Archivi categoria: Software

It just work?

Ma ne siamo proprio sicuri?

 

image

 

‘Njoy!

Sarà ancora colpa di Turing?

Punto Informatico riporta una notizia simpaticissima, ossia un “attacco” un po’ farlocco alla firma digitale…

Pagina 2, “Il bug? E’ di Windows”:

L’attacco si basa sulla creazione di un file ad hoc che contiene sia un documento html sia una bitmap: i due file sono “accodati”, in un unico file. La bitmap è inserita nel commento di un file HTML, quindi non viene visualizzata se l’estensione del file è HTML, come è previsto per i tutti commenti. Al contrario se l’estensione è BMP, viene visualizzata solo la bitmap all’inizio del file e non il testo html contenuto in fondo al file.

Una veloce verifica di Punto Informatico ha appurato che il visualizzatore standard di altri OS, mostra i documenti in base al contenuto e questo fa sì che usando il file truffaldino su Linux venga mostrato sempre lo stesso contenuto, cioè la parte BMP, indipendentemente dall’estensione del file, rendendo inefficace la truffa.

Bene, ovviamente questo ha provocato una serie di commenti a raffica contro il male personificato, cioè windows. Naturalmente, giusto per decidere se per una volta PI ci aveva imbroccato, ho fatto anche io l’esperimento. Io non dico nulla, lascio che siano le immagini a parlare. Partiamo dal file rinominato come BMP:

Poi vediamo con il file html e Firefox cosa succede (ricordiamo che con FF “il contenuto viene visualizzato correttamente”):

E vediamo come si comporta FF aprendo il file rinominato come bmp:

A me le cifre sembrano diverse.

Ma, direte voi, hai usato la beta, FF di su, e questo di giù… Ok, facciamo la prova anche con Konqueror:

Update: nei commenti mi si dice che l’articolo dice che il “bug” funziona solo con ff. Vediamo come tratta konqueror il BMP:

Io mi chiedo solo con che coraggio vengono fatte certe affermazioni.
Ma si sa… la colpa è sempre di Turing.

-Miauz!

Tag Technorati: , , , ,

Retro Gaming / The Lost Vikings

Sono tre. Sono vichinghi. Sono stati rapiti dal grande Tomator. Sono incazzati neri. E sono divertentissimi.

Signori, The Lost Vikings.

Probabilmente il miglior gioco della Interplay dei primi anni ’90, The Lost Vikings prende le mosse da una situazione quasi idilliaca: l’introduzione, che vale la pena guardarsi, e realizzata interamente col motore e le meccaniche proprie del gioco stesso, narra di Eric the swift, Baleog the fierce, e Olaf the stout, tre vichinghi con le palle cubiche, che vivono la loro vita in un tranquillo villaggio. Una notte, però, mentre riposano tranquilli nelle loro case, vengono rapiti da un’astronave aliena, e fatti prigionieri da Tomator, un alieno grosso, verde. brutto e cattivo.

Veramente brutto.

Com’è e come non è, i tre baldi eroi si ritrovano catapultati dentro l’astronave. Il primo livello cominciano separati, poi gli altri livelli partiranno insieme. Scopo del gioco è di farsi tutti e 42 (QUARANTADUE!) i livelli per arrivare a sconfiggere Tomator in uno scontro diretto, e poter tornare finalmente a casa (ovviamente distruggendo l’astronave, in un finale spassosissimo). Ma mentre all’inizio del gioco i nostri eroi si troveranno nell’astronave, andando avanti, attraverso una serie di buchi neri, o qualcosa del genere, verranno catapultati in ambientazioni varie e assolutamente sbroccate, come ad esempio la sezione dei livelli canditi:

Oppure i livelli in una ambientazione abbastanza balorda dove i tre si possono gonfiare come palloni attraverso le apposite pompe e devono sfruttare con tmepismo le correnti d’aria create dai ventilatori sparsi…

E via di seguito, con egizi, cantieri di costruzione, mondi preistorici, giungle e quant’altro.

