Vai al contenuto

L'ente spaziale europeo ESA ha annunciato che lancerà un satellite che sarà completamente riprogrammabile da terra. Giustamente ci fa notare Bruce Schneier che questo significa hackerabile.

Anche dando per scontato strong encryption e un buon sistema di gestione delle chiavi resta comunque un bersaglio interessante.

Un ricercatore, Josep Rodriguez, ha scoperto alcune vulnerabilità nel protocollo NFC implementato sia nei POS dei negozi che negli ATM (gli sportelli bancomat per intenderci).

Sommando anche altri bug è stato in grado, per un particolare tipo di ATM, di ottenere soldi (jackpotting ATM). Fortunatamente si tratta di una persona responsabile quindi non ha divulgato i dettagli in attesa che gli interessati tappino le falle

Ricordate: aggiornate sempre tutto quello che è aggiornabile. In particolar modo questo suggerimento è valido per le banche che gestiscono gli ATM e le "macchinette" per i pagamenti POS dei negozi.

(Via Bruce Schneier)

Generalmente quando si aggiorna una Linux ci si aspetta un upgrade e non un downgrade come mi è capitato su delle Debian Buster 10.9 (ma discorso analogo anche su delle Ubuntu LTS).

La causa è di una versione di PHP più aggiornata di quella standard della distribuzione che richiede un downgrade di alcuni pacchetti: niente di grave. Lasciategli fare il downgrade e, al amassimo, controllate che fili tutto liscio.

Se invece non avete installato un PHP più aggiornato allora non vi capiterà di vedervi apparire un downgrade.

La banca d'Inghilterra rende omaggio ad Alan Touring dedicandogli la nuova banconota da 50 sterline.

Alan Touring è stato un matematico e crittografo e, con il su lavoro a Bletchley Park durante la seconda guerra mondiale, ha contribuito a ridurne la durata. Come "premio" per tutto quello che ha fatto è stato perseguitato per la sua omosessualità fino a portarlo al suicidio. Ci sono voluti diversi anni prima che L'UK rilasciasse ufficialmente delle scuse (purtroppo, ovviamente, postume).

Molto più significativo delle scuse, doverose, è questo tributo sulla banconota da 50 sterline.

Mi è piaciuto molto quello che il direttore del GCHQ Jeremy Fleming ha dichiarato: ha detto che questo tributo è importante non solo in considerazione del suo genio scientifico ma ne conferma lo status di una delle più iconiche figure LGBT+ del mondo.

Sono ormai alcune settimane che ho iniziato ad usare Syncthing (Open Source) per tenere sincronizzati file e cartelle tra i miei vari computer, server e smartphone e devo dire che come alternativa a Dropbox è veramente interessante.

Il compito che svolge è simile da Dropbox ma ci sono alcune differenze.

Syncthing non ha un server proprio dove custodisce una copia online dei dati come fa Dropbox quindi niente interfaccia web per la gestione dei propri file ma anche niente limiti di spazio. Si può tenere in sincronia tutti i file che si vuole e il limite è dato solo dallo spazio disco dei vostri dispositivi.

La gestione del versioning dei file è decisamente più articolata e flessibile ma come contro, ovviamente, utilizza il vostro spazio disco. Basta avere l'accortezza di attivare un versioning molto esteso solo su un computer con molto spazio storage per aggirare il problema: per esempio su uno smartphone solitamente non è il caso di sprecare spazio.

Il client Android ha il vantaggio di salvare una copia locale così da avere i dati disponibili anche offline ma, di contro, non è possibile selezionare una scheda sd come destinazione

Ci sarebbero svariate altre caratteristiche e informazioni interessanti ma mi sono limitato a citare i principali pro e contro di Syncthing rispetto a Dropbox.

Leggo da Bruce Schneier di un talk di Maggie Stone (Google’s Project Zero) sulle vulnerabilità zero day che sono parenti stretti di precedenti vulnerabilità molto simili.

