Vai al contenuto

In una lettere aperta WhatsApp fa sapere che in UK stanno discutendo di una legge che, per come è formulata ora, permetterebbe di costringere le aziende di messaggistica come WhatsApp a indebolire e quindi distruggere la sicurezza delle comunicazioni cifrate end-to-end.

In questo modo tutti i britannici e chiunque si scambi messaggi con loro non potrebbero più scambiare messaggi in maniera sicura.

Ci fa notare Bruce Schneier che la reazione di WhatsApp e di Signal sarà quella di cessare il loro servizio in UK piuttosto che compromettere la sicurezza dei loro utenti in tutto il resto del mondo.

Il bilanciamento tra sicurezza e privacy è un mestiere complesso ma in questo caso hanno ragione WhatsApp e Signal: in UK, con una legge di questo tipo, passerebbero il segno e quindi una risposta forte è doverosa.

L'interoperabilità dei sistemi di messaggistica è un ottimo obbiettivo perché impedisce che un utente sia bloccato da un software di messaggistica e, di conseguenza, favorisce sia la libertà che la concorrenza. Anche Bruce Schneier afferma che in teoria è un bene.

Dei ricercatori hanno valutato che l'interoperabilità porta ad una superficie di attacco maggiore su parecchi aspetti. In pratica succede che la sicurezza complessiva diventa pari a quella della piattaforma peggiore: un brutto livellamento verso il basso diventa il risultato dell'applicazione di un principio che dovrebbe essere buono.

L'algoritmo a chiave pubblica CRYSTALS-Kyber è raccomandato dal NIST nel processo di selezione della crittografia post-quantica.

Dei ricercatoti hanno pubblicato un attacco Side-Channel basato sul consumo di corrente e si supponeva che questo algoritmo fosse resistente a questo tipo di attacco.

La parte interessante, fa notare Bruce Schneier, non è tanto l'attacco in se ma che abbiano usato una tecnica di machine learning per istruire il sistema su come portarlo a termine: effettivamente è importante notare che una tecnica relativamente nuova come quella del machine learning possa essere usata per trovare vulnerabilità e, ovviamente di contro, anche per forzare un sistema.

Capita di dover aprire un tunnel socks5 ma se poi questo tunnel deve restare aperto per ore e magari resistere a vari eventi avversi non basta il semplice comando ssh

ssh -ND 8080 root@192.168.1.1

perché se il server destinazione (il 192.168.1.1) ad esempio viene riavviato il tunnel cade. Per ovviare a questo ed altri inconvenienti basta un breve script che si occupa di verificare che il tunnel sia aperto e, in caso contrario, che lo apra e che faccia tutto questo all'infinito. Quantomeno fino a quando non lo blocchiamo a mano noi.

Questo è lo script bash

#!/bin/bash
# Script che apre e tiene aperto un tunnel socks5
# porta utente e ip o dns sono hardcoded ma volendo potrebbero essere messi come parametri

# Ciclo while infinito
while true
do
# Il comando if verifica l exit code del comando che sta cercando qualcosa in LISTEN sulla porta 8080 che è il mio tunnel 
  if netstat -an | grep 8080 | grep -q LISTEN 
  then
# Se lo ha trovato allora entra qui e attende 1 secodo poi salta il ramo else e ricomincia il coclo infinito
    sleep 1
  else
# Se non lo trova allora entra qui e il comando sotto crea in background il tunnel e poi aspetta 2 secondi poi continua il ciclo infinito
    nohup ssh -ND 8080 root@192.168.1.1 > /dev/null 2>&1 &
    sleep 2
  fi
done

Molti storici motori di ricerca torrent sono accessibili solo da rete tor (causa blocchi) quindi vi suggerisco di usare tor browser o brave che ha un tab tor per raggiungerli. Ecco un elenco:

https://1337x.to

https://cloudtorrents.com

https://www.torrentdownloads.me

https://solidtorrents.net

https://ilcorsaronero.link

https://torrentz2.nz/

Invece alcuni sono ancora accessibili direttamente

https://www.limetorrents.lol/

https://www.torrentfunk.com/

Nagios

Era da più di due anni che non uscivano aggiornamenti per Nagios Core. Nel 2022 ne sono già usciti 3, l'ultimo dei quali pochi giorni fa.

