Archivio

Archivio per la categoria ‘microsoft’

Scoperta grave vulnerabilità su Windows presente da 20 anni

22 giugno 2016

board-780316_1280È stata scoperta solo pochi giorni fa una che affligge tutti i sistemi operativi denominata #BadTunnel. A fare questa sensazionale scoperta è stato un ricercatore di sicurezza cinese di nome Yang Yu, direttore del Xuanwu Lab of Tencent a Beijing, che ha individuato la falla presente ormai da 20 anni in tutte le versioni del sistema operativo di casa Microsoft, da Windows 95 a Windows 10.

Grazie al Bug Bounty, per questa scoperta Yang Yu ha guadagnato il massimo premio che Microsoft concede in questi casi, circa 50 mila dollari.

La scoperta verrà presentata ufficialmente da Yang al Black Hat Summit 2016 che si terrà come di consueto a Las Vegas dal 30 luglio al 4 agosto. Per chi non conoscesse il Black Hat, è un evento molto noto nella comunità hacker e molto seguito in tutto il mondo, dove ricercatori e esperti di sicurezza presentano le loro scoperte.

“Questa vulnerabilità ha un impatto di sicurezza molto alto, probabilmente il più ampio mai registrato nella storia di Windows” – afferma Yang Yu.

Ma in cosa consiste #BadTunnel?

BadTunnel è una tecnica per NetBIOS-spoofing tra network. La tecnica permetterebbe all’attaccante di avere accesso al traffico che passa sul network della vittima oltrepassando eventuali Firewall e NAT di rete.

Secondo Yang, la vulnerabilità è causata nello specifico da una serie di implementazioni apparentemente corrette ma che impattano sul layer di trasporto e quello applicativo e ad una serie di protocolli applicativi usati dal sistema operativo.

Ipotesi di attacco

Un attaccante potrebbe tramite una mail di phishing o tecniche di social engineering indurre la vittima a cliccare su un determinato link con il browser IE o Edge e a farla accedere ad una pagina malevola.

La pagina malevola dell’attaccante appare come un File Server o un Local Print Server e tramite una serie di altre vulnerabilità che includono:

  • come Windows risolve i nomi di rete e accetta le risposte
  • come IE e Edge Browser supportano le pagine con codice embeddato
  • come Windows gestisce le path di rete via l’indirizzo IP
  • come il NetBIOS Name Service NB e NBSTAT interroga e gestisce le transazioni
  • come Windows gestisce le richieste sulla porta UDP 137

BadTunnel prende vita.

Simulazione di uno scenario di attacco prese dal paper tecnico di Yang

  1. Alice e Bob sono su reti differenti e hanno tra loro firewall e  NAT. Bob ha la porta 137/UDP e raggiungibile da Alice
  2. Bob chiude le porte 139 e la 445 lasciando aperta solo la 137/UDP
  3. Alice è convinta di accedere a file URI o UNC path che puntano a Bob tramite un altro hostname URI come http://WPAD/x.jpg o http://FileServer/x.jpg
  4. Alice invia una query NBNS NBSTAT verso Bob e verso l’indirizzo LAN di brodacast
  5. Se Bob blocca l’accesso alle porte 139 e 445 con una regola Firewall, Alice invierà una query di NBNS NBSTAT dopo circa 22 secondi. Se Bob invece chiude le porte 139 e 445 disabilitando il servizio Server Windows o il NetBIOS sul protocollo TCP/IP, Alice non ha bisogno di aspettare la connessione che scade prima di inviare la query.
  6. Quando Bob riceve la query NBNS NBSTAT inviata da Alice, Bob risponde forgiando un NBNS NB response prevedendo il transaction id e lo invia ad Alice. Se un pacchetto heartbeat viene inviato ogni pochi secondi, la maggior parte dei firewall e dispositivi NAT tengono aperta la connessione sulla porta 137/UDP
  7. Alice ora può aggiungere la risoluzione dell’indirizzo inviata da Bob all NBT cache. Il valore di default della TTL per la cache NBT è di 600 secondi.
  8. Bob può ora dirottare il traffico di Alice attraverso l’utilizzo del WPAD (Web Proxy Auto-Discovery Protocol) o tramite ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) server.

(La tecnica di attacco con WPAD  venne presentata al BlackHat nel 2007. Inoltre il worm FLAME impiegò una tecnica simile.)

Fortunatamente Microsoft è corsa ai ripari e ha rilasciato il bollettino di sicurezza MS16-077 che mette al sicuro da attacchi di questo genere.

Se invece non è possibile installare la patch, per mitigare questo attacco è bene bloccare all’interno del proprio network la porta 137/UDP. Per utenti individuali invece si consiglia di disabilitare NetBIOS TCP/IP.

Fabio Natalucci

Fonte: http://www.techeconomy.it/2016/06/22/scoperta-grave-vulnerabilita-windows-presente-20-anni/

Share

grandefratello, hotnews, microsoft, multinazionali, software, tipstricks

Cos’ha comprato Microsoft?

