Technorati tags: , ,

Mio fratello

Feb 27, 2007 - 0 comments - Archiviato in: #Aneddoti

  <- cliccare qui Big Smile

buon compleanno, Beppe!

P.S. per i lettori in RSS: questo post rende meglio sul mio sito.

Fatece vota'

Feb 26, 2007 - 0 comments - Archiviato in: #Politica

Legge elettorale di cacca -> Elezioni 1996 -> Maggioranza risikata centro-sx, ricatti, Governi instabili -> Nuova legge elettorale -> Elezioni 2001 -> Maggioranza bulgara centro-dx, 2 Governi stabili -> Nuova legge elettorale, la peggiore -> Elezioni 2006 -> Maggioranza super-risikata centro-sx, Governo alla nitroglicerina ->

...

Qualcuno chiede una nuova legge elettorale, i soliti fessi abboccano. Se questo accade prevedo:

Elezioni 2008 -> Maggioranza bulgara di centro-dx, Goveri stabili -> Nuova legge elettorale, possibilmente peggio di quella del 2006 -> Elezioni 2013 (ecc. ecc.)

A questo punto la cosa migliore è fatece vota' con questa (del 2006) legge elettorale. Spetta anche a me godere uno spettacolo di ricatti incrociati.

FATECE VOTA'!!

Technorati tags:

Security by 'open source'

Feb 26, 2007 - 0 comments - Archiviato in: #Security

Una delle affermazioni più ricorrenti nei commenti di questo blog, soprattutto quando 'sparo cazzate' sulla sicurezza è:

Linux è open source e quindi più sicuro.

Da cui deduco che chi lo scrive intende che l'open source sia più sicuro. Ma è davvero così?

Circa un anno fa un esperto di sicurezza - tale Luca Ercoli - ha trovato una backdoor in un CMS open source. Già l'idea di una backdoor mi fa venire i brividi... in un prodotto open source mi fa leggermente balzare dalla sedia. Un brano significativo dell'intervista:

Punto Informatico: Cosa ti ha portato a scoprire questa falla in Etomite?
Luca Ercoli: Stavo effettuando alcune operazioni sui server di SEEWEB e con i colleghi avevamo notato che c'era un notevole aumento dei tentativi di scalata dei privilegi. Così siamo andati ad analizzare i log effettuati dagli strumenti di registrazione, ma è stato solo analizzando con più precisione i log del server web, che abbiamo capito che i tentativi di intrusione venivano effettuati sfruttando una vulnerabilità del CMS Etomite.

La vulnerabilità non è stata scoperta leggendo il codice (sono dell'opinione che sono davvero pochissimi gli esseri umani in grado di farlo, tra cui includo Michael Howard), ma guardando i log. Poi, codice alla mano, si è arrivati alla root cause. Mmm. Lo stesso Luca però (a mio parere contraddicendosi) trae conclusioni diverse da quelle che trarrei io:

[...] programmi per Windows che vengono distribuiti in codice binario già pronto per essere utilizzato e la cui correttezza purtroppo non è verificabile come per i programmi distribuiti con licenza GPL

Apro una parentesi ed espongo la mia opinione (non so i fatti ma utilizzo il rasoio di Occam). Secondo me la backdoor è stata introdotta direttamente nel codice (la backdoor era codificata in Base64) in quanto è sopravissuta un paio di versioni: trovo alquanto singolare che non sia stato possibile risalire all'autore della backdoor. Le fonti ufficiali sono state molto vaghe a riguardo e mi pare di aver letto un paio di versioni discordanti in giro (hackeraggio del sito di dowload e sostituzione dei file; hackeraggio del CVS e checkin diretto della backdoor).

Luca dice che il codice binario non è [facilmente] verificabile (giusto); ma il fatto che il codice aperto sia verificabile non garantisce che sia verificato (come nel caso di Etomite). Lui stesso ha trovato la falla guardando i log e non il codice sorgente.

Secondo me - anzi - in alcuni casi l'open source viene usato per instillare un falso senso di sicurezza. Un altro esempio: questo articolo. L'autore dice:

So despite the conventional wisdom, the fact that many eyeballs are looking at a piece of software is not likely to make it more secure. It is likely, however, to make people believe that it is secure. The result is an open source community that is probably far too trusting when it comes to security.

[...]

The many eyeballs approach clearly failed for Mailman. And as open source programs are increasingly packaged and sold as products, users -- particularly those who are not familiar with the open source world -- may well assume that the vendor they are buying the product from has done some sort of security check on it.