I cattivi dopo aver visto che un loro attacco viene neutralizzato da una patch riescono in breve a scoprire una nuova falla contigua alla precedente e la sfruttano subito. Secondo la Stone questo accade perché le risorse impiegate per risolvere i problemi di sicurezza sono troppo scarse e quindi si limitano a tappare la specifica falla.

In questo modo è facile trovare un buco contiguo al precedente che la patch non copre.

Questa modalità di operare, rincorrendo e riparando i singoli casi, non funziona. Bisognerebbe aggredire la causa principale che porta ad avere tutto quel gruppo di singoli specifici problemi. Si tratta di un investimento iniziale maggiore ma poi non si sarebbe costretti ad inseguire tutti i successivi zero day.

Certo, poi non è che sparirebbero i problemi, ma almeno i cattivi dovrebbero impegnarsi per scoprire una nuova classe di vulnerabilità e i buoni una nuova soluzione per correggere il problema: insomma, la solita caccia del gatto al topo ma sicuramente la sicurezza complessivamente ne gioverebbe.

Image credit Blue Solution Blog

Quello che vedete sopra è il grafico del monitoraggio della temperatura della scheda madre di un pc portatile (adibito a "server" casalingo) prima, durante e dopo l'upgrade dalla versione Stretch di Debian alla versione Buster.

Si tratta di circa 5 gradi in meno e, per un vecchio portatile (che era rimasto spento alcuni anni), avere una motherboard più fresca è un ottimo sistema per farlo durare ancora alcuni anni.

Ricordatevi di tenere aggiornate le vostre macchine GNU/Linux based: tra i vari vantaggi potreste anche aggiungere, come è capitato a me, una migliorata efficienza energetica.

Dopo 50 anni il messaggio "cifrato 340" (chiamato così perché è lungo 340 caratteri) è stato decifrato.

In un intervista ad uno dei ricercatori scopriamo che in realtà il killer dello zodiaco aveva commesso un errore durate la cifratura e, questo errore, ha reso così difficile la decifrazione che ci sono voluti 50 anni.

Una parte del meccanismo di cifratura prevedeva di scrivere una lettera, scendere di una riga e spostarsi di due colonne, scrivere la lettera successiva. Ad un certo punto della cifratura ha commesso un errore: invece di andare avanti di due colonne si è spostato solo di una.

Lo scopo di questo meccanismo di cifratura differente rispetto a quello del precedente messaggio era di renderlo più difficile. Il ricercatore spiega che secondo lui l'errore è stato involontario, se se ne sia accorto o meno comunque non l'ha corretto pensando che una complicazione in più avrebbe reso il lavoro di decifrazione più complesso (ma non immaginando quanto). Il motivo è che il messaggio conteneva informazioni che Zodiac voleva che si sapessero (non era lui che aveva chiamato in TV) e non avrebbe avuto senso rendere la cifratura così forte da volerci 50 anni per risolverla.

Via Bruce Schneier

Ubuntu 20.04 Focal Fossa

Per cambiare focus da un applicazione aperta ad un altra ho sempre usato Alt-Tab ma con l'upgrade da Ubuntu 18.04 LTS a 20.04 LTS questa scorciatoia da tastiera ha smesso di funzionare.

Al suo posto la nuova scorciatoia è Super-Tab ma questo comportamento è configurabile.

Basta aprire Impostazioni, Scorciatoie da tastiera e l'impostazione è "Evidenzia le applicazioni": cliccando sopra l'attuale scorciatoia è possibile cambiarla rimettendo il buon vecchio Alt-Tab

Esperimento di Cavendish via Wikipedia

La scienza è importante e vedere che c'è chi come Paolo Attivissimo fa di tutto per aiutarci a capirlo mette buon umore.

Se siete curiosi di leggere una bella storia sulla scienza che ha anche la morale di farci capire che è alla portata di tutti capire il suo metodo, apprezzarlo e rimanere meravigliati da quanto sia bello allora dovete leggere la storia dell'uomo che ha pesato il mondo.

Videocamera di sorveglianza via Pixabay

Sono in atto norme drastiche sugli spostamenti delle persone, praticamente in tutto il mondo, per contenere il contagio da Coronavirus COVID-19. A supporto di queste norme, che condivido, cresce la richiesta di sorveglianza straordinaria per farle meglio rispettare.