17 giugno 2016

6717267977_30e38b773e_bAppena uscita, la notizia ha fatto subito il giro del mondo: ha annunciato – a cose fatte – di aver comprato Linkedin. Costo dell’operazione: poco più di 26 miliardi di dollari. In contanti. 26 miliardi di dollari sono un po’ più dell’1% del PIL dell’Italia, il doppio del PIL dell’Albania, una volta e mezzo il prezzo pagato nel 2014 da Facebook per Whatsapp.

Sulle motivazioni strategiche di questa acquisizione si è già detto: Microsoft sta progressivamente disinteressandosi del mercato desktop e dell’utente domestico, accrescendo le sue attenzioni verso il mondo delle imprese e delle organizzazioni, e è il maggiore social network orientato al mondo del lavoro. Non ci compete nemmeno fare analisi economiche per capire se è uno strumento così tanto prezioso da valere 26 miliardi di dollari o se Microsoft ne aveva così tanto bisogno per il suo business da essere disposta a spendere qualunque cifra (e comunque stiamo tranquilli: se anche fossero soldi buttati, Microsoft non finirà sul lastrico per questo. Notizia, anche questa, tutta da meditare).

La domanda che ci poniamo è un’altra: cosa ha comprato Microsoft esattamente? Un’azienda con oltre 1500 dipendenti? Certamente. Un’infrastruttura hardware e software di tutto rispetto? Anche. Uno strumento per integrare nuove funzionalità da proporre ai propri clienti di prodotti per la produttività? Senz’altro. Ma davvero tutto questo vale da solo un punto di PIL italiano, o due PIL albanesi eccetera? Probabilmente con un decimo di quella cifra si sarebbe potuto mettere in piedi un’azienda e un’infrastruttura hardware e software di pari livello. Dunque dev’esserci dell’altro, e infatti c’è: con Linkedin Microsoft ha comprato anche (soprattutto?) i suoi 400 (quattrocento) milioni di utenti, che sono più degli abitanti degli USA, un terzo degli abitanti della Cina. Quattrocento milioni di profili, che sono dati anagrafici, curriculum, informazioni lavorative, ma anche dati aziendali, abitudini, interessi individuali e di gruppo e quant’altro possa esserci dentro al profilo utente di un social network. In altre parole: informazioni sulle persone. O meglio, informazioni su quattrocento milioni di persone. Poco importa che solo un quarto siano utenti attivi, l’attività non è tanto importante quanto le informazioni personali, materiale su cui Zuckerberg ha costruito la sua fortuna patrimoniale e il suo potere. Che siano le informazioni a giustificare la spesa?

Certo, un utente che si era iscritto a Linkedin dando i suoi dati a un’azienda, di fatto li sta consegnando nelle mani di un’altra. A sua insaputa, peraltro. Non è la prima volta che succede: è accaduto agli utenti di Whatsapp, ma anche a quelli di Skype, di Instagram, e di chissà quanti “luoghi” in cui siamo entrati. Né sta a noi dire se la cosa sia buona o cattiva: di certo come utenti – “basic”, ma soprattutto “premium”, che pagano – avremmo il diritto di essere, se non proprio interpellati, almeno informati. Possibilmente prima degli azionisti. O è chiedere troppo?

(foto di Luca Biada Flickr, CC-BY 2.0)

Marco Alici

Fonte: http://www.techeconomy.it/2016/06/17/cosha-comprato-microsoft/

Share

grandefratello, hotnews, microsoft, multinazionali, news, riflessioni

Scrivere la tesi: linee guida (dritte e storte)

10 giugno 2016

graduation-879941_1920La scrittura della tesi di laurea non sarà certo la prima esperienza di elaborazione digitale di testi, ma probabilmente è la più importante per molti studenti. Si comincia ormai fin dalla scuola primaria con ricerche e tesine individuali o di gruppo. Eppure, arrivati alla fatidica soglia, si arriva ben presto a chiedersi: come devo presentare la mia tesi? Come devo formattare la mia pagina? Che devo/posso usare? Che formato di file?

Almeno da questo punto di vista era tutto più semplice ai tempi della macchina da scrivere: gli unici parametri da definire erano il numero di caratteri per riga e il numero di righe per pagina e i rapporti tra tesista e erano regolati dallo scambio di copie cartacee. Non è molto, a dire il vero, per poter rimpiangere i “vecchi tempi”.

Gli strumenti informatici oggi a disposizione concedono grandi libertà di gestione del testo e di scelta della veste grafica ma soprattutto permettono lo scambio dei file e una gestione delle informazioni – nello spazio e nel tempo – impensabile nel secolo scorso.

Proprio per cercare di mettere un po’ d’ordine in tutti questi aspetti molti atenei propongono ai laureandi delle linee guida relative sia all’aspetto finale dell’elaborato, sia al formato di file per lo scambio con i docenti e con l’ateneo stesso.

Diciamolo subito: non sarebbe male se il MIUR emanasse delle linee guida sulle linee guida. In mancanza di specifiche generali ogni università si è data le sue regole, più o meno precise, più o meno stringenti, e anche più o meno facili da trovare all’interno dei rispettivi siti web istituzionali. Addirittura in alcune università le indicazioni variano da una facoltà all’altra: a Medicina la tua tesi dev’essere così, a Giurisprudenza dev’essere cosà, se fai Ingegneria sei pregato di contattare il docente…

Ciò detto, in questa sede abbiamo cercato piuttosto di chiederci: quanto sono “open” queste linee guida?