Ma chi è l'autore? Un windows fanboy? Uno che scrive sw packettizzato closed source? No:

John Viega is a research associate at Reliable Software Technologies, in Sterling, Va. He holds an M.S. in Computer Science from the University of Virginia. He developed and maintains Mailman, the Gnu mailing list manager. His research interests include software assurance, programming languages, and object-oriented systems.

Nientepopodimenoche l'autore di mailman.

Nella trappola dell'open source è più sicuro ci sono cascato anche io quando - prima del SP2 di XP - stanco dei vari attacchi al browser (che poi ho scoperto molto spesso basati su componenti di terze parti tra cui in larga parte la JVM di Sun) ho installato anche sul mio PC firefox perché "più sicuro" (era la prima parte del loro motto: safer, faster, better(*)). Poi ho letto questo e mi è venuto seriamente da piangere: questa vulnerabilità è secondo me la peggiore di tutto il software umanamente scritto dopo Slammer e CodeRed (ma solamente perché per essere sfruttata bisogna cliccare un link). Peccato che ai quei tempi - se ben ricordo - in Firefox non c'era neanche l'autoupdate.

Tralascio poi il discorso dei cacciatori di zero-day vulnerabilities: col codice alla mano dovrebbero fare più in fretta.

Infine non ho dati su quale sia il processo di sviluppo di un sw opensource come Linux o Firefox; essendo su base volontaria non so quanto si possa cercare di forzare un processo di qualità come quello di Vista (tratto da qui):

In sintesi: l'opensource è dal punto di vista strettamente teorico più sicuro, a patto che chi lo _usa_ si guardi _tutto_ il codice per davvero. Io non ho ne il tempo, ne la voglia di guardare nel mio tempo libero il codice degli altri (soprattutto quando - come nel caso di Etomite - non servirebbe a niente perché la vulnerabilità è nascosta anche ad una lettura più approfondita). Voi?

-quack

(*) in realtà Firefox non è ne safer (Fonte), ne faster (Opera is the fastest Graphical Web Browser in Windows. - Fonte; Internet Explorer 7 is clearly faster than Firefox 2.x in 4 out of 7 measures of performance, stessa fonte). Per induzione 'induco' neanche better.

Technorati tags: ,

Metasemantica: il lonfo

Feb 24, 2007 - 0 comments - Archiviato in: #Cazzate #Video

Dopo aver visto l'interpretazione di Gigi Proietti in TV, ho deciso di impararla a memoria. Big Smile



Il Lonfo

Il Lonfo non vaterca né gluisce
e molto raramente barigatta,
ma quando soffia il bego a bisce bisce
sdilenca un poco e gnagio s'archipatta.

E' frusco il Lonfo! E' pieno di lupigna
arrafferia malversa e sofolenta!
Se cionfi ti sbiduglia e ti arrupigna
se lugri ti botalla e ti criventa.

Eppure il vecchio Lonfo ammargelluto
che bete e zugghia e fonca nei trombazzi
fa lègica busìa, fa gisbuto;

e quasi quasi in segno di sberdazzi
gli affarferesti un gniffo. Ma lui zuto
t' alloppa, ti sbernecchia; e tu l'accazzi.

Fosco Maraini

-Enjoy

Security by minority: statisticamente più sicuro

Feb 23, 2007 - 0 comments - Archiviato in: #Apple #Security #Windows

Mi voglio togliere un sassolino dalla scarpa una volta per tutte. Una delle diatribe dell'informatica è la questione "il sistema operativo XYZ" è più sicuro perché non ci sono virus (*). Stessa conclusione a cui è giunto l'esperto di trusted computing (**) di punto informatico.

Sostengo da sempre che tale affermazione è una cazzata e proverò a fare un esempio di quando statisticamente più sicuro non basta.

Attraversare la strada a Redmond è più sicuro che attraversare la strada a Bari (dato di fatto). Se questo fosse sufficiente, attraverserei la strada a Redmond anche bendato. È chiaro che se lo facessi in maniera consistente tutti i giorni mi porterebbero in manicomio.

Tempo fa avevo parlato di quante nuove tecnologie di sicurezza fossero presenti in Vista in confronto con quelle ad esempio di MacOS 10.4 (che a parere dell'esperto di cui sopra è più sicuro di Vista).

Accolgo la figura sopra, tratta da questo blog (a sua volta tratta da questo power point, ma anche questo non è male), con immenso gaudio perché riassume benissimo quanto avevo cercato di spiegare in precedenza a parole (x windrago: se allora mi hai fatto i complimenti, ora voglio la standing ovation Stick out tongue).

