Vai al contenuto

Tesla Model 3 (auto elettrica su wikipedia)

Paolo Mariano su vaielettrico propone un idea: una piccola auto elettrica come la Dacia Spring con una batteria ancora più piccola: da 10 kWh (autonomia da un centinaio di km).
Un auto piccola come la Dacia Spring che avesse una batteria mini potrebbe essere sia un ottima seconda auto per quasi tutte le esigenze che una prima auto per alcuni.
Più in generale sarei favorevole a mini batterie anche su auto più grandi ma solo se non eliminassero i tagli maggiori. Fatto interessante: costerebbe parecchio meno.
Ultima considerazione è che, come idea, sarebbe ottima per favorire il primo passaggio all'elettrico per molti: sia come seconda auto inseme ad una termica che già si possiede e in futuro verrà sostituita da una EV con batterie allo stato solido, sia come prima auto per chi fa pochi km ma che poi dovrebbe organizzarsi con un noleggio o altro per i pochi viaggi lunghi.
Questa provocazione viene osteggiata da di chi non rientra nella maggioranza (che quindi immagino che percorra parecchi km): non si sta dicendo che per tutti dovrebbe essere così ma che per molti è così. Statistiche alla mano. Ovviamente se si eliminassero le batterie grandi allora sarebbe un altro discorso ma io sarei favorevole ad aggiungere alla gamma dei modelli uno con taglio molto piccolo.

Token RSA

L'autenticazione a più fattori (Multi Factor Authentication: MFA) o, nel caso più semplice a due fattori (2FA) è un sistema più sicuro per loggarsi, ad esempio, sulla propria casella email. Si basa sul concetto di dover usare due (o più) sistemi diversi di autenticazione: una cosa che sai (la classica password) e una cosa che hai (una sim telefonica sulla quale ricevi un sms, un telefono con un app che ti fornisce una chiave usa e getta, un "cosino" con numeri che ogni tot secondi cambiano, o addirittura una cosa che sei come impronta digitale o dell'iride).

Qualche giorno fa mi è arrivata l'email di Google che mi invitava ad attivare MFA su un mio storico indirizzo gmail che praticamente non uso più avvisandomi che entro il 14 dicembre sarebbe diventata obbligatoria. Ottimo reminder che mi è stato utile per attivare subito questo importante meccanismo di sicurezza.

Se avete dei dubbi riguardo alle difficoltà che potreste incontrare non posso dirvi che non ce ne saranno ma sicuramente posso affermare che Google si è impegnata molto per ridurle al minimo. Vi faccio un paio di esempi: se avete un app di posta che supporta MFA sarà sufficiente attivarla e mettere il "secondo fattore" (esempio un codice) la prima volta e poi, per sempre, quell'app funzionerà come prima, senza chiedere password o altro. Secondo esempio un app che non supporta MFA: in questo caso Google vi fornisce una password generata automaticamente da inserire nell'app (che la salva) e, da quel momento, continuerà a funzionare come prima senza chiedere password o altro e, questa password, sarà valida solo per quell'app.

Spero di avervi convito ad attivare MFA quantomeno sugli accessi più importanti come email, siti di e-commerce che salvano i dati della vostra carta di credito o altro che riguarda soldi o dati critici.

In UK, ci segnala Bruce Schneier, c'è una proposta di legge per bannare le password di default sui dispositivi IoT.

Si tratta di un interessante passo avanti per migliorare la sicurezza di oggetti connessi ad internet: non necessariamente si tratta di una buona soluzione ma è meglio di niente.

L'ideale sarebbe un sistema per invogliare ad avere password sicure e uniche. Fino ad ora, la soluzione che più mi è piaciuta, che va in questa direzione è quella che ho visto su un router: una password preimpostata composta da un paio di parole e qualche numero. Viene scritta sull'etichetta del router, il fabbricante non la conosce perché è generata a caso in automatico ed è abbastanza facile da ricordare.

In questo campo le soluzioni devo necessariamente essere un compromesso tra facilità d'uso e sicurezza: se sono estremamente sicure quasi sicuramente sono troppo difficili da usare e si rischia che l'utente medio si stufi e cambi la password con 12345. Se sono troppo facili da usare sicuramente la sicurezza è troppo bassa e prima o poi qualcuno entra abusivamente nel tuo dispositivo.

Si parla molto di Green Pass intestati a "persone" improbabili. Quello che preferisco citare è Mickey Mouse: Topolino.

Uno dei metodi per produrre un Green Pass di questo tipo che risulti essere valido ad un controllo è di rubare la chiave privata usata per firmarlo. A questo punto, chi non mastica crittografia ad ogni pasto, si sarà chiesto come funziona questo strano sistema denominato crittografia a chiave pubblica/privata e subito dopo avrà abbandonato l'idea di capirne i dettagli pensando che sia troppo complicato.