I primi livelli sono abbastanza semplici, ma rapidamente crescono in complessità e dimensioni, fino a far chiedere allo sventurato giocatore quale droga abbia assunto il progettista dei livelli. In molti livelli, inoltre, non basta arrivare all’uscita, ma bisogna attivare qualcosa, oltre a recuperare le perenni chiavi. I tre berbuti inoltre hanno un paio di assi nella manica: Eric corre molto veloce ed è l’unico in grado di saltare, e con una breve rincorsa può caricare a testa bassa tiranto una cornata contro avversari e muri. Baleog ha la spada, ma anche l’arco (che può essere potenziato con le frecce infuocate, l’unico vero power up del gioco e spesso necessario per colpire punti particolare o mostri resistenti alle frecce normali), e spesso e volentieri si preferisce usare l’arco. Olaf, dal canto suo, oltre ad essere sempre affamato, ha uno scudo che para letteralmente di tutto, e che può mettersi sopra la testa per fornire un punto più elevato da cui Eric può saltare, o sul quale si può atterrare senza farsi male (ebbene si, l’altezza in pixel di Olaf può fare la differenza fra una tacca di energia in più o in meno) e che il grassone può usare per planare se si lancia da una certa altezza. Bene, fin qui nulla di strano. La cosa che rende veramente mitico e superbo questo igoco, è che i tre vichinghi vanno usati in collaborazione fra loro, passando dall’uno all’altro in modo da farli interagire fra loro e con l’ambiente circostante. Ci sono alcuni livelli in cui il tempismo è assolutamente fondamentale, e che metteranno a dura prova la vostra coordinazione e la capacità di valutare i tempi. Naturalmente questo gioco su PC va giocato usanfdo rigorosamente la tastiera, affinando così la vostra capacità di pianisti. Fra le altre cose, segnaliamo la possibilità di passare gli oggetti fra un barbone e l’altro, nonchè la presenza di generi alimentari che servono per ripristinare un pallino di energia (ogni vichingo parte con 3 pallini di energia, a ogni colpo o schianto ne perdono uno, inoltre in alcuni punti è possibile recuperare un affare che se il personaggio è già al massimo aumenta i pallini a 4 – ma se si perde il 4° pallino non si può recuperare se non con il medesimo coso). I livelli sono intricati e sconsiderati il giusto… Ma ovviamente una persona sana di mente non si metterebbe mai a finire un gioco del genere in una giornata, no (io ce ne ho messe due la seconda volta che l’ho finito perchè volevo segnarmi tutti i codici e perchè ero piccolo e mia mamma mi staccava a forza dal pc…)? Infatti all’inizio di ogni livello viene dato un codice per il livello di 4 caratteri che possono essere lettere o numeri, e che in verità erano abbastanza mnemonici. Ricordo ancora alcuni codici a memoria, nonostante gli anni passati: il livello iniziale è STRT, come STaRT, mentre ricordo benissimo il codice del livello da me chiamato “CoBaLTo”… E così, vi basta segnari il codice… Oppure attingere ad una delle tante fonti in rete, come ad esempio Cheat Codes Guides.

Spassosissimi i dialoghi, che vi consiglio di leggere tutti, sia iniziali che finali, sono delle vere chicche, e le animazioni che sono qualcosa di meraviglioso. Poi, arriva il momento in cui non si riesce a portare tutti i giocatori alla fine del livello, di solito perchè crepano…

GameOver

In questo caso poco male… Basterà premere la barra spaziatrice o invio, e si ricomincia il livello… Oppure si attende la fatidica scritta Game Over.

Nel complesso un gioco che chiunque dovrebbe giocare, perchè è intricato ma non impossibile, strategico senza richiedere generali di guerra, divertente senza diventare ripetitivo… e insomma, è un gran bel gioco…

Girellando per la rete, su wikipedia ho trovato anche un cameo non da poco, e che mi fa un po’ sorridere…

Ecco… questi sono Erci, Baleog e Olaf come appaiono in… World of Warcraft. Si, proprio il MMORPG per eccellenza. E pensare che la maggior parte di quelli che li vedono non li riconosceranno nemmeno a piangere…

Va beh, bando alla tristezza, e pronti i link:

Link #1: The Lost Vikings, il gioco.