Da quanto premesso emerge l’impossibilità di una risposta univoca. Bisognerebbe piuttosto valutare caso per caso. Per questo abbiamo scelto solo due esempi che ci sembrano interessanti per almeno due motivi: il primo è che si tratta di due grandi università, il secondo è che si collocano agli antipodi rispetto all’utilizzo di software libero e aperti. Si tratta dell’Università di Roma La Sapienza e del Politecnico di Torino.

Sapienza Università di Roma

La pagina web contenente le informazioni in questione non è facile da trovare. Dal titolo sembra solo l’indicazione di “come applicare il logo sulla tesi”, ma in realtà contiene tutte le informazioni che servono, compresi file già pronti da scaricare per essere usati ed esempi di copertina e frontespizio. Peccato però che:

  • il logo è fornito come file vettoriale, ma in un formato proprietario, precisamente il formato .ai dei file di Adobe Illustrator;
  • i modelli di file da usare per redigere la tesi sono anch’essi in formato proprietario, precisamente il formato .doc dei file di Microsoft Word fino alla versione 2003. Dunque un formato proprietario, chiuso, obsoleto e, ad essere pignoli, anche improprio: infatti non si tratta di file modello, che per Microsoft Office sarebbe il formato .dot, ma di semplici documenti vuoti. La differenza non è abissale, ma siamo pur sempre in una delle più prestigiose università italiane, un po’ di precisione non guasterebbe;
  • Dulcis in fundo (letteralmente, essendo in fondo alla pagina) viene testualmente raccomandato: “i caratteri da utilizzare per l’interno della tesi sono Arial per i titoli e Palatino Lynotipe per i testi”. Entrambi sono font proprietari, generamente forniti con i prodotti Microsoft (sistemi operativi Windows, ma anche applicativi come Office).

Delle due l’una: o tacitamente si assume che tutti gli studenti dell’ateneo romano utilizzino computer con sistemi operativi Microsoft Windows e abbiano una licenza di Microsoft Office e addirittura di Adobe Illustrator, oppure i formati dei file proposti sono considerati come degli standard. Peraltro altrove sembrerebbe invece che l’università regali agli studenti l’accesso a prodotti Google. Nessuna di queste ipotesi ci entusiasma.

Politecnico di Torino

Dal sito dell’ateneo, navigando attraverso il menù “didattica e studenti”, “servizi per gli studenti”, “proposte tesi” si trova la voce “saper comunicare”, da dove è possibile scaricare un interessante e completo manuale in formato PDF che introduce alla scrittura tecnico-scientifica trattandola in tutti i suoi aspetti. In particolare il capitolo 4 è interamente dedicato agli aspetti più tecnico-grafici, a partire dalla scelta dei programmi di scrittura. Da subito viene spiegato che “Indicare qui uno o più programmi per la composizione della tesi sembra voler fare réclame a questo o a quel programma, ma non è così; il problema è correlato ad un elemento del tutto nuovo rispetto al passato. Questo elemento del tutto nuovo è costituito dall’archiviazione elettronica”. La ratio del testo è che all’università interessa che la tesi venga consegnata in formato PDF/A, standard ISO pensato per l’archiviazione a lungo termine dei documenti, indipendentemente dagli strumenti utilizzati per ottenerlo, dei quali – sia comerciali che liberi – peraltro viene dato un elenco molto esauriente. Inoltre si specifica che “se non è detto diversamente nella precedente descrizione, vuol dire che il programma citato è disponibile per tutte le principali piattaforme di elaborazione, in particolare con i vari sistemi operativi della MicroSoft, con i sistemi Mac OS X, e con le varie incarnazioni dei sistemi Linux”. Della serie: usate ciò che volete, basta che ci date un file PDF/A.

Quello che deve essere chiaro al tesista è che “la tesi […] non può essere consegnata al momento di iscrizione all’esame di laurea in un formato qualsiasi, sia esso DOC, ODT, PS, RTF, o altri formati più o meno esoterici liberi o proprietari; nemmeno il formato PDF di per sé ha il formato giusto, se manca delle altre piccole modifiche e aggiunte a cui si accennava sopra. Anche il formato PDF deve essere scritto con la versione PDF-1.4 e non sono accettabili né versioni precedenti né versioni successive, perché così prescrive la norma ISO”. Della serie: lo standard prima di tutto, siamo o non siamo un politecnico?

Il testo, che merita di essere letto integralmente, eccelle per l’attenzione alla neutralità rispetto agli strumenti utilizzati e l’attenzione al rispetto degli standard aperti: chi lo legge ha la netta sensazione di poter scegliere liberamente la strada da percorrere per raggiungere l’obiettivo finale, definito comunque in maniera molto precisa e dettagliata.

Della serie: la libertà prima di tutto.

Marco Alici

Fonte: http://www.techeconomy.it/2016/06/10/scrivere-la-tesi-linee-guida-dritte-storte/

Share

LibreOffice, microsoft, multinazionali, openofficeorg, riflessioni, scuola, software

Le macro di Office: un male necessario?