Visto il lungo periodo di assenza potreste aver dimenticato di aggiornare oppure, visto che la versione 4.4.7 ha un bug che porta a dover disabilitare il check della release, potreste essere giustificati quindi ho pensato di avvisare che ora l'ultima release è la 4.4.9 quindi correte ad aggiornare.

Tesla Model 3 (auto elettrica su wikipedia)

Si sente alle volte dire che le auto elettriche richiederanno troppa elettricità al sistema mettendolo in crisi: non è vero perché la quantità di elettricità aggiuntiva richiesta è modesta, è in crescita graduale (le auto elettriche sono in crescita graduale) e potranno addirittura essere la soluzione ad un problema che invece è reale. Quello della stabilizzazione dei carichi di rete.

Tutto passa da volontà politiche, modifiche alle normative e incentivi. Per diverse ragioni è utile puntare sulla produzione di elettricità da fotovoltaico (è più economico, ci rende indipendenti dall'estero, abbiamo tanto sole) e questo richiede che vengano sbloccati progetti già pronti a partire riducendo la burocrazia normativa. Una volta che il fotovoltaico sarà libero di cresce avremo abbondante energia elettrica ma, per sua natura, intermittente (legata alle condizioni meteorologiche). È qui che nuovamente entra in gioco la normativa: un auto elettrica predisposta a VTG (Veicle To Grid: dall'auto alla rete elettrica) che venisse lasciata connessa alla rete potrebbe fornire energia alla rete nei momenti di scarsità (con vantaggi economici per il proprietario dell'auto) stabilizzando la produzione elettrica.

Quindi l'unico vero problema futuro reale, l'intermittenza della produzione elettrica fotovoltaica, potrebbe essere risolto dalle tante e capaci batterie delle auto elettriche connesse alla rete con tecnologia VTG. Basterebbe solo adeguare la normativa per consentirlo.

Da alcuni giorni è disponibile la release upgrade di Ubuntu dalla vecchia versione LTS 20.04 alla nuova LTS 22.04 Jammy Jellyfish.

Segno qui alcuni appunti pre e post upgrade che potrebbero tornare utili ad altri.

La nuova release LTS occupa più spazio quindi già normalmente bisogna ricordarsi di avere sufficiente spazio libero nei vari filesystem ma, in questo caso, ancora di più: ad esempio il nuovo kernel 5.15 è ben più grande del vecchio 5.4 quindi occhio al fs /boot, anche in /opt serve spazio e ovviamente in / ne serve parecchio perché i pacchetti per l'upgrade vengono scaricati proprio nel fs radice.

Se siete a corto di spazio disco considerate, prima di iniziare l'upgrade, di disinstallare tutti i vecchi kernel (ovviamente il corrente lo dovete lasciare) e di disinstallare alcuni software che potrete reinstallare in seguito come ad esempio libreoffice o gimp.

Probabilmente per colpa di un bug potreste trovarvi ad avere le manpage vuote e con un errore quando uscite. Io ho risolto installando (o reinstallando se già lo avevate) groff con un apt install --reinstall groff-base

Se usate syncthing c'è un warning sull'uso del portachiavi che costa poca fatica sistemare (si tratta di un uso deprecato quindi in futuro darà errore; meglio prevenire) con un wget -O /etc/apt/trusted.gpg.d/syncthing.asc https://syncthing.net/release-key.txt

Se usate ecryptfs e avete parzialmente scriptato il mount ora vi chiederà il tipo di chiave perché prima era solo passphrase: basterà aggiungere nei parametri del mount nello script un key=passphrase

Come sempre ricordatevi di riattivare le sorgenti software aggiuntive che avevate in uso perché durante l'upgrade ve le disabilita.

Se avete trovato altre soluzioni a piccoli difetti durante l'upgrade scrivetemeli nei commenti che li aggiungo.

Apple ha introdotto il "Lockdown Mode" pensato per un ristretto numero di utenti: quelli che per motivi particolari sono potenziali vittime di attacchi informatici mirati.