Link #2: Il solito DosBox

Link #3: L’intro…

… e la fine…

‘Njoy!

-Miauz!

Hackyright…

Feliciano Intini segnala una chicca che ha del meraviglioso: un mmalware con una EULA… Ossia, io ti infetto il pc e tu devi pure accettare il contratto… Divertente. La cosa ancora più divertente, è che in realtà non è un contratto ocn l’utente finale, ma con chi ottiene questo malware attraverso i soliti canali underground… Naturalmente chi ha creato questo programmillo è interessato a mantenere la proprietà dell’opera, per cui inserisce tutta una serie di restrizioni. Ma…. e se l’utente non accetta? Voglio dire, stiamo parlando di gente che non si è mai fatta problemi a reversare codice chiuso, è pacifico aspettarsi che leggere una tale licenza, per di più collegata ad un software maligno, abbia lo stesso effetto, su chi lo vuole reversare o modificare, che si ha cercando di fermare un treno sparandogli contro con una pistola a pallini. La cosa bella è che lo vendono sul serio. Bene, come hanno fatto sti geni? Riporto direttamente dal post su Symantec il passo che fa veramente sbellicare dalle risate:

In cases of violations of the agreement and being detected, the client loses any technical support. Moreover, the binary code of your bot will be immediately sent to antivirus companies.

Vi prego di apprezzare la sottile ironia della questione…

‘njoy!

PS: mi chiedo chi di quelli che lo hanno preso e redistribuito fregandosene della licenza, si divertirà a limitarsi a cambiare nomeal bot e mandarlo in rete… o qualcosa del genere… sarebbe bellissimo vedere la faccia di sti tizi che segnalano il loro stesso malware alle case antivirus… Anche se basterebbe, semplicemente, prenderlo e segnalarlo direttamente…

– Miauz!

L’insostenibile leggerezza dell’open source

So già che questo provocherà una certa quantità di vaccate scritte nei vari commenti, ma tant’è… Certi personaggi sono disposti a cancellare le pagine che fanno scandalo, io no. Parlerò anche di questo, ma non oggi.

Oggi voglio fare una capatina nel mondo del magico Open Source. Quello della “sicurezza perchè tutti posssono guardare il codice” e del “rilascio delle patch di sicurezza rapido perchè ci lavora un sacco di gente”.

Basta una ricerca su internet per vedere che questo è un po’ il leit motiv di un sacco di pagine. Ok, ora prendiamo uno dei progetti più famosi in ambito open source, e cioè il Panda Rosso (si, Firefox è una specie di panda minore dal pelo rosso, anche piuttosto rara).

Orbene, ieri è stata rilasciata la versione 2.0.0.12 che corregge 12 bug di sicurezza, cosa anche piacevole. Sorprendentemente, però, manca la correzione di un piccolissimo bug, noto da tempo che del quale potete trovare una pagina demo su heise-security: attivate i javascript, seguite leistruzioni e godetevela.

O forse ripensandoci non è molto strano, visto che heise securitiy ha reso noto il bug il 22 Novembre 2006, la bellezza di 15 mesi fa.
Sono stupito sinceramente che un bug del genere non sia ancora stato corretto.

Secondo le dichiarazioni presenti a questa pagina, Mozilla Foundation ha dichiarato:

Mozilla developer Gavin Sharp confirmed that the developers are aware of that problem. Indeed, there were controversial discussions of the issue in the bug database, but further measures were discarded. Automatically entering passwords in other pages increases the user-friendliness on sites with several login pages. And even if this functionality is removed, this does not mean that passwords cannot be stolen.

Ossia: chissenefrega, tanto le password possono essere rubate lo stesso, se un attaccante modifica la pagina del server.

Certo, però ricordiamo che smepre secondo la ricerca di heise, il bug in questione fornisce le pwd memorizzate di qualsiasi pagina che abbia un form simile a quello nel quale vengono memorizzate le password dal manager.

Uno dice: eh, ma c’è noscript e una tonnellata di estensioni. Si, ma l’utente medio, di default, quella roba non la installa.