3 giugno 2016

keyboard-932370_1280Alzi la mano chi usa abitualmente per lavoro o per diletto. Tra questi, alzi la mano chi ha usato almeno una volta una . Chi non sa rispondere a quest’ultima domanda, e magari non ha idea di cosa sia una , è probabile che non ne abbia mai vista una, e molto probabile che non ne abbia mai usate a sua insaputa.

In pillole: una macro è una porzione di codice che viene eseguita in corrispondenza di certe condizioni (per esempio la pressione di un pulsante) per fare qualcosa (generare un file di testo, o una pagina html, o fare dei calcoli e molto altro). Per maggiori informazioni potete chiedere, ad esempio, a Wikipedia: se optate per la pagina in italiano, constaterete che il concetto di “macro” diventa quasi subito coincidente con quello di “macro di Office”, e sembra tutto molto bello ed utile; nella pagina in inglese, invece, il tema è trattato in maniera molto più generale e più completa, e troviamo persino un capitolo a parte, intitolato Macro virus, dove viene detto testualmente che VBA, il linguaggio di programmazione delle macro di Office, è facilmente utilizzabile per creare dei virus informatici, a causa della sua possibilità di accedere alla maggior parte delle chiamate di sistema di Microsoft Windows, cosa che può avvenire alla semplice apertura di un documento (che è appunto una tipica chiamata di sistema). Ad esempio scaricando sul vostro computer un bel CryptoLocker.

Le macro, come qualsiasi strumento, non sono né buone né cattive. Sotto certe condizioni, però, possono rivelarsi uno strumento pericoloso. Il fatto che le macro di MS Office siano uno strumento molto pericoloso non è un’invenzione di quei quattro rosiconi che sostengono il software libero, e nemmeno degli autori inglesi di Wikipedia. Lo dichiara Microsoft in questo articolo, dove già nel dicembre 2014 veniva constatato un aumento del numero delle minacce informatiche veicolate attraverso macro inserite in file di MS Office allegati ad email e si raccomandava la massima attenzione. Lo stesso concetto viene ribadito da Microsoft in quest’altro articolo del 22 marzo scorso:

“Il malware basato sulle macro è in aumento e ci rendiamo conto che sia un’esperienza frustrante per tutti. Per aiutare a combattere questa minaccia stiamo rilasciando una nuova funzionalità di Office 2016 che blocca le macro in alcuni scenari ad alto rischio”.

A parte la stranezza del fatto che i virus legati a macro di MS Office siano in aumento da anni ma nella pagina italiana di Wikipedia dedicata alle macro, che parla esclusivamente di macro di MS Office, non compaia mai la parola “virus” o un suo qualche sinonimo, il concetto sembra chiaro: le macro di Office sono uno strumento pericoloso, talmente pericoloso che non basta aver disabilitato l’esecuzione automatica delle macro come impostazione predefinita (ebbene sì: per molto tempo l’installazione di MS Office prevedeva come impostazione predefinita che una macro contenuta in un qualsiasi documento venisse eseguita automaticamente alla sua apertura, a prescindere), ma è risultato necessario inserire in Office 2016 uno strumento che conferisca all’amministratore del sistema il potere di impedire – in parte o del tutto – ad un utente di eseguire macro contenute in documenti di Office.

A dire il vero in molti ci avevano già pensato da soli.

Schermata-2016-06-02-alle-18.22.29

Se ancora qualcuno avesse dubbi sulla pericolosità delle macro di Office e sulle possibilità di intrusione che offrono, può dare un’occhiata qui per rendersi conto del grado di sofisticazione raggiunto dagli attacchi informatici a mezzo macro, soprattutto in relazione alla capacità di assumere le sembianze di documenti innocui e di sviluppare strumenti per eludere i controlli da parte degli esperti di sicurezza informatica.

La domanda finale da porsi è: davvero ci serve una macro in un documento di testo o in un foglio di calcolo? Esistono delle alternative, magari addirittura migliori, certamente più sicure, e sicuramente più libere, perché indipendenti dal programma e dal sistema operativo utilizzato?

A chi avesse risposto  alla prima domanda suggeriamo la lettura di questo articolo, e ricordiamo a tutti, compreso chi afferma che il formato OOXML è uno standard ISO, che un file OOXML contenente una macro sicuramente non è né standard, né sicuro.

Marco Alici

Fonte: http://www.techeconomy.it/2016/06/03/le-macro-office-un-male-necessario/

Share

LibreOffice, microsoft, multinazionali, openofficeorg, riflessioni, software, tipstricks

Windows 10 col trucco e con l’inganno?

27 maggio 2016

Windows_10_Satya_Nadella_16151820338-1

L’altro giorno mi è giunta questa mail disperata:

Testo_Mail

La seconda cosa che ho pensato (la prima è stata cercare di aiutare il mio amico, meno a suo agio di me con la tecnologia, a trovare una soluzione al suo 0xc0000142 che gli consentisse di lavorare) è stata: chi mai può “costringere” un utente a passare con la forza a se questi dichiara espressamente di trovarsi benissimo con Windows 7?

Un paio di giorni dopo mi sono imbattuto in questo articolo che descrive l’ultima discutibile (per molti ingannevole, ai confini del malware) trovata di Microsoft per spingere gli utenti di Windows ad aggiornare a Windows 10, gratuitamente fino al 29 luglio.