Morale della favola? Anche se Steve Jobs si sforza di mostrare che MacOS è sicuro in quanto basato su BSD, dallo schemino affianco si capisce quanto la realtà sia ben lontana dalla sua fantasia. Spaventosa la differenza tra OpenBSD e MacOS. Quanto siano importanti tali misure di sicurezza è dimostrato dal fatto che i tre worm più letali di tutti i tempi (Nimda, CodeRed e Slammer) non avrebbero funzionato su Vista soprattutto a causa dell'ASLR (EXE Randomization e DLL randomization di cui sopra). Per gli scettici basta dare un'occhiata alla pagina "the Month of Apple Bugs" per rendersi conto che la stragrande maggioranza dei bachi (tra cui il peggiore) è basata su Stack Overflow ed Apple ha ancora molto da lavorare. Mi auguro che la prossima versione del loro OS guadagni almeno qualche pallino blu o grigio piuttosto che sfoderare nuove features esistenti dai tempi di Windows XP (time machine, ma mi faccia il piacere... Big Smile)

Ognuno tragga le sue considerazione dopo aver valutato attentamente i fatti.

-quack

(*) Si ignora spesso che storicamente il primo virus è stato scritto per Apple; Il primo rootkit per Unix

(**) L'esperto disse:

Più esattamente, dal punto di vista della sicurezza, il nuovo Windows equivale alla situazione che si poteva ottenere con il vecchio Windows 95 dopo aver installato ZoneAlarm (il più diffuso firewall personale gratuito) e AdAware (il più diffuso sistema antiadware e antispyware gratuito).

Scusate la ripetizione, ma questa affermazione mi fa troppo ridere; meglio di una freddura di Woody Allen. Big Smile

Technorati tags: ,

Falsi miti di Vista: Vista costa più di XP

Feb 22, 2007 - 0 comments - Archiviato in: #Windows

Una delle cazzate che si sente più spesso in giro è che Vista costa più di XP. Tale cazzata non prende in considerazione che di versioni retail di XP ce ne sono solo 2 (XP home e XP professional), mentre di Vista ce ne sono 4 (home, home premium, business, ultimate). Se si considera che la mappatura è la seguente:

XP home equivale a Vista Home basic ( ~200$ versione full, ~100$ upgrade)
XP professional equivale a Vista Business (~300$ full, ~200$ upgrade)

ci si rende conto che tali versioni costano più o meno uguale . Rispetto al passato ci sono 2 nuove edition: home premium (che contiene le funzionalità mediacenter e tablet) e ultimate (che contiene tutte le feature di home premium e business combinate oltre a bitlocker e gli "ultimate extra"): ma più opzioni significa più libertà di scelta. O sbaglio? Wink

-quack

UPDATE: per chi non lo sapesse, anche se nella confezione è contenuto solo il disco per la versione 32 bit, è possibile richiedere il disco per la versione a 64 bit al solo costo delle spese. Nella versione Ultimate sono invece presenti tutti e due i dischi.

UPDATE 2: Se si prende in considerazione anche l’inflazione ci si può rendere conto che il costo di Windows è da sempre in diminuzione: fonte.

Technorati tags:

Cazzate a iosa: i fissati del trusted computing

Feb 22, 2007 - 0 comments - Archiviato in: #Windows

A tre settimane tre dal rilascio di Vista avrei pensato che le cazzate che si sarebbero lette in giro avrebbero avuto un andamento asintotico rispetto al tempo (almeno in quantità). Qualcosa tipo:

Dove x è il tempo, f(x) è la quantità di cazzate. E invece. Quasi in un gioco di chi la spara più grossa su Punto Informatico di "oggi" Giovedì 22 Febbraio c'è il secondo articolo intitolato "Untrusted/ Windows Vista ed il Trusted Computing". Cominciamo con la carrellata delle cazzate e pazienza se questo post è un papiro.

Cazzata numero 1:

Nonostante le iperboli delle riviste del mondo Microsoft, Windows Vista non è significativamente più sicuro delle precedenti versioni di Windows e resta nettamente meno sicuro di Linux e di tutte le varie versioni di Unix, compreso MacOS X. Più esattamente, dal punto di vista della sicurezza, il nuovo Windows equivale alla situazione che si poteva ottenere con il vecchio Windows 95 dopo aver installato ZoneAlarm (il più diffuso firewall personale gratuito) e AdAware (il più diffuso sistema antiadware e antispyware gratuito).
Mi rendo perfettamente conto del fatto che questa è una affermazione pesante e che molti lettori non saranno d'accordo, ma basta un attimo di riflessione per rendersi conto del fatto che le cose stanno proprio in questo modo.
La dimostrazione più immediata di quello che ho appena detto è il fatto che Windows Vista, come tutti i suoi predecessori, impone comunque l'installazione di un buon antivirus. Microsoft stessa si premura di raccomandare questa misura di sicurezza preventiva. Non solo: tutti gli osservatori indipendenti sono d'accordo con la casa madre nel ritenere che si tratti di una misura di sicurezza indispensabile per Windows Vista. Come noto, né Linux, né BSD, né MacOS X né nessuno degli altri sistemi operativi conosciuti ha bisogno di un antivirus per funzionare in condizioni di sicurezza.