Anche su questo sono d'accordo perché la situazione è seria e bisogna adoperarsi per evitare che peggiori ulteriormente: la privacy può essere ridimensionata.

Come però fa notare il buon Bruce bisogna assicurarsi che queste restrizioni alla privacy vengano cancellate riportando tutto alla normalità una volta che la pandemia sarà finita. L'obbiettivo è, non solo di cancellare le eccezioni alle norme sulla privacy, ma di eliminare anche i dati raccolti in modo che non vengano usati successivamente per altri scopi sia da enti governativi che privati: a pandemia finita tutto dovrà essere cancellato.

Bruce Schneier non ci crede, io neppure: voi?

Se già usate fail2ban per proteggere l'accesso ssh e avete anche un web server Apache installato è una buona idea aggiungere alcuni protezioni che fail2ban è in grado di offrire per apache.

Ci sono già diversi moduli pronti che possono essere attivati con poco sforzo. Basta aggiungere un file .conf in /etc/fail2ban/jail.d con la parte di configurazione che modifica quella standard. Per esempio per aggiungere la protezione all'autenticazione di Apache il codice è

[apache-auth]

enabled = true
port = http,https
logpath = /var/log/apache2/error.log
maxretry = 3
findtime = 600

Ci sono anche altri moduli interessanti: apache-overflows apache-badbots php-url-fopen: qui trovate qualche dettaglio in più oppure direttamente sul wiki di fail2ban.

Disegno su un possibile scenario futuro

Un lungo ed interessante articolo su Vaielettrico tratta, tramite un intervista, un possibile scenario futuro ad ampio spettro sia sulla mobilità sostenibile (elettrica e idrogeno) che sul uso e riuso delle batterie delle auto e molto altro.

Questo secondo punto mi ha colpito per la semplicità della spiegazione. Migliorando il controllo sulla qualità delle celle delle batterie delle automobili si potrà arrivare ad identificare il momento giusto per smettere di usarle sull'auto (un applicazione molto usurante) prima che si degradino significativamente e iniziare la fase di riuso come accumulatori temporanei ad esempio per i pannelli fotovoltaici. Questo secondo uso è molto meno stressante per la batteria: se per un automobile era quasi a fine vita per questo utilizzo invece ha ancora parecchi anni di utilizzo. Cito la frase dell'intervistato (il professor Andrea Casalegno del dipartimento dell'Energia del Politecnico di Milano) che mi è piaciuta: perché rovinarla del tutto, se può funzionare egregiamente ancora a lungo con un servizio meno gravoso, conservando un suo valore economico?

Allungando al massimo il ciclo di vita prima del riciclo con recupero dei metalli rari si migliora notevolmente l'impatto ecologico.

Voi sareste pronti ad abbandonare Google come ha fatto il Quinta?

Io, francamente, non ancora anche se è da tempo che ci sto pensando.

Probabilmente potrei iniziare a sostituire qualcuno dei servizi che uso con delle alternative che Stefano Quintarelli segnala. Magari partendo da allwaysync.

Tesla Model 3 (auto elettrica su wikipedia)

Ho notato che per radio passano spesso pubblicità di automobili e questa non è una novità: spesso la radio è ascoltata mentre si guida l'auto ed è quindi un buon mezzo per trasmettere pubblicità proprio di automobili.

Quello che invece mi ha colpito è che non solo si tratta di pubblicità di automobili benzina o addirittura diesel (qualche raro accenno a gpl/metano) ma addirittura quando si tratta di auto ibride ho sentito citare come un pregio il fatto di non essere ricaricabili.

Con le normative europee sempre più restrittive tutte le case produttrici hanno almeno piani a breve per veicoli elettrici e quasi tutte hanno già in vendita veicoli elettrici. Non solo: in molte hanno già annunciato che smetteranno di produrre auto con motori tradizionali a combustione.