Ritengo che in questo caso si sarebbe dovuto fare qualcosa di più. Il bug esiste ed è grave. E la maggior parte degli attacchi di phishing si basano proprio su form simili a quelli di siti affidabili. Facilitare così la vita di un phisher, mi pare una mossa un tantino azzardata… Faster, Safer, Better? Chissà.

-Miauz!

Retro Gaming / Xenon 2: Megablast

Un piccolo omaggio ai videogiochi che hanno fatto la storia, mia e probabilmente di milioni di altri utenti. Ovviamente sarà una rubrica a sfondo nostalgico sentimentale, con una regolarità pressocchè nulla. Per cui “ciancio alle bande” e andiamo.

Gli ospiti di oggi sono i mitici Bitmap Brothers, probabilmente i più famosi programmatori di quei tempi (fra i loro titoli spiccano Gods, Z, e una marea di altri uno più bello dell’altro). Uno dei titoli di maggior rilievo dei BB fu appunto Xenon 2, seguito del predecessore Xenon. Perchè sono videogiochi storici? Beh, la prima cosa importante di Xenon (e ovviamente anche del suo sequel) fu l’introduzione di una cosa così banale che solo degli autentici geni potevano pensarci: Xenon fu il primo videogame a introdurre il concetto di barra di energia. Una cosa che ormai è nel DNA dei gamers, ma quando Xenon comparve sul mercato fu letteralmente una cosa rivoluzionaria. Cosa aveva in più Xenon 2, oltre ad una grafica presumibilmente migliore (e, diciamocela tutta, ancora oggi estremamente godibile)? Semplice: Xenon era uno dei classici sparatutto a scorrimento verticale. Xenon 2 era identico, ma lo schermo si poteva scorrere, mandando la navetta contro il bordo inferiore, all’indietro! Si, proprio all’indietro. Non fino a tornare all’inizio del livello, ma di certo abbastanza per poter colpire punti chiave dei livelli. O per spostarsi intorno al boss finale.

Ma, un videogioco non è tale se non si conosce la trama. Beh, i BB, i ragazzi più fuori di testa del panorma degli anni ’90, hanno pensato bene di non stressare il povero utente con trame, sottotrame, storie struggenti e baggianate varie. Hanno deciso semplicemente di non avere trama. Non dovete salvare il mondo dalla guerra atomica, non dovete distruggere i mostraggi per raggiungere il l’arma che potrà darvi la vittoria, non siete l’ultimo essere della vostra specie, niente. avete una navetta, avete le armi, e il vostro scopo è semplicemente radere al suolo quelle bestiacce. Puro, semplice, lineare.

Il gioco si dipana su 5 livelli, e a metà, circa di ogni livello e poi di nuovo alla fine, tutte le scorie lasciate dalle schifose bestiacce spaziali possono essere agevolmente spese presso il negozio del mercante, la figura più carismatica del gioco (nonchè l’unica :))


E’ o non è un simpaticone? I power up vanno da vite aggiuntive, a energia, a potenziamenti dell’arma, protesi che permettono di sparare anche in altre direzioni oltre che verso l’alto, fino al miticissimo power up totale globale: tutte le armi aggiuntive a disposizione, per 10 secondi 10. Praticamente inutile, ma dà una soddisfazione immensa.

La curva di apprendimento non è difficile. Il difficile è arrivare in fondo: Xenon 2 fu considerato uno dei giochi più difficili degli anni ’90.

Per finire questo post, non mi resta che darvi due link:

Link #1: Xenon 2: Megablast download

Link #2: DOSBox, una applicazioncina assolutamente indispensabile e assolutamente ottima per far girare i giochi che giravano sotto dos, su qualsiasi os (Mac, tutti i Windows, Linux, BeOS, FreeBSD, RISC OS, OS/2…)

Link #3: Ne approfitto per un upgrade… Prima il video divertente, un paio di minuti da guardarsi, se non altro per la parte finale in cui l’autore del video dice quante volte è morto per finire questo gioco…

… e dopo TUTTI i livelli di Xenon 2, in 10 minuti. Per ammissione dell’autore, c’è il cheat per l’immortalità e il video è accelerato, ma il consiglio è sempre di non usare cheat… 🙂

…Dio, come mi è venuta voglia di giocare…

‘njoy!

