Vai al contenuto

Da alcuni giorni sto utilizzando Simplenote: un programma che, come si intuisce dal nome, gestisce in maniera semplice le note. C'è un app per Android e per altre piattaforme e c'è pure la versione per Linux.

Io uso Ubuntu e ho trovato un problema intermittente che gli impedisce di partire. Se lo lanciate da riga di comando spesso vi restituisce questo errore prima di andare in crash

FATAL:gpu_data_manager_impl_private.cc(415)] GPU process isn't usable. Goodbye.

Ho trovato che questo bug è tipico di altri programmi che usano Electron e il workaround per evitare che vada in crash è di farlo partire con un --no-sandbox

Se lo lanciate da interfaccia grafica dovete editare come root il file /usr/share/applications/simplenote.desktop cambiando la riga di Exec da

Exec=/opt/Simplenote/simplenote %U

a

Exec=/opt/Simplenote/simplenote --no-sandbox %U

In questo modo partirà sempre senza andare in crash.

Sento spesso parlare sostituire il sistema di votazione tradizionale fatto di schede scritte e controllate a mano con un più moderno sistema di votazione elettronica senza che chi ne parla sia realmente a conoscenza delle implicazioni sulla sicurezza delle votazioni.

Un esperto che spesso ne parla, ma con cognizione di causa, è invece Bruce Schneier e questa volta lo ha fatto insieme ad un gruppo di 20 esperti di cybersicurezza del voto.

Il riassunto di quanto espongono è che ogni sistema ha i suoi vantaggi e svantaggi e le sue vulnerabilità, anche quello tradizionale.

Se si vuole adottare un sistema elettronico ottimale ed affidabile di voto la soluzione che propongono è quella di usare la scheda elettorale cartacea e di leggerla tramite scansione elettronica. Di conservare separatamente ed in modo sicuro le schede che poi passeranno per un processo rigoroso di audit che avviene dopo le elezioni ma prima della certificazione.

A chi non è esperto di sicurezza informatica potrà sembrare strano che un sistema "elettronico" di votazione si basi ancora sulla vecchia scheda cartacea ma i rischi e, soprattutto, la mancanza di alcune garanzie fondamentali impediscono di avere un sistema interamente digitale.

Le automobili elettriche non emettono inquinanti quindi, la classificazione Euro-x non si può applicare.

Questo non vuol dire che non inquinino in termini assoluti ma significa solo che non inquinano mentre si muovono. Si tratta ovviamente di un risultato notevole avere automobili che non hanno un tubo di scappamento che sputa fuori schifezze.

A questo punto però sarebbe utile un nuovo indicatore di inquinamento che sia basato su sulle emissioni totali dalla costruzione al riuso/riciclo/smaltimento finale. Potrebbe anche applicarsi (affiancandolo) al vecchio sistema Euro-x alle auto termiche perché tutte le automobili hanno un impatto ambientale alla costruzione, all'utilizzo e allo smaltimento.

Detta così sembra facile ma in realtà questo nuovo indicatore dipende da diverse variabili come ad esempio i Km percorsi annualmente ma non bisogna farsi scoraggiare. Un mega suv elettrico, pesante e alto su strada, non inquina come una city car elettrica ma entrambi emettono zero quando si muovono.

Ritengo importante differenziare ed eventualmente premiare o penalizzare in base all'inquinamento reale e complessivo.

Il sistema di monitoraggio dischi S.M.A.R.T. (Self-Monitoring, Analysis, and Reporting Technology) si applica sia ai vecchi dischi a piatti rotanti che hai nuovi dischi allo stato solido e serve per avere una serie di informazioni sullo stato di salute dei dischi utili a prevederne futuri guasti.

Non si tratta di un sistema recente quindi ci si aspetta che funzioni anche su dischi datati quindi quando mi sono trovato un messaggio che dice che il mio vecchio ASUS Eee PC 900 ha i dischi (SSD tra l'altro) che non supportano SMART sono rimasto perplesso e, difatti, non è vero. Lo supportano.