Sorvolando sui dettagli tecnici, la sostanza è questa: finora gli utenti di Windows 7 o 8.1 avevano ricevuto una invadente finestra di notifica che proponeva di scaricare Windows 10 come fosse un aggiornamento di sistema fra i tanti. “Invadente” significa che l’unico modo per chiudere la finestra era quello di cliccare sulla “x” in alto a destra, che da sempre (da sempre!) nei sistemi operativi Microsoft è l’icona del pulsante che chiude le finestre. Niente pulsante “annulla”, o “no, grazie”: le uniche opzioni tra cui scegliere erano “Aggiorna adesso” oppure “aggiorna stanotte” (perché non direttamente domattina? Non ci è dato di sapere). “Invadente” significa anche che, pur avendo chiuso la finestra di notifica, la relativa icona con il logo di Windows 10 rimaneva, come una spada di Damocle, a fare mostra di sé nella barra di sistema. Finora, quindi, tutto sommato gli utenti sufficientemente contenti di Windows 7 o 8.1 se l’erano cavata abbastanza bene. Finora.

Da qualche giorno, invece, Microsoft ha deciso di modificare la procedura – e quindi la finestra di notifica – quel tanto che basta, “in modo da assomigliare ad un malware”, secondo Brad Chacos, autore dell’articolo citato. Ora l’aggiornamento a Windows 10 è considerato dal sistema un “aggiornamento raccomandato”, come fosse una qualsiasi patch di sicurezza del sistema corrente; verrà quindi scaricato e installato alla data e all’ora indicata nella finestra. L’utente distratto, o scocciato da tanta quotidiana insistenza, è portato a fare come tutti i giorni da sei mesi, ovvero chiudere la finestra cliccando sulla solita “x” in alto a destra, che da sempre (da sempre!) chiude qualsiasi finestra di Windows, cosa che in questo caso, invece, equivale ad acconsentire all’installazione del fantomatico “aggiornamento raccomandato”, ritrovandoci la mattina dopo con il nuovo Windows 10 che non volevamo affatto.

Il fatto che nella finestra incriminata ci sia una clausola in piccolo che consenta di cancellare l’installazione programmata dell’aggiornamento, come pure il fatto che, una volta installato, esista il modo di ritornare indietro disinstallando l’aggiornamento in questione è irrilevante, come pure è irrilevante qualsiasi giudizio sul valore di Windows 10, su cui ognuno è libero (libero!) di farsi una sua personale opinione, leggendo recensioni o addirittura provandolo direttamente.

I metodi finora usati per spingere l’utente a passare a Windows 10 – l’offerta gratuita, la continua presenza della finestra di notifica, il cambiamento concepito deliberatamente per indurre all’errore l’utente riluttante – non sembrano avere precedenti nella storia dell’informatica: analoghi tentativi per spingere un utente ad installare qualcosa contro la sua volontà si registrano solo tra i virus, i malware e simili.

Per fare un paragone, esiste forse una casa automobilistica che, all’uscita di un nuovo modello di utilitaria, eserciti una qualche pressione sui possessori di un modello precedente per spingerli a cambiare automobile, magari con l’inganno? Il problema si porrebbe, al limite, il giorno in cui venisse dichiarata la cessazione dell’assistenza e della produzione di pezzi di ricambio originali, non certo per la disponibilità di un modello nuovo. Immaginate cosa succederebbe se, andando a fare una normale revisione, anziché firmare l’apposito modulo l’ignaro automobilista firmasse a sua insaputa un contratto per la sostituzione dell’automobile.

Ci rendiamo conto che gli esempi non sono molto calzanti: l’auto si possiede, Windows no: compriamo solo il permesso di usarlo, mica possiamo pretendere che faccia quello che vogliamo noi!

Ci rendiamo anche conto di aver raccontato una storia incomprensibile agli utenti abituali di sistemi operativi liberi, quali sono i sistemi Linux: utenti che il proprio sistema operativo, invece, lo possiedono, possono usarlo come vogliono, copiarlo, studiarne i sorgenti, modificarlo e ridistribuire allo stesso modo le versioni modificate; utenti consapevoli che ad ogni aggiornamento di sistema verranno aggiornati coerentemente tutti i programmi che dipendono dall’aggiornamento stesso, ritrovandosi sempre un sistema coerente di versioni di software a prova di “errore 0xc0000142”; utenti che, anche quando qualcosa non funziona come dovrebbe (il software libero è libero, non perfetto: se no si chiamerebbe software perfetto), hanno sempre quella piacevole, indescrivibile sensazione di essere rispettati.

(Foto Microsoft Sweden, CC BY 2.0)

Marco Alici

Fonte: http://www.techeconomy.it/2016/05/27/windows-10-col-trucco-linganno/

Share

grandefratello, microsoft, multinazionali, riflessioni, software

Elogio della lentezza (all’avvio)

29 aprile 2016

strawberry-799809_1920«Ringraziamo la tua lentezza, lumaca, perché se fossi stata veloce come il coniglio o avessi strisciato svelta come la serpe non ci avresti avvisato. Hai un nome?»
«Mi chiamo Ribelle, è il nome che mi ha dato Memoria».