Si tratta sicuramente di un sistema complicato ma l'idea alla base è è molto semplice ed è anche affascinante. Nella lunga e complessa pagina di wikipedia dedicata all'argomento, tra le tante informazioni, c'è anche la spiegazione:

Il principio generale della crittografia asimmetrica ha una solida base matematica che lo giustifica; tale base, riassunta e semplificata all'estremo, si fonda sull'uso di un problema complesso, ovvero un'operazione matematica semplice da eseguire, ma difficile da invertire, cioè dal cui risultato è difficile risalire agli argomenti di partenza. L'esempio classico è il problema della fattorizzazione di un numero (trovare i numeri primi che lo producono se moltiplicati tra loro: ad esempio, è facile moltiplicare 17×23 ottenendo 391, ben più difficile è per esempio fattorizzare il numero 377 nei fattori primi 13 e 29) usata nel primo e più famoso sistema crittografico a chiave pubblica: RSA.

Come vedete la spiegazione (semplificata) è di facile comprensione ed è affascinante nella sua semplicità

L'NSA (National Security Agency) e la CISA (Cybersecurity and Infrastructure Security Agency) hanno rilasciato un documento su come rendere più sicura una VPN.

Già dal cappello introduttivo al documento si capisce che nel comparto sicurezza c'è ancora tantissima strada da fare visto che le indicazioni mi paiono sostanzialmente suggerimenti di buon senso e se c'è bisogno di ricordarli vuol proprio dire che mancano le basi.

Invece che polemizzare o intristirmi riporto qui quelle indicazioni in modo che siano utili e che diventino presto la norma.

  • Usare prodotti testati e validati presenti in un elenco proprio dell'NSA: in pratica non la VPN che mi ha detto mio "cuggino" ma qualcosa di serio.
  • Usare sistemi di strong authentication come MFA Multi Factor Authentication
  • Applicare subito patch e update
  • Ridurre il perimetro dei potenziali attacchi eliminando tutto quello che in realtà non si usa

In realtà il documento è molto più articolato e presenta diversi altri suggerimenti meno "banali" quindi risulta utile anche a chi ha già predisposto i primi e basilari step di sicurezza

Via Bruce Schneier

L'ente spaziale europeo ESA ha annunciato che lancerà un satellite che sarà completamente riprogrammabile da terra. Giustamente ci fa notare Bruce Schneier che questo significa hackerabile.

Anche dando per scontato strong encryption e un buon sistema di gestione delle chiavi resta comunque un bersaglio interessante.

Ormai è abbondantemente più di un decennio che scrivo di questo argomento: usare sistemi illeciti e/o illegali per scaricare film o usare altre alternative legali?

L'occasione per tornare sull'argomento mi viene da un post di Gioxx che prende spunto dalla recensione del servizio di streaming Apple TV+ per fare una considerazione. Sono ormai così tanti i servizi legali di streaming che è divento assurdo abbonarsi a tutti per non perdersi i contenuti in esclusiva di ciascuno. Costerebbe troppo.

Io noto una sorta di altalena al riguardo. Prima di Netflix l'altalena pendeva dalla parte del download pirata via torrent, poi è arrivato Netflix e l'altalena è passata dal lato dello streaming legale. Ora sta iniziando nuovamente a spostarsi dal lato oscuro (non ho resistito: ho dovuto fare la citazione).

Così come l'avvento di Netflix ha fatto cambiare il lato dell'altalena mi aspetto che arriverà qualcosa che nuovamente spingerà l'altalena dal lato della legalità. Non so cosa sia ma so che arriverà perché il tempo è maturo e questo tipo di oscillazione è proprio il modo in cui funzionano le cose.

Un ricercatore, Josep Rodriguez, ha scoperto alcune vulnerabilità nel protocollo NFC implementato sia nei POS dei negozi che negli ATM (gli sportelli bancomat per intenderci).

Sommando anche altri bug è stato in grado, per un particolare tipo di ATM, di ottenere soldi (jackpotting ATM). Fortunatamente si tratta di una persona responsabile quindi non ha divulgato i dettagli in attesa che gli interessati tappino le falle

Ricordate: aggiornate sempre tutto quello che è aggiornabile. In particolar modo questo suggerimento è valido per le banche che gestiscono gli ATM e le "macchinette" per i pagamenti POS dei negozi.

(Via Bruce Schneier)

Generalmente quando si aggiorna una Linux ci si aspetta un upgrade e non un downgrade come mi è capitato su delle Debian Buster 10.9 (ma discorso analogo anche su delle Ubuntu LTS).