Per monitorare i parametri SMART si usa smartmontools

apt install smartmontools

Se, come è capitato a me, il tool dice che SMART non è supportato

# smartctl -a /dev/sda1

Device Model: ASUS-PHISON OB SSD
Serial Number: xxxxxxxxxxxxxxx
Firmware Version: TST2.04P
User Capacity: 4,034,838,528 bytes [4.03 GB]
Sector Size: 512 bytes logical/physical
Device is: Not in smartctl database 7.3/5319
ATA Version is: ATA/ATAPI-5 (minor revision not indicated)
SMART support is: Unavailable - device lacks SMART capability.

Bisogna abilitarlo forzandolo

# smartctl -T permissive -s on /dev/sdb1

Il tool smartmontools installa anche un servizio: smartmontools.service che ha bisogno di un piccolo settaggio altrimenti di suo non riesce a capire che in realtà SMART è abilitato e fallisce. Bisogna editare il file di configurazione /etc/smartd.conf e commentare la riga del DEVICESCAN per impedire che cerchi autonomamente i dischi e bisogna aggiungere in coda i device che si vogliono monitorare aggiungendoci la direttiva permissive

/dev/sdb -T permissive
/dev/sda -T permissive

Nel mio caso sono i due sopra. A questo punto basta riavviare il servizio

systemctl restart smartmontools.service

ed è fatta. Ora, per esempio, il file /var/lib/smartmontools/smartd.ASUS_PHISON_SSD-SOQ1482230.ata.state contiene tutte le info SMART. Se le volete in forma più leggibile da un umano potete usare questo comando

smartctl -T permissive -a /dev/sdb1

Leggendo un post di Stefano Quintarelli ho scoperto questo interessante browser: LibreWolf.

Si tratta di un browser basato su firefox e focalizzato sulla privacy, sulla sicurezza e sulla libertà.

Si può installare su svariate piattaforme e sicuramente lo proverò.

Quando si acquista da un negozio online ci sono una serie di accortezze per limitare i rischi di frode nei quali si incorre pagando con carta di credito e spero che li conosciate anche perché non è di questo che volevo parlare.

Ci sono dei casi, rari fortunatamente, nei quali si deve pagare con carta di credito: non si è fisicamente presenti presso il venditore che avrebbe il POS per effettuare il pagamento e il venditore non è attrezzato per farvi pagare online con un form web dove poter inserire in sicurezza i dati della carta.

Analizziamo la situazione: tanto per cominciare vi dovete fidare totalmente del venditore. Meglio se lo conoscete di persona e se avete anche già acquistato da loro.

Smarcato il problema "fiducia" restano le misure di sicurezza. I dati della carta non vanno trasmessi usando un canale insicuro, non cifrato, perché si corre il rischio che un qualunque soggetto terzo possa intromettersi e salvarsi i dati della carta. Un email (sempre che non sia cifrata) non è un canale sicuro. Anche una telefonata non è un canale sicuro: so che magari è un pelo paranoico ma le telefonate sono intercettabili abbastanza facilmente e qualcuno potrebbe anche ascoltarvi .

Un sistema di messaggistica cifrato end-to-end è una buona opzione cancellando subito dopo il messaggio, ci sono alcune criticità potenziali ma a grandi linee è una buona opzione.

Bisogna tener presente che la sicurezza assoluta non esiste: anche un form web https di una banca potrebbe essere insicuro. Basta che ci andiate su con un cellulare o un pc infettato da un keylogger che vi ruba i tasti che premete o, molto più banalmente, qualcuno che con una buona videocamera (e basta un buon cellulare) vi fa un video riprendendo i dati che inserite.

Le automobili elettriche hanno un doppio sistema di frenata: la prima parte è gestita ricaricando il pacco batterie facendo rallentare e fino anche fermare l'auto (frenata rigenerativa), la seconda parte è il classico freno meccanico che conosciamo.