(L. Sepùlveda, Storia di una lumaca che scoprì l’importanza della lentezza, 2013)

Scena 1

Poco dopo l’uscita di un amico mi mostrò il suo notebook nuovo fiammante per farmi dare un’occhiata al nuovo sistema operativo di Microsoft. Conosceva il mio amore per la tecnologia, la mia obiettività di giudizio (cerco di argomentare ogni mia opinione) ma anche la mia passione per il software libero, sistemi operativi GNU/Linux inclusi. Tralasciando i discorsi sull’interfaccia utente (la giudicai una cosa assurda all’epoca, la storia mi dette ragione e ciò basti), il mio amico si premurò di farmi notare quanto fosse veloce all’avvio e allo spegnimento. Sullo spegnimento ebbi subito modo di metterlo in guardia: il monitor si spegneva all’istante, ma il disco continuava a girare per qualche secondo, più che sufficiente, per un utente sprovveduto qual è l’utente medio, per romperlo spostando il computer, magari per metterlo via, con la cautela riservata alle macchine spente, anziché a quelle accese. Quindi il tempo (vero) di spegnimento risultava, alla fine, comparabile con quello di versioni precedenti e di altri sistemi operativi. Sull’avvio, invece, non ebbi da eccepire: effettivamente risultava assai rapido.

Scena 2

Insieme ad altri amici stiamo installando Ubuntu su un notebook. L’intenzione è quella di mantenere l’installazione di Windows 8 esistente e di creare una macchina dual-boot: significa che all’avvio verrà mostrato l’elenco dei sistemi operativi installati, tra i quali scegliere quello che si vuole avviare. L’abbiamo fatto tante volte – e l’installazione in dual-boot dal DVD di installazione di Ubuntu è facilissima – ma stavolta è diverso: il disco non vuole essere partizionato durante l’installazione, l’installazione di Ubuntu su partizione creata da Windows va a buon fine ma Windows non si avvia. Problemi, insomma, di cui non si capiva la natura.

Avvio rapido

Cos’hanno in comune queste due storie? La funzione “avvio rapido” (in inglese “Fast Startup”) di Windows 8 e successivi. La funzione è attiva di default. Quindi quando si spegne il computer in realtà si attiva una procedura molto simile a un’ibernazione del sistema: spiegato grossolanamente, anziché spegnere il computer, il sistema salva in un file su disco un’immagine del kernel e dei driver caricati in quel momento, per cui la successiva accensione non è un boot vero e proprio: il sistema semplicemente rilegge il file salvato in precedenza anziché ripartire da zero, abbreviando sensibilmente i tempi.

Sembra magnifico. Invece no. Non sempre, almeno, per diverse ragioni, che sono ormai abbastanza note e ben riassunte in questo articolo. Sorvolando su quelle riguardanti la compatibilità con periferiche hardware o con gli aggiornamenti (di Windows o di applicazioni) che richiedono un riavvio, pur non secondarie, quelle che in questa sede ci preme sottolineare sono due:

  1. Se l’avvio rapido è attivo, il sistema operativo mantiene il controllo sull’hard disk. Questa è la ragione dei problemi descritti nella seconda storia. L’hard disk resta in uno stato simile a quando è in uso, per cui qualsiasi intervento sulle partizioni (operazione di prassi nel caso di installazione di un secondo sistema operativo) provoca una corruzione del filesystem e quindi la conseguente impossibiltà di riavviare Windows. Un bel problema, insomma, impossibile da evitare (se non disabilitando la funzione di avvio rapido) perché il sistema operativo che si sta installando non ha modo di sapere che il primo non è stato arrestato in modo corretto.
  2. L’utente è l’ultimo a sapere le cose. Infatti la funzione è abilitata di default, all’insaputa dell’utente medio, che in genere ne ignora completamente l’esistenza. L’utente “crede” di spegnere (shutdown) il computer come ha sempre fatto finora, invece il sistema non si spegne affatto, ma si iberna per un più rapido riavvio.

Paradossalmente, il comando di riavvio provoca invece uno spegnimento effettivo (e quindi un reboot) del sistema, mentre il comando di spegnimento no. A pensarci bene, Windows ci ha abituato ai paradossi, dato che fino alla versione XP il comando di spegnimento era nel menu “Start”, e in Windows 8 era addirittura nascosto tra le impostazioni (Settings), ma da utente preferirei un sistema che faccia esattamente quello che gli dico, e non qualcosa di diverso, seppur per il mio bene. Magari lentamente…

Marco Alici

Fonte: http://www.techeconomy.it/2016/04/29/elogio-lentezza-avvio/

Share

microsoft, multinazionali, riflessioni, software, tipstricks

Bolzano sceglie Office365 per lavorare “nella cloud”: e la banda?