La causa è di una versione di PHP più aggiornata di quella standard della distribuzione che richiede un downgrade di alcuni pacchetti: niente di grave. Lasciategli fare il downgrade e, al amassimo, controllate che fili tutto liscio.

Se invece non avete installato un PHP più aggiornato allora non vi capiterà di vedervi apparire un downgrade.

Uno storico e stabile motore di ricerca torrent che ancora non avevo segnalato è 1337x.to

Come molti altri ha svariati indirizzi alternativi in caso il principale non funzioni:

1337x.st (Attivo da Ott. 2017)

x1337x.ws (Attivo da Dic. 2017)

x1337x.eu (Attivo da Mar. 2018)

x1337x.se (Attivo da Mag. 2018)

1337x.is (Attivo da Gen. 2019)

1337x.gd (Attivo da Ott. 2019)

Interessante anche torrentfunk.com

e torrentdownloads.me , solidtorrents.net

Invece search.torrends.to è un meta motore di ricerca torrent quindi vi restituirà risultati che recupera da altri motori di ricerca torrent

La banca d'Inghilterra rende omaggio ad Alan Touring dedicandogli la nuova banconota da 50 sterline.

Alan Touring è stato un matematico e crittografo e, con il su lavoro a Bletchley Park durante la seconda guerra mondiale, ha contribuito a ridurne la durata. Come "premio" per tutto quello che ha fatto è stato perseguitato per la sua omosessualità fino a portarlo al suicidio. Ci sono voluti diversi anni prima che L'UK rilasciasse ufficialmente delle scuse (purtroppo, ovviamente, postume).

Molto più significativo delle scuse, doverose, è questo tributo sulla banconota da 50 sterline.

Mi è piaciuto molto quello che il direttore del GCHQ Jeremy Fleming ha dichiarato: ha detto che questo tributo è importante non solo in considerazione del suo genio scientifico ma ne conferma lo status di una delle più iconiche figure LGBT+ del mondo.

Sono ormai alcune settimane che ho iniziato ad usare Syncthing (Open Source) per tenere sincronizzati file e cartelle tra i miei vari computer, server e smartphone e devo dire che come alternativa a Dropbox è veramente interessante.

Il compito che svolge è simile da Dropbox ma ci sono alcune differenze.

Syncthing non ha un server proprio dove custodisce una copia online dei dati come fa Dropbox quindi niente interfaccia web per la gestione dei propri file ma anche niente limiti di spazio. Si può tenere in sincronia tutti i file che si vuole e il limite è dato solo dallo spazio disco dei vostri dispositivi.

La gestione del versioning dei file è decisamente più articolata e flessibile ma come contro, ovviamente, utilizza il vostro spazio disco. Basta avere l'accortezza di attivare un versioning molto esteso solo su un computer con molto spazio storage per aggirare il problema: per esempio su uno smartphone solitamente non è il caso di sprecare spazio.

Il client Android ha il vantaggio di salvare una copia locale così da avere i dati disponibili anche offline ma, di contro, non è possibile selezionare una scheda sd come destinazione

Ci sarebbero svariate altre caratteristiche e informazioni interessanti ma mi sono limitato a citare i principali pro e contro di Syncthing rispetto a Dropbox.

Leggo da Bruce Schneier di un talk di Maggie Stone (Google’s Project Zero) sulle vulnerabilità zero day che sono parenti stretti di precedenti vulnerabilità molto simili.

I cattivi dopo aver visto che un loro attacco viene neutralizzato da una patch riescono in breve a scoprire una nuova falla contigua alla precedente e la sfruttano subito. Secondo la Stone questo accade perché le risorse impiegate per risolvere i problemi di sicurezza sono troppo scarse e quindi si limitano a tappare la specifica falla.

In questo modo è facile trovare un buco contiguo al precedente che la patch non copre.

Questa modalità di operare, rincorrendo e riparando i singoli casi, non funziona. Bisognerebbe aggredire la causa principale che porta ad avere tutto quel gruppo di singoli specifici problemi. Si tratta di un investimento iniziale maggiore ma poi non si sarebbe costretti ad inseguire tutti i successivi zero day.

Certo, poi non è che sparirebbero i problemi, ma almeno i cattivi dovrebbero impegnarsi per scoprire una nuova classe di vulnerabilità e i buoni una nuova soluzione per correggere il problema: insomma, la solita caccia del gatto al topo ma sicuramente la sicurezza complessivamente ne gioverebbe.