Come mai le pubblicità sono ancora monopolio totale di auto a combustione destinate a scomparire? Voglio pensare bene: sarà perché devono comunque smaltire il parco auto vecchio e perché le elettriche, oltre a non essere ancora alternative valide per tutti i tipi di usi e per tutti, permettono guadagni minori alle case automobilistiche?

Il procuratore generale William Barr ha tenuto un discorso sulla cifratura dove il punto più importante, secondo Bruce Schneier e anche secondo me, è che finalmente c'è l'ammissione che introdurre delle backdoor per garantire l'accesso alle forze dell'ordine diminuisce la sicurezza.

Barr rimane convinto che ne valga la pena ma non è questo il punto: fino ad ora era sempre stato detto che le backdoor di stato si sarebbero potute aggiungere senza diminuire la sicurezza.

Ora finalmente si può iniziare un dibattito politico serio. Aggiungere le backdoor permette alle forze dell'ordine di intercettare i cattivi ma, diminuendo il livello di sicurezza, permette anche ai cattivi di sorvegliare noi.

Quello che il procuratore Barr dice è che si tratta di "cybersecurity di consumo" e non "codici di lancio nucleari": è vero ma non dimentichiamo che le persone che usano questa famosa "cybersecurity di consumo" sono anche legislatori, amministratori delegati, le stesse forze dell'ordine per non parlare del personale addetto alle centrali nucleari o ai codici di lancio giusto per fare un esempio. Argomentare poi che queste persone posso essere dotate di strumenti di comunicazione sicuri (senza le backdoor) è un esercizio che si ritorce contro a chi lo propone visto che, a questo punto, anche i criminali possono usarle strumenti senza backdoor quindi torneremmo tutti al punto di partenza avendo solamente peggiorando la sicurezza generale.

C'è veramente da sperare che finalmente ora il dibattito possa spostarsi dal precedente "finta sicurezza" vs privacy al reale dibattito sicurezza vs sicurezza e, secondo Bruce Schneier la sicurezza complessiva è molto più importante dell'esigenza delle forze dell'ordine di intercettare e va difesa anche a costo di rinunciare all'accesso tramite backdoor delle forze dell'ordine. Questo, tra i vari motivi, perché tutti questi strumenti di comunicazione proteggono anche i codici di lancio delle armi nucleari citati dal procuratore Barr.

Image credit TorrentFreak

Per effettuare piccole modifiche manuali al file RRD dei grafici la via più breve è di esportare il file in xml, modificarlo e poi convertirlo nuovamente in rrd e sostituirlo a quello originale.

I tool indicati nei link sono quelli originali di RRDtool.

Questo tipo di operazione è utile, ad esempio, se nei dati che generano il grafico è stato registrato un picco (che magari non era neppure reale) che rovina l'aspetto del grafico sballando la scala: sostituendo a mano i valori del picco con numeri più consoni si risolve in maniera molto rapida.

Un interessante articolo di Bruce Schneier sull'eterna battaglia tra esperti di sicurezza informatica e politici: entrambi sono conviti di essere nel giusto e quello che Bruce Schneier propone è una nuova figura che racchiuda sia le competenze tecniche di un esperto di cybersecurity che la cognizione di causa sugli interessi pubblici di un politico.

Una figura rara ma non inesistente.

Image credit TorrentFreak

I prezzi che il broker di exploit Zerodium paga per gli zero-day sono in aumento: questo indica che mediamente è più difficile trovare bug gravi perché i prodotti sono scritti meglio che in passato e anche che la domanda di zero-day è in aumento.

Altra informazione interessante è che molte aziende hanno un programma di ricompense per i bug ma quello che pagano è drasticamente meno di quanto pagano i broker che poi, presumibilmente, li rivendono a chi li usa per scopi non leciti.

Via Bruce Schneier, Image credit Blue Solution Blog

Grafico dell'incidenza annuale di tumori al cervello

Uno studio australiano mostra che non ci sono evidenze di aumenti di tumore al cervello attribuibili all'uso del cellulare.

Le conclusioni sono chiare e specificano anche che il periodo di latenza è di 15 anni e non si esclude che possano esistere effetti che si manifestino dopo 15 anni quindi l'osservazione continua.

Via Quintarelli