Già ora molti automobilisti elettrici usano un impostazione e uno stile di guida detto "One Pedal" che consiste nel usare solo il pedale dell'acceleratore senza necessità di usare il freno (salvo ovviamente casi di emergenza) e difatti l'usura dell'impianto frenante delle BEV è praticamente zero e, di conseguenza, anche l'inquinamento dovuto alle polveri sottili delle pastiglie dei freni è quasi azzerato.

Ora la tedesca ZF ha presentato un sistema innovativo di frenata interamente elettrica. La forza frenante è generata da quattro motori elettrici: uno per ruota. La sicurezza è garantita dalla stessa tecnologia di ridondanza usata sugli aerei e l'efficienza è stata testata ed è superiore ai freni tradizionali.

I vantaggi di questa soluzione sono interessanti. Prima di tutto si va verso la semplificazione che è sempre utile. L'efficienza di questo sistema permette un maggior recupero di energia durante la frenata. Come già detto ecologicamente è ottimo eliminando del tutto l'inquinamento causato dalle pastiglie dei freni. La manutenzione, che già è minima per le BEV, viene così ulteriormente ridotta.

In tema di semplificazioni sto aspettando alcune soluzioni che credo siano a portata di mano: 4 motori, uno per ruota, eliminando del tutto trasmissione/differenziale, eliminazione della batteria di servizio da 12V e batterie più piccole insieme a sistemi di ricarica wireless ad induzione in movimento come già si vedono ora in fase sperimentale sulla Brebemi.

Via Viaelettrico

Gli assistenti vocali: Google Assistant, Siri di Apple, Cortana di Microsoft e altri sono decisamente poco rispettosi della privacy. Dario Bonacina ce lo spiega bene.

Purtroppo per il classico utente medio non ci sono soluzioni: se vuole un assistente vocale facile da installare, anche per chi non è un informatico, deve accontentarsi di "pagare" con la perdita di privacy.

Per chi invece ci capisce almeno un po' esistono altre soluzioni. Ad esempio Mycroft è un assistente vocale open source e particolarmente rispettoso della privacy che gira su un server nostro e locale. Quelli di Mycroft vendono pure lo smart speaker che integra tutto quello che serve: volendo può funzionare anche senza connessione ad internet.

Anni fa, prima della nascita delle piattaforme di streaming, avreste immaginato di guardare una serie tv straniera? A parte ovviamente una statunitense e, al massimo, dei cartoni animati giapponesi.

Uno dei vantaggi delle piattaforme di streaming è anche questo: la sezione locale di una nazione produce una serie tv (oppure ne acquista i diritti) e, se valuta che potrebbe avere un potenziale in altre nazioni, ha tutte le possibilità per doppiarla e distribuirla.

Con grande difficoltà, anche in passato, era possibile scaricare illecitamente dei contenuti che altrimenti non sarebbero mai arrivati in Italia e, nel caso migliore, scaricare dei sottotitoli prodotti da altri semplici utenti. Un doppiaggio è però sempre stato ben oltre le possibilità di qualche amatore.

Oggi, invece, abbiamo parecchia scelta. Anche straniera. Ad esempio su Netflix è da poco uscita una mini serie molto bella "La mia Prediletta" che è tedesca, meno di recente "Totenfrau La Signora dei Morti" che è austriaca come "Fast Forward" che invece è su PrimeVideo.

Le ambientazioni sono diverse dal solito ma anche alcuni film statunitensi sono ambientati in Europa: quello che realmente cambia è il punto di vista che è diverso da quello di un film o serie italiana o degli USA

Un team di ricercatori di un università britannica ha istruito un modello di machine learning per identificare i tasti premuti di un portatile grazie al suono che producono e con un accuratezza del 95%

Questo risultato è stato raggiunto usando il microfono di un normale cellulare per catturare il suono. Hanno anche provato con l'audio di una call conference con Zoom e hanno comunque ottenuto la notevole percentuale di accuratezza del 93%

Chi è nelle condizioni di dover temere simili attacchi può adottare alcune contromisure: usare un software che riproduce suoni di tasti premuti oppure confondere l'ascolto con un altro metodo: usare un rumore bianco.