Inutile che sto a ripetere come la penso sull'equazione "meno virus = sistema più sicuro". Se fosse vera il C64 sarebbe il sistema più sicuro al mondo e mi verrebbe da ridere. Ma da qui a paragonare Vista a Windows 95 (che non aveva nessun meccanismo di separazione della memoria tra i processi) ce ne vuole davvero tanto di coraggio.

Cazzata numero 2:

Come abbiamo detto, in questo caso il TPM viene usato come "cassaforte" per memorizzare la chiave di cifra usata per cifrare e decifrare la partizione del disco che ospita il sistema operativo ed i programmi. Le funzionalità di sicurezza della Trusted Platform sottostante vengono quindi usate solo in piccola parte.
L'uso del TPM è così ridotto che, di fatto, questo componente può essere rimpiazzato da una normale chiave di memoria USB su cui viene memorizzata la chiave di cifra. Più esattamente, la chiave USB può essere usata sia in alternativa al TPM che in associazione ad esso. Si può condizionare l'accesso ai dati contenuti nella partizione cifrata ad uno o più dei seguenti elementi di controllo.

1) La chiave di cifra memorizzata nel TPM
2) Un codice di startup memorizzato nella chiave USB
3) Un PIN simile a quello usato nei telefoni cellulari
Può essere usata una qualunque combinazione di questi tre elementi di controllo.
Questo è già un primo punto su cui sarebbe il caso di riflettere: se il TPM viene usato così poco da poter essere sostituito da una chiave di memoria USB, probabilmente i vantaggi che fornisce non sono molto diversi da quelli tipici della chiave di memoria o di un CD-ROM.

Già il fatto che qualcuno dica che la nuova tecnologia XYZ è inutile in quanto c'è già la tecnologia ABC mi fa abbondantemente sorridere. Se così fosse a che serve inventare le chiavette USB? Ci sono i CD-R... A che servono i CD-R? Ci sono i floppy... ecc. Una tecnologia ha senso se risolve problemi pratici.

Problema pratico:

se memorizzo la chiave crittografica del mio PC di ufficio su pendrive USB e dimentico (o peggio smarrisco) il pendrive, che ne sarà di me?

Ma di più, facciamo un passo indietro. Che senso ha criptare un drive (più precisamente la partizione contenente il SO)? Serve a prevenire attacchi di tipo offline. Cioé significa che se perdo il mio laptop e la partizione con l'OS non è criptata, qualcuno ne potrebbe smontare l'HD, installarlo su un PC, copiare il file delle password hashes, tentare un attacco di forza bruta (con le rainbow tables meno di qualche ora), recuperare la password ed avere accesso TOTALE e INCONDIZIONATO anche a partizioni criptate usando EFS. Questa non è una debolezza di Windows ma di tutti i S.O. Cioè non si può memorizzare un segreto in maniera sicura su qualcosa di facilmente accessibile (nel caso specifico l'HD). Il chip TPM rende tale tipo di attacco impossibile (a meno di tentare un attacco di forza bruta sul FS direttamente) restando al tempo stesso molto pratico (nessun pin da memorizzare, nessuna chiavetta da portare appresso, ecc.): per i più paranoici più "elementi di controllo" possono essere usati contemporaneamente. Trovo poi esilarante che proprio poche notizie più in giù su punto informatico figuri "Hard disk usati? Una miniera d'oro di dati"

Cazzata numero 3:

Le funzionalità DRM (anticopia) del Trusted Computing sono quindi già pienamente disponibili su Windows Vista persino con questo livello minimo di sfruttamento della Trusted Platform sottostante. Si tratta, di fatto, della tanto temuta funzionalità di "Secure boot" del Trusted Computing, anche se Microsoft si guarda bene dal chiamarla con questo nome.
Questa funzionalità non aggiunge molto alla protezione anticopia di Windows Vista, già garantita da altri mezzi, ma fornisce un potente strumento anticopia ai programmi di terze parti che si insediano sulla stessa partizione cifrata del sistema operativo.
Ma non facevamo prima con un Live CD?
La sicurezza aggiuntiva che fornisce il Trusted Computing al sistema è piuttosto limitata, soprattutto se viene confrontata con ciò che il mercato fornisce da anni, gratuitamente, su tutte le piattaforme.
Questa stessa funzionalità, infatti, può facilmente essere ottenuta, da diversi anni e su qualunque sistema operativo esistente, grazie all'uso di uno qualunque dei vari sistemi di verifica della integrità del file system, come Tripwire, e di un qualunque supporto esterno per la memorizzazione delle chiavi (un CD-ROM, una chiave USB, etc.).
Questi sistemi funzionano in questo modo:

1) Un apposito programma (Tripwire o simili) genera un apposito "checksum" (MD5 o CRC) che identifica univocamente ogni singolo file che si vuole tenere sotto controllo.
2) Questi checksum sono piccoli file che vengono memorizzati fuori dalla portata di eventuali malfattori, di solito su un CD.
3) Al momento del bootstrap, si esegue il programma, si ricalcolano i checksum e li si confronta con quelli memorizzati. Se uno di questi non corrisponde, vuol dire che il file è stato modificato o sostituito ed il bootstrap viene interrotto in attesa dell'intervento dell'amministratore.

C'è mica bisogno di spiegare perché un sistema sicuro già dal boot è più sicuro di un sistema sicuro "a posteriori"? Esempio pratico il rootkit. Un rootkit può far credere a qualsiasi software - di sistema o meno - di leggere un file mentre il file è stato modificato. Questo significa che in presenza di un rootkit sistemi come "tripwire o simili" sono destinati semplicemente a fallire. Il "secure boot" rende la vita molto difficile (non impossibile!) a chi scrive questa roba.

Cazzata numero 4:

Una soluzione ancora più semplice (e già molto diffusa nella realtà) consiste nell'usare una distribuzione "Live" di Linux (Knoppix, Ubuntu, etc.) e magari salvare i dati su una chiave USB. Questa soluzione non richiede nessuna particolare competenza tecnica e mantiene il sistema operativo al sicuro sul CD (che non è scrivibile e quindi non può essere modificato). Questa soluzione viene usata, ad esempio, per creare dei server resistenti a qualunque tipo di attacco o dei "chioschi" in grado di ripartire da una situazione sicura dopo un possibile crash.

Se proprio vuoi essere sicuro di avere il controllo di quello che viene scritto sul tuo HD, butta via l'HD. Bella roba. Poi vorrei capire come si fa a far girare applicazioni per Windows su Linux Live.

Cazzata numero 5:

Il Trusted Computing di Windows Vista, quindi, non fornisce nessuna funzionalità realmente innovativa. Ciò che si può fare con il TPM, può essere fatto con altri mezzi da molti anni, gratuitamente.
Si noti che, a differenza di quanto avviene nel caso di Windows Vista e del suo TPM, sia usando Tripwire che il Live CD il controllo resta sempre e comunque nelle mani dell'utente (o amministratore) del sistema. Non può succedere, nemmeno per sbaglio, che il controllo del sistema passi, anche solo in parte o temporaneamente, ad un programma non autorizzato dall'utente o ad una persona diversa dall'utente legittimo del sistema (ad esempio un fornitore).

La prima frase è un riassunto di riflessioni sbagliate, quindi sbagliata in se. Come faccia l'utente ad essere sicuro di avere il controllo del PC, senza un controllo di integrità che comincia con il boot, resta ancora un mistero.

Cazzata numero 6:

Di conseguenza, anche se il Trusted Computing di Windows Vista fosse, per ipotesi, una funzionalità utile, resterebbe comunque qualcosa riservato ad una èlite. Per nostra fortuna, questo vuol anche dire che non succederà mai che ci rifilino una macchina dotata di TPM e di Windows Vista Enterprise od Ultimate senza che ce ne accorgiamo.

I venditori di PC sono persone pratiche. Anche se il bitlocker fosse disponibile su tutte le versioni di Windows, non ce li vedo che lo installino di default. Tra l'altro bitlocker, come tante altre feature, è attivabile/disattivabile a volontà (non facilmente). Non c'è nessuna versione di Windows che viene distribuita con un "bitlocker per forza". Sinceramente tutto questo allarmismo mi sembra a tratti estremamente ridicolo.

Cazzata numero 7:

Per quanto riguarda la sicurezza dei sistemi operativi, è importante far sapere che Microsoft sta attivamente lavorando su una interessante alternativa al Trusted Computing: i sistemi operativi "intrinsecamente sicuri" ("Intrisecally Safe Operating System").

[...]