-Miauz!

V Convegno Net&System Security

image

27 Novembre 2007, Palazzo dei Congressi di Pisa

@SystemGroup, progetto di collaborazione tra @System e BitFlow, organizza il 5° Convegno Net&System Security 2007, analisi e vulnerabilità dei sistemi informatici.
L’evento nasce con il preciso scopo di creare un momento d’incontro tra le aree che caratterizzano il mondo dell’Informatica (Ricerca, Università, Studenti, Mondo del Lavoro, Tecnici) in cui sia possibile specialmente il confronto sulla sicurezza informatica, approfondendo le tematiche attuali, ed esaminando le ultime tecnologie. Anche quest’anno abbiamo coinvolto importanti partners nella realizzazione dell’evento. Tema specifico di questo convegno sono le nuove frontiere dell’ “IT-Security”. I lavori occuperanno l’intera giornata durante la quale saranno approfonditi in modo particolare quegli aspetti che, nell’ultimo anno, si sono maggiormente imposti all’attenzione degli addetti ai lavori.
Aree tematiche:

  • NetworkSecurity

  • HoneyNet

  • Voip Security

  • Asterisk Security

  • Mobile Security

  • System Programming & OS Security

  • Virtualization

Anche quest’anno avrà luogo il Call For Paper aperto al mondo universitario, mondo della ricerca, aziende e specialisti del settore. Maggiori informazioni sono disponibili sulle pagine dedicate al concorso.

 

——————————————–

 

Dunque, il programma del convegno è disponibile nell’apposita pagina con il programma 😀

Forse è un po’ tardi per avvisare, ma avvisate lo stesso… 😉

Technorati tags: , , , , , , ,
, , , ,
, , , , , , , ,

 

Ere glaciali e scrivanie sicure.

Prendo spunto da un paio di post del sempre mitico Paperino: il primo riguarda la funzione hybernate: dunque, io ho provato ad usare quel simpatico tastino che manda il pc in uno stato ibrido ieri sera per la prima volta (giuro :)). Bene, il risultato è che in 5 o 6 secondi si è messo nello stato apposito. Sono veramente impressionato: la mia macchina non è esattamente una low-end, eppure ha fatto tutto molto in fretta. Seguirà updat eper raccontarvi come è andato il “riaccendimento”.

Il secondo post riguarda il famoso/famigerato UAC: disattivarlo? Disattivare il secure desktop? Io sono d’accordo con Paperino: a regime, UAC non si presenta così spesso. Il secure desktop è una barriera che sinceramente non mi sento di disabilitare, e se gli utenti imparano a non disabilitare UAC, finalmente si avranno software che non richiedono inutilmente i privilegi di amministratore. Per questi motivi, io ho lasciato l’UAC come da impostazioni. Pazienza se qualche applicativo mi freeza il pc per qualche secondo: preferisco questo che aumentare le possibilità che un malintenzionato acceda alla mia macchina.

Discorso sui pessimi sistemi

Rifaccio il verso al “Dialogo sui massimi sistemi” scritto da una mente ben superiore alla mia, sperando che Galileo non si rivolti nella tomba, per tornare un’altra volta a sfatare le false informazioni messe in giro sulla rete. Vi invito a leggere brevemente il post di Kijo, e se ne avete voglia, anche l’editoriale “di getto” su Puntodivista. Passiamo ora alla risposta ai vari punti (si, sempre i soliti) citati in questo “sorprendente” articolo:

Alla luce delle mie esperienze faccio un elenco delle caratteristiche che un pessimo sistema operativo deve avere per essere considerato tale:

Bene… considerando che il tipo espone in cima al post il logo “Badvista”, mi chiedo seriamente a quale occulto OS faccia riferimento…

richiedere una enormita’ di risorse per funzionare, anche per fare svolgere semplici operazioni, obbligando a cambiare hardware (in poche parole non ottimizza le prestazioni dell’hardware esistente ma obbliga al consumismo);