Via Schneier e bleepingcomputer

La comodità delle piattaforme di streaming per guardare film e serie tv è innegabile ed è anche superiore alla pratica di scaricare/condividere illegalmente questi materiali protetti da copyright tramite torrent.

A seconda dei momenti il metodo illegale è risultato più o meno gettonato e un modo interessante per far pendere nuovamente la bilancia dal lato della legalità potrebbe essere quello di proporre pacchetti di vari siti di streaming al costo inferiore della somma dei singoli. Si tratta di un vantaggio non solo per gli utenti ma anche per i siti di streaming che, in questo modo, potrebbero catturare quegli utenti che non acquisterebbero mai il loro servizio perché possono affrontare il costo di uno o due ma non di altri in più.

insisto nel pensare che watermarking, mercato di offerte legali a prezzi ragionevoli e follow the money siano la via preferenziale per contrastare la pirateria.

Ho dovuto migrare una mia macchina virtuale da Virtualbox a Vmware workstation player quindi colgo l'occasione per segnalare alcune informazioni utili.

Esportando la vm e importandola potrebbe capitare che la scheda audio non venga creata. In questo caso aggiungete manualmente l'hardware sound. Se anche così la scheda audio non risultasse visibile allora, a vm spenta, modificate il file di configurazione della vm .vmx impostando

sound.present = "TRUE"

Bisogna poi sistemare le vm guest addictions/vm tools: disinstallare quelle di Virtualbox e installare quelle di Vmware. Per le vbox guest addictions in /opt/VBoxGuestAdditions-x.x.x/ (sostituite le x con la versione che avete installata) c'è l'uninstall. Nel mio caso ho un sistema operativo guest Ubuntu e, per installare quelle utili a Vmware workstation, ho usato quelle che ci sono nei repository

apt install open-vm-tools open-vm-tools-desktop

Nel caso il copia e incolla tra guest e host non funzionasse, nonostante i tools desktop appena installati, si può sistemare con delle impostazioni sempre nel .vmx

isolation.tools.copy.disable = "FALSE"
isolation.tools.paste.disable = "FALSE"
isolation.tools.setGUIOptions.enable = "TRUE"

Se poi avete problemi di spazio potreste voler evitare che venga creato un file di dump della memoria durante il run della vm e per farlo abbiamo la solita aggiunta/modifica nel file .vmx

mainMem.useNamedFile = "FALSE"

Personalmente preferisco Virtualbox ma per delle circostanze particolari sono dovuto passare a Vmware workstation player.

Il progetto Z-Library è probabilmente la più grande libreria online gratuita di ebook, articoli scientifici testi accademici e altro che esista.

Lo scorso anno (novembre 2022) ha subito il sequestro di molti nomi a dominio da parte del dipartimento di giustizia statunitense ma non si è arresa. Al momento è raggiungibile tramite il nome z-lib.io anche se potrebbero cercare di bloccare anche quello.

Per scaricare gli ebook bisogna registrarsi e lo si può anche fare su singlelogin.re e addirittura viene rilasciato un dominio singolo personalizzato da non divulgare: si tratta di un ulteriore metodo per evitare blocchi ed è anche accessibile da rete tor

Pare quindi che i loro sforzi per continuare a fornire il servizio di libreria pubblica gratuita stiano funzionando nonostante gli attacchi.

In una lettere aperta WhatsApp fa sapere che in UK stanno discutendo di una legge che, per come è formulata ora, permetterebbe di costringere le aziende di messaggistica come WhatsApp a indebolire e quindi distruggere la sicurezza delle comunicazioni cifrate end-to-end.