Il progetto di sistema operativo intrinsecamente sicuro di Microsoft si chiama Singularity ed è stato presentato ufficialmente alla stampa nei mesi scorsi con una serie di interviste ai suoi sviluppatori. Microsoft ha pubblicato queste interviste video sul suo canale VideoOverIp Channel 9. Singularity è solo un sistema operativo "da ricerca". Non è destinato a raggiungere il mercato. Tuttavia, Singularity dimostra in modo inequivocabile come esistano delle alternative credibili al Trusted Computing e come Microsoft stessa sia un vero protagonista nel loro sviluppo.

Sistemi come Singularity tendono a risolvere un tipo di problema diverso (che richiederebbe un post intero). D'altra parte questo pezzo dell'articolo contraddice in maniera sostanziale quanto detto nella cazzata numero 1, visto che tutte le nuove features di sicurezza di Vista secondo l'autore non servono ad un c###o.  Delle due l'una:

  1. in Singularity (o sistemi intrinsecamente sicuri) è impossibile scrivere codice tipo "System.Drive["C"].Format"; in tal caso ci ritroveremmo con un OS utile quanto quello del c64: non un gran passo avanti.
  2. Codice come quello nel punto 1 è possibile. Ma chi decide se tale codice deve girare? Se è l'utente saremmo non lontani da dove siamo oggi (sindrome dell'utente che clicca dappertutto); se è l'OS davvero non riesco a capire quali dei tanti algoritmi di lettura del pensiero potrebbe provarsi utile.

Infine la cazzata numero 8, quella conclusiva:

Tuttavia, il pur limitato supporto al Trusted Computing di Windows Vista è socialmente pericoloso. Lo è perché mette un potente strumento di controllo nelle mani, non sempre pulitissime, delle aziende che producono e distribuiscono software e contenuti multimediali. Per capire quanto questo possa essere pericoloso, basterà pensare a cosa è successo l'anno scorso con i CD musicali di Sony/BMG (afflitti niente meno che da un rootkit!).

Se ci fosse stato il "secure boot" su XP secondo voi Sony sarebbe riuscita a certificare il suo rootkit o si sarebbe dovuta limitare a quanto offre l'OS? Io propendo per la seconda.

-quack

Il sito delle poste visto da IBM

Feb 21, 2007 - 0 comments - Archiviato in: #Cazzate #Software

Non è un mistero che il sito del servizio postale americano sia stato realizzato dall'IBM. Tale sito ha funzionalità incredibili e tra le altre cose permette di comprare l'affrancatura online tramite carta di credito.

La prima implementazione di qualche anno fa richiedeva l'installazione della JAVA VM. Qualcosa come un centinaio di mega per poter stampare un francobollo. La cosa più assurda è che l'ultimo worm che ho visto da vicino si intrufolava attraverso un baco nella JVM che purtroppo non ha nessun meccanismo di autoupdate. Da allora ho disinstallato la JVM da tutti i PC "reali" e per stampare il famigerato francobollo elettronico mi limitavo ad usare una virtual machine. Non è passato molto tempo che - probabilmente grazie al feedback di molti clienti che la JVM non sanno neanche cos'è - l'implementazione è cambiata nella forma ma non nella sostanza. Ora il francobollo elettronico non è più generato da un applet ma sul loro server in formato PDF: peccato che purtroppo tutti i tentativi di usare il reader foxit (che rispetto a quello ADOBE gira in soli 1.5MB di memoria) sono falliti miseramente; anche salvare il PDF in locale è praticamente impossibile in quanto di fatto annulla di fatto l'affrancatura (e vai di nuovo a reinserire il numero di carta di credito, ecc.). Unica soluzione è installare il reader Adobe: un bel miglioramento visto che il reader richiede 80MB circa rispetto ai 100MB di download della JVM.

Immagino quanto sia costato alle poste americane commissionare tale giochino: a me il problema sembra piuttosto semplice ed è quello di generare una semplice immagine dal lato server (una gif praticamente); nella prima implementazione anche una modesta applet era in grado di farlo. Ma possibile che c'è gente che ammazza le mosche con un bazooka? D'altra parte però se il bazooka lo vendi pure un senso tutta questa storia ce l'ha.

Sgrunt!

Technorati tags:

Sono una min##ia

Feb 21, 2007 - 0 comments - Archiviato in: #Cazzate #Windows

Ormai non mi sorprendo più. Anche il nostro ex-premier Berlusconi se ne era accorto. Stavolta me lo ha suggerito un post di un blogger. Smile.

Motivo? Su Vista Home e Vista Home Premium non c'è il supporto per PC con doppio processore. Bada ben: ho detto doppio processore e non doppio core.

Quoto perché la questione si fa esilarante:

Ma a guardare questo schemino (NdR: link) mi sono allarmato.
[...]
No, perché notate la seconda riga: SUPPORTO PER DOPPIO PROCESSORE: NO sia in Home Basic che Home Premium.