Image credit Blue Solution Blog

Quello che vedete sopra è il grafico del monitoraggio della temperatura della scheda madre di un pc portatile (adibito a "server" casalingo) prima, durante e dopo l'upgrade dalla versione Stretch di Debian alla versione Buster.

Si tratta di circa 5 gradi in meno e, per un vecchio portatile (che era rimasto spento alcuni anni), avere una motherboard più fresca è un ottimo sistema per farlo durare ancora alcuni anni.

Ricordatevi di tenere aggiornate le vostre macchine GNU/Linux based: tra i vari vantaggi potreste anche aggiungere, come è capitato a me, una migliorata efficienza energetica.

Quando i soliti motori di ricerca non sono più accessibili esiste una seconda possibilità passando da rete TOR.

Per accedere alla rete TOR esistono diversi modi. Uno dei più rapidi e facili da usare, anche per chi non è particolarmente esperto, è il browser Brave che ha, oltre alla classica finestra anonima, anche una finestra anonima con TOR,

Quale che sia il sistema che usiate per collegarvi con TOR, una volta fatto, potete collegarvi a Torrentz2 a questo indirizzo onion e cercare quello che vi serve.

Anche lo storico motore di ricerca torrent ThePirateBay ha il suo indirizzo onion.

Dopo 50 anni il messaggio "cifrato 340" (chiamato così perché è lungo 340 caratteri) è stato decifrato.

In un intervista ad uno dei ricercatori scopriamo che in realtà il killer dello zodiaco aveva commesso un errore durate la cifratura e, questo errore, ha reso così difficile la decifrazione che ci sono voluti 50 anni.

Una parte del meccanismo di cifratura prevedeva di scrivere una lettera, scendere di una riga e spostarsi di due colonne, scrivere la lettera successiva. Ad un certo punto della cifratura ha commesso un errore: invece di andare avanti di due colonne si è spostato solo di una.

Lo scopo di questo meccanismo di cifratura differente rispetto a quello del precedente messaggio era di renderlo più difficile. Il ricercatore spiega che secondo lui l'errore è stato involontario, se se ne sia accorto o meno comunque non l'ha corretto pensando che una complicazione in più avrebbe reso il lavoro di decifrazione più complesso (ma non immaginando quanto). Il motivo è che il messaggio conteneva informazioni che Zodiac voleva che si sapessero (non era lui che aveva chiamato in TV) e non avrebbe avuto senso rendere la cifratura così forte da volerci 50 anni per risolverla.

Via Bruce Schneier

sync image by Chris Veight

Un applicazione per smartphone intelligente ha dei dati salvati in modo da poterli usare anche da altri dispositivi: l'esempio più facile è un blocco note che viene usato dall'app sul telefono ma anche da computer e da tablet.

L'approccio più tipico e facile è di avere un server centrale di proprietà di chi sviluppa e rende disponibile l'applicazione al quale si collegano tutti i dispositivi in modo da tenere aggiornati i dati. Si tratta della soluzione più facile per l'utente che deve solamente avere un account che poi imposta sui vari dispositivi per trovare tutti i suoi dati su tutti i dispositivi.

Una seconda possibilità è di poter impostare l'utilizzo di un proprio server per sincronizzare i dati. Questa opzione richiede competenze e risorse dell'utilizzatore che non sono più da utente e richiede anche che il software per implementare il server sia disponibile. Di contro ci sono notevoli vantaggi dal punto di vista della sicurezza (i miei dati sono solo su miei dispositivi/server) e della continuità del servizio (se chiudono il server centrale io continuo ad avere il tutto funzionante perché uso un mio server)

Nuovo indirizzo per il motore di ricerca torrent italiano Il Corsaro Nero

https://ilcorsaronero.link/

https://lagazzettadelcorsaro.com/

Il secondo link solitamente punta ad una pagina che contiene i link agli indirizzi alternativi nel caso il primo non funzionasse

Ubuntu 20.04 Focal Fossa

Per cambiare focus da un applicazione aperta ad un altra ho sempre usato Alt-Tab ma con l'upgrade da Ubuntu 18.04 LTS a 20.04 LTS questa scorciatoia da tastiera ha smesso di funzionare.

Al suo posto la nuova scorciatoia è Super-Tab ma questo comportamento è configurabile.

Basta aprire Impostazioni, Scorciatoie da tastiera e l'impostazione è "Evidenzia le applicazioni": cliccando sopra l'attuale scorciatoia è possibile cambiarla rimettendo il buon vecchio Alt-Tab

Bruce Schneier sposta il suo blog su WordPress: il fatto che uno dei massimi esperti si sicurezza come lui si fidi di WordPress è un gran bel risultato per l'immagine di affidabilità e sicurezza di WordPress.