Il punto interessante è il cambio di paradigma (anche se per un caso molto particolare): tipicamente si sacrifica la sicurezza per facilitare l'usabilità. In questo caso è il contrario; l'usabilità ne viene compromessa ma in cambio il perimetro dei potenziali attacchi viene ridotto.

Via Bruce Schneier

Breve segnalazione: il motore di ricerca torrent cloudtorrents.com pare interessante.

Ha un design pulito ed essenziale, ha delle categorie navigabili , con le quali restringere le ricerche, e sembra discretamente utile per la ricerca di torrent italiani.

Aggiungo anche un nuovo indirizzo per il famoso motore di ricerca torrent LimeTorrents.

IMDB

Ultimamente ho guardato qualche serie tv: la comodità dei servizi di streaming come PrimeVideo e Netflix è innegabile. Addirittura meglio che i download via Torrent 😉

La più interessante è Reacher (su Amazon PrimeVideo), basata sul primo romanzo della serie a lui dedicata dall'autore Lee Child. Lodevole la scelta dell'attore che impersona Jack Reacher che, a differenza dei due film già usciti sullo stesso personaggio, è alto e grosso così come viene caratterizzato dall'autore e il fatto non è puramente estetico ma parte integrante del personaggio. Oltre alle dimensioni adatte l'attore è anche bravo: rende molto bene il personaggio particolare di Jack Reacher.

Su Netflix, invece, ho visto Blind Spot che ha una trama complessa e interessante già dalla partenza con una donna nuda, piena di tatuaggi e senza memoria che viene trova in un borsone a Time Square. La seconda, che sto ancora guardando, è Good Doctor incentrata sulle vicende di un bravissimo specializzando chirurgo autistico.

Il vecchio Google for domains poi diventato G Suite legacy free edition per chi l'aveva attivato quando era ancora gratis rimarrà gratuito per gli utenti non commerciali, contrariamente a quanto dichiarato precedentemente da Google, ma bisogna segnalare, entro il 27 giugno 2022, che si intende usarlo per uso non commerciale. Se non lo si segnala allora Google vi considera come utenti commerciali e vi chiede di pagare.

Per effettuare questa segnalazione bisogna loggarsi con l'account gmail di amministratore (se avete un solo account allora quello è anche l'account di amministratore) e andare poi sulla Admin Console dove apparirà questa comunicazione (io ho la lingua inglese selezionata ma se voi avete l'italiano potrebbe apparirvi il tutto in italiano):

Time to choose the transition path for your account We’re extending the transition period for those using the Legacy Free Edition of G Suite. Upgrade now to enjoy a special discount on a Google Workspace subscription, or self-identify your legacy subscription is for personal use. If no action is taken before Jun 27, 2022, we'll automatically transition you to the recommended Google Workspace subscription.

Sotto c'è il link LEARN MORE che porta alla seguente schermata:

L'opzione da scegliere è l'ultima: Personal use, cliccando sulla freccia sulla destra. Appare un ulteriore schermata di conferma:

Questa schermata ci avvisa che potremo continuare ad usare l'email Gmail sul nostro dominio e alcuni altri dettagli, ci ribadisce che questa scelta è solo per uso personale non commerciale e ci avvisa che potranno rimuovere delle funzioni business e che non è compreso il supporto. Cliccate su Confirm for personal use e l'operazione è conclusa. Appare una schermata di conferma e ringraziamento:

ma più che un grazie da parte di Google per continuare ad usare il loro servizio io direi un grazie a loro per aver mantenuto l'uso personale gratuito per un prodotto che trovo molto utile nonostante lo usi esclusivamente per l'email personalizzata sul mio dominio.

Ci sarebbero state altre soluzioni più o meno complicate per continuare ad avere gratuitamente un email sul proprio dominio e una di queste l'ho anche messa in piedi (mi sono creato 4 miei server MX che inoltrano le email su dominio ad un altro indirizzo email) ma la G Suite è più comoda.