L’enormità di risorse si riferisce per caso al mio modesto Athlon 1.3 GHz con 512 mega di ram e scheda video da 128 MB? Non mi pare esattamente un sistema high-end, e Ultimate mi ci gira benissimo. Inoltre, parliamo di Ubuntu: mi pare che richieda risorse ben superiori che un 8086.

essere definito “innovativo” ma si porta dietro gli stessi problemi del suo precedessore (dagli errori con tanto ti schermate bloccanti a tutto il malware possibile immaginabile anche del precedente s.o.);

Classica affermazione di chi non ha provato Vista per più di 10 minuti: per esperienza personale, mai avuto un BSOD con Vista, e ad oggi, dei pochi virus che mi sono entrati, nessuno ha mai fatto danno. Malware non ne vedo da secoli. Parliamo di Ubuntu: ha la stessa architettura di 30 anni fa. Perchè ha un kernel vecchio di 30 anni. E si porta dietro da 30 anni gli stessi problemi di dipendenze, giusto per citarne uno.

deve costare un sacco di soldi offrendo pero’ prestazioni pari od addirittura in alcuni casi inferiori al precedente per analoghe applicazioni;

Bello. Parliamo di Ubuntu. E prendiamo una Slackware 9.0. La seconda è decisamente più minimale, e sfrutta molte meno risosrse, con la conseguenza che le applicazioni hanno una rapidità di avvio molto maggiore rispetto a Ubuntu 6.x. Questione costo: eh, va beh. Ma almeno funziona. Subito. Riprendo una frase dell’editoriale di Punto Di Vista: “non giustifica i problemi il fatto di essere gratis. NO. Il pc è una macchina e come tale DEVE funzionare BENE, a LuNGO e senza troppe menate”.

alcuni programmi che giravano prima non girano più;

Molto pochi, in verità. E sempre meno. Fra l’altro è una naturale conseguenza del cambio di architettura. Prendiamo Ubuntu: versioni aggiornate dei software non girano su vecchie versioni di Ubuntu per via delle librerie, che non sono aggiornate. Senza parlare dei conflitti: il programma X vuole la versione Z della libreria pippo, il programma Y vuole la versione W. Prima che lo chiediate: no, la versione più rrecente non è compatibile con le precedenti. E se le metti tutte e due, si incazza. Alla faccia della retrocompatibilità.

le vecchie periferiche non devono essere supportate;

Personalmente tutte le mie periferiche sono supportate. E non sono esattamente le ultime uscite. Parliamo di Ubuntu: mi pare che sia abbastanza triste il non riuscire fargli riconoscere una periferica come la scheda di rete wireless anche se la vede, al punto che non mi riconosce una rete. Successo personalmente.

non deve contenere i programmi minimi per l’ufficio e l’organizzazione personale e di lavoro standard (soprattutto un buon elaboratore testi completo, con tanto di possibilita’ di impaginazione completa ed interlinea personalizzabile, un foglio elettronico con le funzioni matematiche su tre livelli, vicino alla completezza: statistico, finanziario, trigonometrico);

Mio dio. Qui faccio un breve commento: ricordo che la MS è stata accusata tempo fa di concorrenza sleale, perchè da’ installato di default IE. Tutti si sono lamentati. Ad oggi non esiste un OS uno destinato al pubblico che non abbia un browser internet di installato di default. Puta caso che la MS avesse deciso di distribuire gratis insieme a vista una suite da ufficio. Risultato? Ora tutti si starebbero lamentando che cerca di far fuori la concorrenza di OpenOffice. Qualcuno mi spiega quale dovrebbe essere la soluzione?

non deve avere la possibilita’ di essere installato stand-alone in maniera completa e funzionale, in fretta, e per un tempo illimitato da un supporto fisico come un dvd, perche’ si puo’ presentare il caso in cui c’e’ bisogno di “metterlo” su una macchina in fretta e furia e non preoccuparsi di attivazione di licenze e altre menate che fanno perdere tempo;

Se c’è bisogno di metterlo su una macchina in fretta e furia, basta installarlo senza dare numeri di licenza e menate varie, dato che si può provare gratuitamente per 120 giorni a funzionalità piena. Mi pare un tempo sufficientemente lungo per sistemare i problemi.