18 aprile 2016

clouds-747254_1920In principio era l’open source e l’open source era a . Poi venne “l’ufficio a cielo aperto” e lo “smart Pesaro 3.0” con Office 365 al quale Bolzano gettò uno sguardo, rinnegando così il progetto di migrazione a LibreOffice annunciato nel giugno 2013 e rinunciando a sostenere quel risparmio di 600mila euro in licenze per 7.000 PC che tanto avevano portato a vantare la migrazione. Del resto, come spiegava il responsabile dei servizi informativi Kurth Pöhl in questo video, il software libero aveva la buona caratteristica di essere gratuito. Tra obblighi di legge e spending review, Bolzano camminava spedita sulla strada dell’open source, tanto da citarlo espressamente (per 500mila euro) nell’accordo sulle misure di contenimento delle spese correnti della Provincia, nel settembre 2013. Niente era cambiato nel 2014 con l’avvento della nuova Giunta che, prontamente, aveva sposato la teoria del risparmio e l’adozione di software libero al fine di stimolare l’innovazione sul territorio e instaurare una condivisione di soluzioni tra PA e aziende. Dal 2014 però il progetto sembrava essersi fermato (nonostante lo stanziamento di 100mila euro per il progetto avvenuto la scorsa estate) tanto che, nel dicembre 2015, il consigliere Paul Köllensperger aveva presentato un ordine del giorno in cui chiedeva lumi su come procedere scrivendo: “Peccato che a oggi tale migrazione sia soltanto abbozzata, mentre in Trentino ormai due terzi dei PC risultano migrati a LibreOffice. Riteniamo che alla decisione della Provincia di migrare…con la quale la Giunta Provinciale si impegnava a ridurre le spese dell’amministrazione pubblica con un risparmio previsto di 1.000.000 euro/anno, sia doveroso dare seguito”.

In verità, da metà novembre 2015 fino a febbraio 2016 (la tenacia è una delle nostre caratteristiche, ndr), abbiamo tentato di intervistare sul progetto di migrazione l’assessore con delega all’informatica Waltraud Deeg, che si era dichiarata disponibile fin da subito per poi chiedere qualche giorno per rispondere (concesso ovviamente), chiedere qualche altro giorno per informarsi su alcuni dati che non aveva a disposizione, per concludere, a febbraio 2016, con una richiesta ulteriore di attesa di qualche giorno ancora “a causa dell’assenza del collaboratore specializzato nella tematica d’interesse per motivi di malattia”. Che nel frattempo siamo sicuri si sia ripreso ma che non ci ha fatto avere risposta a quelle domande. Che forse si sarebbero rivelate scomode vista la decisione probabilmente in grembo di abbandonare il software libero a favore di altre soluzioni non propriamente libere (e neppure gratis).

La storia insomma si conclude con la pubblicazione della delibera 388 del 12/4/16 con cui la Provincia sancisce la “migrazione nella cloud con MS Office 365”.

Cloud vs software libero?

Nella premessa della delibera si afferma che il focus dei software di office automation passa da un modello di “personal productivity” verso un modello di “group collaboration”, tale per cui è richiesto un servizio che consenta a più persone di lavorare insieme su uno stesso documento. “La flessibilità di collaborare in tempo reale secondo il contesto con attori differenti, di svolgere i propri compiti anche fuori dalla propria sede o a casa propria è garantita dal cloud”. Un po’ come al comune di Pesaro con i suoi dipendenti che lavoravano dalla piazza, almeno nella giornata di presentazione della città smart organizzata da Microsoft. Non abbiamo notizie sulla loro collocazione attuale e non possiamo chiedere al sindaco Matteo Ricci dal quale stiamo ancora aspettando risposte (per la pazienza e tenacia di cui sopra).

Detto questo, cosa fare allora? Un po’ come a Pesaro si commissiona uno studio di fattibilità a un soggetto “indipendente” (l’indipendenza dello studio di Pesaro realizzato da Netics, Microsoft e l’azienda che aveva venduto le licenze l’abbiamo già commentata qui). Bolzano si rivolge alla ditta Alpin sulla cui indipendenza non ci si può esprimere ma che si può notare dal sito web propone soluzioni Microsoft Sharepoint e quando seleziona personale chiede “Buona conoscenza di sistemi operativi server e client (in particolare Microsoft)”. Una ditta che probabilmente conosce bene l’ecosistema Microsoft e che produce uno studio disponibile solo in lingua tedesca. La delibera afferma che “senza ombra di dubbio la Office Suite di Libre Office non copre le suddette funzionalità (Collaboration, Email/Calendar, Authoring, Document sharing, Audio/Telephony e social media, ndr) e che Libre Office Online è da considerarsi al massimo una pre-versione anticipata, se non addirittura un “early prototype”, e non presenta una reale alternativa rispetto a soluzioni software già disponibili. Quindi, né “Libre Office ” né “Libre Office Online” sono dei possibili canditati”. Scartato LibreOffice lo studio mette a raffronto Google App For Work e .

Perché uno studio per la comparazione delle soluzioni? E perché la ditta Alpin?

In occasione del rinnovo delle licenze server e s.o. per i posti di lavoro – affema Kurt Pöhl, direttore di ripartizione informatica – abbiamo commissionato alla ditta Alpin di Bolzano uno studio sulla migrazione in cloud di alcuni servizi. Non si è mai trattato di una contrapposizione tra software open source vs. software proprietario, ma di una esternalizzazione di servizi in cloud. La ditta Alpin è stata scelta per la loro posizione super partes e loro grande competenza in ambienti open source e proprietari”.