In conclusione, al posto dell'avviso che avevate all'inizio sulla scelta da effettuare, vi troverete un avviso che dice che state usando la versione legacy (che è gratuita)

e se volete potete passare a quella a pagamento: dalle mie parti si usa dire "anche no"

La guerra in Ukraina e le conseguenti sanzioni alla Russia sono un ottimo "pretesto" per puntare ad una indipendenza via via maggiore fino all'indipendenza totale da fonti fossili: non solo gas ma anche petrolio e non solo prodotti Russi ma proprio tutti.

Si tratta di buon senso. A breve termine sicuramente non si potrà ridurre drasticamente ne tanto meno eliminare ma a lungo termine è sicuramente possibile ed è utile per più motivi.

Puntando su fonti rinnovabili prodotte in loco come fotovoltaico, eolico e idroelettrico (con accumulo statico per normalizzare e produzione di idrogeno verde) ci si sgancia dai problemi che derivano dal dover importare prodotti da aree geografiche turbolente.

Si spende di meno: conti alla mano le fonti rinnovabili sono più economiche e col tempo miglioreranno ancora.

Non meno importante è più ecologico.

Resta solo da vedere se questo buon senso viene recepito da chi deve prendere le decisioni: i politici

Se state lavorando in Linux su un applicazione che ha molti file di configurazione torna utile poter fare delle modifiche in blocco a tutti questi file, in particolare sostituire tutte le occorrenze di una stringa in tutti file con una stringa sostitutiva.

Si può fare usando find per localizzare tutti i file di configurazione e sed per effettuare le sostituzioni il tutto in una "semplice" e singola riga di comando.

find /dove/sono/i/file/ -type f -name "*.cfg" -print0 | xargs -0 sed -i 's/StringaAttuale/StringaSostitutiva/g'

Mini spiegazione

/dove/sono/i/file/ è il punto a partire dal quale ci sono i file di configurazione e find va a cercare anche nelle sotto cartelle

I file di configurazione terminano tutti con .cfg

StringaAttuale e StringaSostitutiva si spiegano da soli e sappiate che se volete eliminare la StringaAttuale basta non mettere nulla al posto di StringaSostitutiva e che StringaAttuale può anche essere una regular expression.

Un gruppo di ricercatori ha calcolato il numero di qbit necessari ad un quantum computer per violare, in tempo utile, la firma con chiave pubblica delle operazioni su Bitcoin ed è risultato essere 317 × 106 qubit quando il più grande quantum computer attuale (IBM) ne ha 127.

Fa notare Bruce Schneier che il problema non si presenterà a breve, ma neanche lontanamente a breve.

Non fatevi ingannare dal fatto che stiamo parlando di violare Bitcoin e voi non ne avete: si tratta di un esempio pratico particolarmente calzante per quantificare la situazione di pericolo per la crittografia a chiave pubblica. La vulnerabilità nelle transazioni di Bitcoin è limitata in un arco di tempo di una decina di minuti. Bitcoin usa la crittografia ellittica a 256 bit per la firma dell'operazione e se si riesce a violarla tra il momento in cui viene generata e spedita a tutti la transazione e quando viene accettata (quei famosi circa 10 minuti) risulta possibile violare la transazione.

Il punto che interessa tutti è che la crittografia ellittica è una delle migliori disponibili e, anche per operazioni importanti come i pagamenti online, ne vengono usate di meno robuste quindi l'intera sicurezza della nostra vita online dipende da questa lotta tra crittografia e violazione della stessa con un quantum computer.

Nel frattempo i crittologi non stanno a grattarsi i pollici: sono da tempo al lavoro per un nuovo algoritmo resistente ad attacchi portati con quantum computer.

All'interno di un attacco informatico condotto dalla corea del nord contro ricercatori di sicurezza informatica dell'ovest l'hacker indipendente P4x è stato colpito direttamente e non l'ha presa molto bene.

Visto che, dopo un anno, nessuno ha preso provvedimenti ha pensato di darsi da fare lui per portare avanti il principio che "Se non vedono che abbiamo i denti, semplicemente continueranno a tornare" e gli è riuscito piuttosto bene visto che ha tirato giù tutti i router chiave del paese causando il blocco totale di internet.