Fa niente che qui ci sia un altro "schemino" abbastanza facile da leggere (I beg your pardon è in inglese). Fa niente che questo schema di licensing è valido anche per i prodotti server (e quindi ad esempio una licenza per un SQL Server 2005 per quad core è la stessa per quella "single proc") a differenza di un'altra azienda che lucra sull'open source (ad esempio Oracle). QUINDI - SE NON ANCORA FOSSE CHIARO - VISTA HOME GIRA e SFRUTTA TUTTI I NUOVI PROCESSORI MULTICORE (2, 4, 8)

Ma di più: qualcuno commentando questa recensione basata su schemino si è spinto oltre:

La gente non ci capisce UN *** di computer.
Il non capire un *** sta diventando lo standard medio di qualsiasi utente pc.

Cigliegina sulla torta queste delicatezze:

Ma in Microsoft, hanno cominciato a fare come in Fiat? (pippare bamba e organizzare serate con i trans?)(*)

Praticamente, in Microsoft esistono utenti di serie A [...], B [...] e quelli di serie C [...] oltre, ovviamente, agli utenti di serie Z, ovvero quelli che si beccheranno la versione Starter Edition, che non è in grado praticamente di fare un beneamato ***.

MA LA VOGLIAMO FINIRE DI SCRIVERE CAZZATE?(**) Smile

 

Fare recensioni basate su schemini del mio amico, prove di "mio cugino", su articoli basati su altri articoli o su "iononinstalloVistaperchésonocontentodiLinux/MacOsmaciononostantevogliorecensirelostesso" NUOCE GRAVEMENTE ALLA SALUTE. Smile

-quack

(*) scusate se sono stato breve e brusco ma ho il trans con la Bamba che mi aspetta

(**) le cazzate le scrivo anche io, ma per questo motivo ci ho messo un bel disclaimer

Technorati tags: ,

Horrible movies

Feb 20, 2007 - 0 comments - Archiviato in: #Recensioni

Giorni fa ho fatto un abbonamento a blockbuster total che mi permette di vedere quasi un film diverso al giorno. Purtroppo però quando si sceglie in base ad un trailer visto al cinema il pacco è sempre in agguato.

Uno dei più grandi pacchi che ho ricevuto in questi ultimi anni è un film del 2006 chiamato "Lady in the water" (trailer): trovo ingannevvole il fatto che su IMDB abbia sei stelline (il peggior film che la mia mente ricordi - Magicians - ne ha ben 5!).

Questo mi fa riflettere sulle meccaniche della statistica. In una popolazione abbastanza grande è veramente molto difficile trovare film che tutti considerino "terribili": c'è sempre qualcuno (magari in qualche modo imparentato) che è disposto a dire che è un bel film o viceversa (nel 1994 evitai al cinema "quattro matrimoni e un funerale" perché un amico me lo sconsigliò vivamente). Anche se sicuramente eviterò i peggiori cento!!!

-quack

Technorati tags:

Daylight saving: aiut....

Feb 19, 2007 - 0 comments - Archiviato in: #Link

7 anni fa qualcuno dei miei amici passò la notte con un pager (il famoso teledrin) acceso in occasione del cambio di secolo per la paura delle conseguenze del Y2K bug.

Passato quasi indenne quel periodo ecco un'altra invenzione americana: estendere il periodo dell'ora legale (di qualche settimana) e nel frattempo mandare al diavolo tutti gli algoritmi finora codificati nei dispositivi intelligenti. In pieno rispetto di "non c'è niente di più volatile (in senso C#) di un algoritmo permanente".

Per chi come me possiede uno smartphone per salvarsi la vita dalle inconvenienze di ricordare tutti i meeting del giorno per fortuna la soluzione c'è ed è semplice. Per i possessori di cellulari/PDA HTC questo link è fondamentale. Il tutto è molto più semplice di un upgrade del firmware Wink. In bocca al lupo comunque.