Parliamo di Ubuntu: si installa in fretta e furia, ok, salvo poi il rischio di non vedersi riconosciute alcune periferiche.

deve limitare le proprie funzionalita’ per costringere a passare ad un simile prodotto ma di costo superiore. Così obbligherebbe il consumatore a fare mille conti in tasca e poi, per risparmiare, comprare una via di mezzo, per scoprire che non ci sono le funzionalita’ pubblicizzate a gran voce;

Mai sentito parlare di versioni OEM? Non costano così tanto. Fra l’altro, ricordo che aziende come SuSe e RedHat si fanno pagare, e non poco, il supporto dei loro prodotti. Naturalmente riguardo a linux, il problema costo non si pone, ma che ci volete fare, sono strategie di marketing diverse.

deve avere un’interfaccia simile a quelli di altri sistemi operativi concorrenti con scarsa originalità, magari quest’ultima pubblicizzata come “innovativa” e “spettacolare”.

Ah, si… vi ho già parlato della macchina del tempo? Parliamo di Ubuntu: a me risulta che linux si basi sulla copia sputata quasi pari pari del kernel di Unix. E mi risulta anche che molte delle nuove funzionalità di ogni versione siano riprese da altre già esistenti. Poi magari sbaglio, eh.

Arrivati a questo punto… Siamo proprio sicuri che Vista sia così malvagio? Leggete l’editoriale di Punto di Vista, propone una interessantissima riflessione sul tema.

-Miauz!

De Vermi Mysteriis: la minaccia del baco fantasma

Citazione Lovecraftiana per un argomento che ha del surreale e del grottesco anzichenò. Leggevo un paio di giorni fa, sul blog di Feliciano Intini, la notizia dell’“attacco al kernel” tramite un tool chiamato Atsiv. Orbene, di che si tratta? Semplice, questo tool permette di zompare senza problemi la certificazione dei driver su Vista 64 bit. Come lo fa? Beh, semplice, inizia installando dei driver firmati… Ehi, ferma i lavori! Driver firmati? Ma chi può installare driver? Solo l’amministratore. Bene. Ora, che me ne faccio del resto di questo cosddetto “attacco”? Esatto, una cippa di niente. Perchè? Perchè se ho installato i drive ho già i permessi di amministratore, e quindi sulla macchina posso fare quel che mi pare. La sicurezza è già compromessa. Bene, ora allarghiamoci un attimo: molto spesso escono questi cosiddetti buchi di sicurezza (tipicamente per Windows, ma si trovano esempi anche per Linux, BSD, MacOS, e qualsiasi altro OS esistente) la cui frase iniziale, nella descrizione dice, a grandi linee:

Loggandosi come amministratore…

Ora, mi pare chiaro che se qualcuno ha un accesso da administrator alla tua macchina, quella macchina non è più la tua macchina. I buchi di sicurezza di solito implicano una privilege excalation nel sistema. Ovvero sfruttano un difetto che permette di eseguire comandi o codice arbitrario, partendo da utente normale e acquistando tramite detto difetto i privilegi di amministratore. Questo è un buco di sicurezza. Ma quando il “buco” richiede che si parta da amministratori per sfruttarlo, allora il problema di sicurezza non è del sistema operativo (qualunque esso sia), ma di chi sta seduto davanti alla tastiera: se tu amministratore sei così fesso da non stare attento a ciò che installi o ricevi mentre sei loggato come admin, il problema di sicurezza non dipende certo dal software, ma dalla persona.

Scrivo questo post per due motivi: il primo è che qualcosa ogni tanto devo pure scrivere :P, il secondo è che m i sto stancando di leggere che il sistema operativo X ha un buco di sicurezza perchè si può sfruttare un problema se sei amministratore: se sono amministratore su quella macchina, ci faccio esattamente quello che voglio. Non ho bisogno di sfruttare chissà quali bachi.

-Miauz! 🙂