Quindi occhio a far arrabbiare un hacker 😉

Via Quintarelli e Wired

Tesla Model 3 (auto elettrica su wikipedia)

Paolo Mariano su vaielettrico propone un idea: una piccola auto elettrica come la Dacia Spring con una batteria ancora più piccola: da 10 kWh (autonomia da un centinaio di km).
Un auto piccola come la Dacia Spring che avesse una batteria mini potrebbe essere sia un ottima seconda auto per quasi tutte le esigenze che una prima auto per alcuni.
Più in generale sarei favorevole a mini batterie anche su auto più grandi ma solo se non eliminassero i tagli maggiori. Fatto interessante: costerebbe parecchio meno.
Ultima considerazione è che, come idea, sarebbe ottima per favorire il primo passaggio all'elettrico per molti: sia come seconda auto inseme ad una termica che già si possiede e in futuro verrà sostituita da una EV con batterie allo stato solido, sia come prima auto per chi fa pochi km ma che poi dovrebbe organizzarsi con un noleggio o altro per i pochi viaggi lunghi.
Questa provocazione viene osteggiata da di chi non rientra nella maggioranza (che quindi immagino che percorra parecchi km): non si sta dicendo che per tutti dovrebbe essere così ma che per molti è così. Statistiche alla mano. Ovviamente se si eliminassero le batterie grandi allora sarebbe un altro discorso ma io sarei favorevole ad aggiungere alla gamma dei modelli uno con taglio molto piccolo.

Token RSA

L'autenticazione a più fattori (Multi Factor Authentication: MFA) o, nel caso più semplice a due fattori (2FA) è un sistema più sicuro per loggarsi, ad esempio, sulla propria casella email. Si basa sul concetto di dover usare due (o più) sistemi diversi di autenticazione: una cosa che sai (la classica password) e una cosa che hai (una sim telefonica sulla quale ricevi un sms, un telefono con un app che ti fornisce una chiave usa e getta, un "cosino" con numeri che ogni tot secondi cambiano, o addirittura una cosa che sei come impronta digitale o dell'iride).

Qualche giorno fa mi è arrivata l'email di Google che mi invitava ad attivare MFA su un mio storico indirizzo gmail che praticamente non uso più avvisandomi che entro il 14 dicembre sarebbe diventata obbligatoria. Ottimo reminder che mi è stato utile per attivare subito questo importante meccanismo di sicurezza.

Se avete dei dubbi riguardo alle difficoltà che potreste incontrare non posso dirvi che non ce ne saranno ma sicuramente posso affermare che Google si è impegnata molto per ridurle al minimo. Vi faccio un paio di esempi: se avete un app di posta che supporta MFA sarà sufficiente attivarla e mettere il "secondo fattore" (esempio un codice) la prima volta e poi, per sempre, quell'app funzionerà come prima, senza chiedere password o altro. Secondo esempio un app che non supporta MFA: in questo caso Google vi fornisce una password generata automaticamente da inserire nell'app (che la salva) e, da quel momento, continuerà a funzionare come prima senza chiedere password o altro e, questa password, sarà valida solo per quell'app.

Spero di avervi convito ad attivare MFA quantomeno sugli accessi più importanti come email, siti di e-commerce che salvano i dati della vostra carta di credito o altro che riguarda soldi o dati critici.

In UK, ci segnala Bruce Schneier, c'è una proposta di legge per bannare le password di default sui dispositivi IoT.

Si tratta di un interessante passo avanti per migliorare la sicurezza di oggetti connessi ad internet: non necessariamente si tratta di una buona soluzione ma è meglio di niente.

L'ideale sarebbe un sistema per invogliare ad avere password sicure e uniche. Fino ad ora, la soluzione che più mi è piaciuta, che va in questa direzione è quella che ho visto su un router: una password preimpostata composta da un paio di parole e qualche numero. Viene scritta sull'etichetta del router, il fabbricante non la conosce perché è generata a caso in automatico ed è abbastanza facile da ricordare.

In questo campo le soluzioni devo necessariamente essere un compromesso tra facilità d'uso e sicurezza: se sono estremamente sicure quasi sicuramente sono troppo difficili da usare e si rischia che l'utente medio si stufi e cambi la password con 12345. Se sono troppo facili da usare sicuramente la sicurezza è troppo bassa e prima o poi qualcuno entra abusivamente nel tuo dispositivo.