-quack

Technorati tags: ,

La matematica non è un'opinione

Feb 19, 2007 - 0 comments - Archiviato in: #Pippe Mentali

Il capitolo tasse è finalmente chiuso: o perlomeno i calcoli associati. Quest'anno che mi son divertito a fare da me le aspettative erano alte. Mi ero illuso, per diversi giorni, di aver trovato un errore nel report datomi dallo studio professionale a cui mi sono rivolto. La cosa buffa è che all'inizio la differenza è stata drastica: tra i miei calcoli e i loro c'era una differenza di 2000$ o giù di li. Poi aggiungi un'entrata qui (sono stato molto ottimista all'inizio), togli una deduzione la, calcola lo standard per Redmond, dividi per 0, moltiplica per meno infinito, l'errore ottenuto è dello 0.26% ed è pure in difetto (e cioé il rimborso alla fine sarà più alto). La cosa più difficile è stata quella di cercare tra montagne di moduli (una ventina di pagine fronte retro) quello che discordasse dagli altri. Ma tutto è bene quel che finisce bene dato anche il weekend un po' sfigato (il DNS che controlla il mio dominio è andato in tilt), visto che anche lo studio professionale - che mi aveva dato una cifra iniziale stimata in difetto - ci ha messo un buon 50% di responsabilità nella discrepanza.

Ora non resta che firmare, inviare i moduli digitalmente e aspettare con fiducia il rimborso. E speriamo bene!

-quack

Technorati tags: ,

Imprenditori modello

Feb 16, 2007 - 0 comments - Archiviato in: #Cazzate

Certo che gli imprenditori italiani sono una spanna sopra gli altri: Big Smile

Paga prostituta con assegno poi lo blocca
Ma lei lo filma col telefonino e lo incastra

Dal corriere.it

Interviste (parte 1)

Feb 16, 2007 - 0 comments - Archiviato in: #Cazzate #Video

Seguirà un altro post su un altro tipo di intervista. Certo che c'è da chiedersi come abbia fatto Boncompagni a galleggiare tutti questi anni Smile

-quack

Technorati tags:

Moduli

Feb 14, 2007 - 0 comments - Archiviato in: #Cazzate

Questa è la settimana dei moduli. C'è da compilare quello delle tasse, palloso come un modulo delle tasse, e quello della cittadinanza.

Per il primo la fortuna è che quest'anno la più grande catena di "preparatori di tasse" H&R block ha deciso di regalare la versione base del loro SW che devo dire la verità è fatto molto bene. Ciò nonostante preferisco che alla fine - la revisione finale - venga fatta da uno studio professionale rinomato: è così che 2 anni fa ho scoperto che il SW aveva mancato una piccola voce nel campo delle deduzioni che stava per mandare in fumo circa 2000$. Quest'anno penso di battere il mio record personale di rimborso e speriamo bene! (A differenza dell'Italia il rimborso avviene nell'arco di pochi giorni lavorativi).

Il secondo modulo, quello della cittadinanza è alquanto incasinato. Ci sono domande "silly" (tipo se si è stati iscritti al partito Nazista tra il 1939 e il 1945) e domande ben più complesse: quanti giorni sei stato fuori dagli Stati Uniti negli ultimi 5 anni? Per gran fortuna ho documentato fotograficamente tutte le mie vacanze e il timestamp sulle foto combinato con i timbri sul passaporto mi ha aiutato a ricostruire con la precisione dovuta le informazioni necessarie. Nel frattempo sto ancora cercando di interpretare una frase alquanto articolata scritta in "legalese"

Poi - se tutto va bene - toccherà mettersi a studiare sui libri un po' di storia Ammerigana. Ma quello è niente. E speriamo bene!

-quack

Technorati tags: ,

Come ti creo un caso[tto]

Feb 14, 2007 - 0 comments - Archiviato in: #Cazzate #Security #Windows

1. Joanna Rutkowska fa una recensione di UAC sul suo blog (molto positiva). Tra le cose che scrive, cita il fatto che

 "One thing that I found particularly annoying though, is that Vista automatically assumes that all setup programs (application installers) should be run with administrator privileges"

2. Mark Russinovich "replica" spiegando che tale decisione è frutto di un compromesso accettabile tra security e usabilità, teorizzando inoltre che "Because elevations and ILs don’t define a security boundary, potential avenues of attack , regardless of ease or scope, are not security bugs"

3. Joanna che non è d'accordo su quest'ultima affermazione controreplica scrivendo a sua volta un articolo il cui titolo è tutto un programma: "Vista Security Model – A Big Joke?"

4. A questo punto la storia si fa divertente: qualcuno di slashdot, che di tutta la discussione non ha capito una cippa lippa, nella fretta di spalare la solita merda su Windows, cita  l'articolo di Joanna con un titolo spettacolare: "Very Severe Hole" In Vista UAC Design

5. Joanna si accorge del malinteso e provvede a spiegare con un altro articolo (Confiusion About The "Joke Post" (*)) a quel qualcuno (citato nell'articolo come "many people") cosa voleva dire in realtà

Morale della storia: per spalare merda non è assolutamente necessario neanche sapere di cosa si sta parlando. Questi slashdotters: se non ci fossero bisognerebbe inventarli. Big Smile

Technorati tags: , , ,