In questo modo tutti i britannici e chiunque si scambi messaggi con loro non potrebbero più scambiare messaggi in maniera sicura.

Ci fa notare Bruce Schneier che la reazione di WhatsApp e di Signal sarà quella di cessare il loro servizio in UK piuttosto che compromettere la sicurezza dei loro utenti in tutto il resto del mondo.

Il bilanciamento tra sicurezza e privacy è un mestiere complesso ma in questo caso hanno ragione WhatsApp e Signal: in UK, con una legge di questo tipo, passerebbero il segno e quindi una risposta forte è doverosa.

L'interoperabilità dei sistemi di messaggistica è un ottimo obbiettivo perché impedisce che un utente sia bloccato da un software di messaggistica e, di conseguenza, favorisce sia la libertà che la concorrenza. Anche Bruce Schneier afferma che in teoria è un bene.

Dei ricercatori hanno valutato che l'interoperabilità porta ad una superficie di attacco maggiore su parecchi aspetti. In pratica succede che la sicurezza complessiva diventa pari a quella della piattaforma peggiore: un brutto livellamento verso il basso diventa il risultato dell'applicazione di un principio che dovrebbe essere buono.

L'algoritmo a chiave pubblica CRYSTALS-Kyber è raccomandato dal NIST nel processo di selezione della crittografia post-quantica.

Dei ricercatoti hanno pubblicato un attacco Side-Channel basato sul consumo di corrente e si supponeva che questo algoritmo fosse resistente a questo tipo di attacco.

La parte interessante, fa notare Bruce Schneier, non è tanto l'attacco in se ma che abbiano usato una tecnica di machine learning per istruire il sistema su come portarlo a termine: effettivamente è importante notare che una tecnica relativamente nuova come quella del machine learning possa essere usata per trovare vulnerabilità e, ovviamente di contro, anche per forzare un sistema.

Capita di dover aprire un tunnel socks5 ma se poi questo tunnel deve restare aperto per ore e magari resistere a vari eventi avversi non basta il semplice comando ssh

ssh -ND 8080 root@192.168.1.1

perché se il server destinazione (il 192.168.1.1) ad esempio viene riavviato il tunnel cade. Per ovviare a questo ed altri inconvenienti basta un breve script che si occupa di verificare che il tunnel sia aperto e, in caso contrario, che lo apra e che faccia tutto questo all'infinito. Quantomeno fino a quando non lo blocchiamo a mano noi.

Questo è lo script bash

#!/bin/bash
# Script che apre e tiene aperto un tunnel socks5
# porta utente e ip o dns sono hardcoded ma volendo potrebbero essere messi come parametri

# Ciclo while infinito
while true
do
# Il comando if verifica l exit code del comando che sta cercando qualcosa in LISTEN sulla porta 8080 che è il mio tunnel 
  if netstat -an | grep 8080 | grep -q LISTEN 
  then
# Se lo ha trovato allora entra qui e attende 1 secodo poi salta il ramo else e ricomincia il coclo infinito
    sleep 1
  else
# Se non lo trova allora entra qui e il comando sotto crea in background il tunnel e poi aspetta 2 secondi poi continua il ciclo infinito
    nohup ssh -ND 8080 root@192.168.1.1 > /dev/null 2>&1 &
    sleep 2
  fi
done

Molti storici motori di ricerca torrent sono accessibili solo da rete tor (causa blocchi) quindi vi suggerisco di usare tor browser o brave che ha un tab tor per raggiungerli. Ecco un elenco:

https://1337x.to

https://cloudtorrents.com

https://www.torrentdownloads.me

https://solidtorrents.net

https://ilcorsaronero.link

https://torrentz2.nz/

Invece alcuni sono ancora accessibili direttamente

https://www.limetorrents.lol/

https://www.torrentfunk.com/