E la valutazione comparativa a norma dell’art. 68 del CAD che non compare in delibera?

Pöhl afferma che “come esposto nella delibera si parte dalle funzionalità richieste come previsto in CAD e si evince che ci siano solo due soluzioni fattibili in cloud”. Forse la valutazione è quella di Alpin? O forse si metterà nella determinazione visto che la valutazione dovrebbe farla l’Ente e non un’azienda esterna? E la valutazione dovrebbe essere anche in italiano oppure no?

Se siete curiosi di sapere la comparazione a cosa ha portato, si può leggere nella stessa delibera che “Premesso che Microsoft Office 365 è una soluzione più ricca di funzionalità di Google Apps, è da preferire perché può essere usata e installata sia online che offline e si integra in modo ottimale con la piattaforma di comunicazione (Exchange e Lync/Skype4Business) già in uso presso l’amministrazione provinciale”.

Bolzano quindi “nella cloud”?

La stessa delibera giustifica la scelta a Office365 al posto di Google App for Work così: “Il passaggio brusco dalla attuale installazione di Office su ogni singola postazione di lavoro dei nostri collaboratori allo scenario online Google Apps for Work porterebbe ad un radicale passaggio da una modalità offline ad una soluzione puramente online nella cloud. Non è pensabile pretendere questo dai nostri utenti (anche perché le funzionalità online non coprono tutte le funzionalità della soluzione stand -alone attuale) e non sarebbe neanche possibile tenendo conto della larghezza di banda disponibile nelle varie sedi”. Ma quindi si sceglie il cloud sapendo fin da ora che ci sono problemi di banda che non consentono di lavorare? Sì. E lo conferma Kurt Pöhl dicendo solo che “il problema sarà risolto definitivamente con la messa in rete con fibra ottica, prevista entro il 2020”. Ma da qui al 2020 di strada se ne farà e magari la comparazione si sarebbe potuta fare a problemi di banda risolti? E se non si passa da subito “nella cloud” e si installano licenze stand alone allora parliamo di un servizio e non di licenze? Sul quante postazioni lavoreranno on line da subito e entro quanto tempo tutte voleranno “nella cloud” non abbiamo avuto risposta. Ma vista l’analisi puntuale svolta immaginiamo che ci sia un piano dettagliato con tempi e costi di adeguamento.

Ma allora a quanto ammonta l’investimento dell’Amministrazione per il passaggio a Office365?

I numeri – risponde Pöhl – si evincono dallo studio (che è in solo tedesco ma magari a breve ce lo faremo tradurre, ndr). L’adozione di Office365 è in ottica di servizio e non di licenze. Viene acquistato un servizio facilmente modellabile sulle reali esigenze della Provincia Autonoma di Bolzano, senza le limitazioni delle licenze pure”.

Cosa dire quindi del costo dell’operazione? Poco o niente. Solo che la delibera afferma che “Da una prima stima dei costi per un contratto Enterprise-Agreement che copre lo scenario misto citato prevede una maggiorazione dei costi relativamente bassa rispetto ai costi dei contratti attivia già oggi. Questa maggiorazione ammonta al 15%”. Comparazione con soluzione libera non c’è perché ci dicono che si tratta di un servizio e non di un software. Ma un software non assolve a un servizio forse? E davvero si possono separare le due cose in modo così netto?

Quali i formati documentali previsti? Come sarà garantita interoperabilità?

I formati – rassicura Pöhl – saranno liberi. Sarà presa una decisione in questo senso”.

Perché, dopo un annuncio di attenzione particolare al software libero da parte della Giunta, si fa una scelta come questa?

Tutta la tematica cloud – conclude Pöhl – ha avuto un fortissimo sviluppo tecnologico e commerciale negli ultimi anni. Senza l’esistenza dell’open source, aziende come Microsoft, Google o altre non avrebbero investito ingenti somme nella creazione di nuovi servizi e modelli commerciali. La Provincia Autonoma di Bolzano ha l’obbligo di cogliere questi vantaggi”.

E mentre la Provincia valuta Office365 e Google App for Work, infatti, altre opportunità nascono, come quella di #open365, tanto per citarne una.

Altre domande sorgono spontanee in attesa di tradurre lo studio della Alpin: quali i problemi di sicurezza? E di tutela dei dati? Perché citare il caso Pesaro 3.0 nello studio e non citare la best practice del Ministero della Difesa che migra 150.000 postazioni a LibreOffice? Quali i costi di “riconversione” del personale che era stato formato e abituato a lavorare con LibreOffice? Quale la durata del contratto per il servizio cloud? Cosa succederà a fine contratto e quanto costerà uscire (se si volesse uscire) e riprendere i dati prodotti di proprietà della Provincia?

Anche in questo caso, come per Pesaro, la conclusione potrebbe essere proprio che “la risposta è dentro di te. Ma è quella sbagliata”.

Sonia Montegiove

Fonte: http://www.techeconomy.it/2016/04/18/bolzano-sceglie-office365-lavorare-nella-cloud-la-banda/

Share

grandefratello, hotnews, LibreOffice, microsoft, multinazionali, riflessioni, software

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi