Archivio

Archivio per la categoria ‘software’

Google e i film in “priva” visione

10 marzo 2017

Mario ama la . “Grande invenzione, Internet! – dice – Finalmente posso scaricare tutta la musica che voglio, a qualsiasi ora del giorno e della notte, senza neanche uscire di casa!”.

Che avete capito? Mario è persona perbene. La musica, su internet, lui la acquista: iTunes, Amazon Music…, di “negozi” ce ne sono tanti. Lui preferisce quello di Google. Sceglie i brani che vuole “senza dover comprare un album intero: vuoi mettere la comodità rispetto al passato?”, scarica i file .mp3 sul suo computer, o sul suo smartphone, o sul suo lettore da jogging, per ascoltarli dove e quando vuole. “L’ho acquistata, no? Quella musica è mia, come se avessi il disco originale”. D’atronde Google autorizza espressamente i suoi utenti: “Se utilizzi Safari, Internet Explorer o Firefox per il download, puoi scaricare due volte (sic!, ndr) i brani sul computer. Se utilizzi Google Play Musica per Chrome o Music Manager, puoi scaricare i brani sul computer tutte le volte che vuoi”.

Certo, Mario è un po’ contrariato per questa discriminazione: vorrebbe scaricare la sua musica con il browser che gli pare, senza che quelli di Google gli impediscano il terzo download solo perché non usa il loro software; e avrebbe ragione: in fondo, dalla presa del telefono in poi, quello che accade con i file che abbiamo pagato dovrebbe essere affare nostro e del codice penale (che non vieta affatto di usare Firefox, per dire). Ma… pazienza: Mario ha la sua musica, e questo è ciò che conta. A volte masterizza le sue “compilation” sui “vecchi” CD (“io ascolto ancora i vinili, vecchio ci sarai!”) per poterli ascoltare nell’autoradio della sua utilitaria (quella sì, vecchia!).

Mario ama molto anche il cinema. Non si perde una prima visione, e i più belli vuole rivederseli di tanto in tanto comodamente seduto sul suo divano di casa. Un tempo riempiva gli scaffali del soggiorno, di videocassette VHS prima e di DVD poi, con i suoi titoli preferiti. Ma Mario sa che la tecnologia è sua amica, e sa che il suo amato “negozio” di Google vende anche i . Non l’ha mai fatto finora, ma si appresta a scaricare il suo preferito, “Via col vento”, acquistato al modico prezzo di 3.99 euro. Vuole metterlo su un hard disk portatile appositamente acquistato per ospitare la sua cineteca digitale. Ma è un po’ spaesato: l’interfaccia qui è un po’ diversa e non gli riesce di trovare il comando “scarica” che usa di solito per la sua musica. Si affida quindi al supporto di google, dove alla voce “Download di film e programmi TV da guardare offline” legge:

Mario non capisce: “perché su dispositivi Android, iOS o Chromebook sì e su PC, Mac e altri laptop e computer no?”. Mario è arrabbiato: “com’è questa storia che i miei soldi, da PC, Mac e altri laptop e computer riesci a prenderli benissimo, e invece per farmi scaricare i film improvvisamente non vanno bene?”. Mario è confuso: “ho pagato la mia musica, sarò libero o no di scaricarla con il browser che voglio? Ho pagato il mio film, sarò libero di scaricarlo per vederlo sul televisore di casa o dove mi pare, senza dover avere per forza una connessione internet attiva? In fondo chiedo solo di vedere il film che ho comprato! Devi forse rendere conto al libraio su quale divano ti siederai a leggere il libro che compri? Perché dunque devo rendere conto a Google su quale strumento userò per vedere il film che ho comprato? Perché mi privano della possibilità di vedere alla tv il film che ho comprato?

Come possiamo spiegare a Mario che sì, il film, è suo, però, insomma…? Come possiamo evitare a un appassionato di “prime visioni” la frustrazione della “priva visione” televisiva?

Marco Alici

Fonte: http://www.techeconomy.it/2017/03/10/google-film-priva-visione/

Share

grandefratello, multimedia, multinazionali, news, riflessioni, software, tipstricks

Licenza di sprecare

27 febbraio 2017

Vietato sprecare. Lo dice a gran voce il gruppo di sindaci ed enti territoriali riuniti nella rete nazionale Sprecozero.net, che lunedì 27 febbraio si incontrano in occasione dello Sprecozero Day, “giornata di studio e di approfondimento per fornire strumenti concreti e utili all’incremento delle politiche locali di contrasto ad ogni forma di : cibo, energie, acqua, farmaci, rifiuti, mobilità ecc.”.

Padrona di casa della giornata sarà la , che dopo aver raccontato al mondo di aver risparmiato dal 2011 al 2016 circa 1.2 milioni di euro all’anno grazie “al ricorso all’ su server da una parte e dallo sviluppo interno delle applicazioni, con una riduzione della spesa per licenze di oltre 2 milioni di euro l’anno” dall’altra, decide (decide?) di tornare a gestire le proprie informazioni usando software proprietari, rinchiudendole dentro formati proprietari e salvandole dentro computer che non sono suoi (e la chiamano cloud, ma dimenticano “proprietaria”, aggettivo qualificativo che qualifica eccome). È un po’ come organizzare un convegno sul traffico in mezzo alla tangenziale nell’ora di punta, o un convegno sull’inquinamento nella terra dei fuochi, no? Ma non chiamatelo spreco: si tratta solo di “rinnovo delle tecnologie per evitare un precoce processo di obsolescenza, rispondere alla crescita dimensionale del perimetro regionale e alla progressiva consumerizzazione in atto nel mercato relativamente ai servizi di base agli utenti…” che neanche il conte Mascetti dei tempi migliori.

Nella prima parte della giornata la parola è alle istituzioni: un’ora e mezza di saluti istituzionali da parte di Paola Gazzolo (Assessore Ambiente Regione Emilia Romagna), Stefano Mazzetti e Andrea Segrè, (rispettivamente Presidente e co-fondatore di Sprecozero.net), Gianluca Galletti (Ministro dell’Ambiente) e Matteo Ricci, vice-presidente ANCI ma anche sindaco di Pesaro, che magari oltre a salutare potrà raccontare all’uditorio la sua interessante esperienza migratoria e contromigratoria da e verso soluzioni software proprietarie (le stesse adottate dalla Regione Emilia Romagna, ma sarà un caso), magari rispondendo una volta per tutte alle domande e chiarendo i dubbi che tuttora circondano quell’investimento e le cifre a molti zeri che lo riguardano. Ma non chiamatelo spreco: è ufficio a cielo aperto”. E se non avete visto le immagini degli impiegati seduti al banchetto sul marciapiede a far vedere che la wifi prendeva e potevano aprire le delibere, non sapete cosa vi siete risparmiati.

Nel pomeriggio, dopo la presentazione di esperienze virtuose di sostenibilità ambientale e l’assemblea dei soci di Sprecozero.net, spazio a workshop formativi su diversi temi: si parlerà di economia circolare, bilancio ambientale, recupero di cibo e farmaci, e, infine, anche di riuso di software nella Pubblica Amministrazione con Erika Bressani di Urbano Creativo, azienda specializzata in tecnologie informatiche innovative applicate alla città. Speriamo che i vertici delle istituzioni non debbano lasciare il convegno – come spesso accade, purtroppo – per concomitanti improrogabili impegni, ma rimangano ad ascoltare fino alla fine: siamo sicuri che il tempo, almeno quello, non sarà sprecato.

Marco Alici

Fonte: http://www.techeconomy.it/2017/02/27/licenza-di-sprecare/

Share

multinazionali, openofficeorg, riflessioni, software

La Bibbia di Internet e i vangeli apocrifi

20 febbraio 2017

Wired è un magazine di riferimento in ambito tecnologico per milioni di lettori da un quarto di secolo a questa parte, tanto da essere definito da alcuni – compresa Wikipedia – “La Bibbia di Internet”.

E proprio per la sua fama, è strano imbattersi in articoli che producono una reazione di sconforto. Ci era già capitato la scorsa estate con questo, che nel titolo voleva essere un analisi della migrazione a LibreOffice in atto presso il Ministero della Difesa, ma nei fatti si rivelava una inutile e improduttiva iniezione di luoghi comuni (Linux è più difficile di Windows e Mac OS), di disinformazione (le garanzie dei software commerciali offrono una certa protezione dell’utente e del suo investimento), e di FUD (“con hardware molto specifico l’utilizzo di software potrebbe dare qualche grattacapo”), con rimandi privi di senso ad altri software liberi che nulla c’entrano con LibreOffice e addirittura a presunti problemi legati all’hardware che non risultano a nessuno al di fuori di quell’articolo.

È capitato di nuovo con con questo, anch’esso a firma di Riccardo Meggiato.

Nel sommario si propone di commentare la classifica dei software con più vulnerabilità del 2016”, preannunciando sorprese peraltro parzialmente svelate già nel titolo. Di fatto si tratta di un tentativo di analisi dei dati relativi alle vulnerabilità dei software, forniti da CVE e riportati su CVE Details.

Il primo momento di sconforto ci viene dall’idea che si possa seriamente pensare di ridurre la questione a una classifica, come se i software fossero dei cantanti al Festival di Sanremo, col vezzo della suspense creata dal dare i risultati in ordine inverso, dal quinto al primo posto, come un Carlo Conti qualsiasi ma senza il televoto.

Il secondo momento di sconforto ci viene dall’osservare che la classifica mette insieme, in un’unica categoria, singoli programmi come Adobe Flash Player, sistemi operativi come Microsoft Windows e intere distribuzioni come Ubuntu, Debian e OpenSuse Leap, per non parlare di Android e della sua frammentazione in un universo di versioni che girano su un universo di dispositivi diversi; per confronto, iOS esiste in una sola versione che gira su un esiguo numero di dispositivi diversi. Non è la stessa cosa. Nel pugilato i pesi piuma e i pesi massimi non gareggiano tra loro, per ovvi motivi.

Qualcosa nell’articolo impedisce di spiegare, per esempio, che “Debian” (ma vale anche per Ubuntu, che da Debian deriva, e per Leap) significa un archivio di oltre 50mila pacchetti installabili, tra cui il kernel (Linux), decine di browser e migliaia di altri programmi, molti dei quali compaiono anche da soli nella classifica, ciascuno con i suoi possibili difetti, che quindi sono sommati in quel conto. Per fare un esempio a caso, la vulnerabilità CVE 216-7117, che riguardava proprio il kernel Linux (versione 4.5.1), è messa in conto a Linux Kernel, ma anche a Debian Linux e a Ubuntu Linux.

Per dire, anche le 95 vulnerabilità di un programma come Wireshark sono ascritte a Debian (provare per credere), nonostante esso non sia installato di default in Debian ma deve essere volontariamente installato dall’utente. Però Wireshark, che è software libero multipiattaforma, può essere ugualmente installato su Windows, eppure non compare affatto nel conto delle sue vulnerabilità. Potremmo allora osservare che sommando a Windows 10 le vulnerabilità di un browser internet – Chrome, Firefox, Edge, scegliete voi: ne abbiamo sempre almeno uno sul nostro pc, no? – superiamo facilmente le 300, che fanno balzare l’ultimo nato tra i sistemi operativi di Redmond direttamente sul podio di questa bizzarra competizione. Per non parlare del fatto che solo Windows è diviso nelle sue varie versioni (anche gli altri ne hanno, sapete?). Il calcolo del risultato della somma delle sue vulnerabilità (che è un numero a quattro cifre) è lasciato al lettore.

Nessun accenno, invece, nell’articolo citato, al concetto di numero di vulnerabilità per numero di righe di codice, che è universalmente considerato il dato più interessante per valutare la qualità del software in rapporto alla sua complessità. Incidentalmente osserviamo anche che il numero di linee di codice è un dato praticamente impossibile da conoscere direttamente per qualsiasi software proprietario, mentre è facilmente reperibile per qualsiasi software libero, tanto che spesso è fornito già pronto da chi non ha niente da nascondere, nemmeno i propri errori.

Il terzo momento di sconforto nasce da una domanda: i problemi di sono tutti uguali? Per dirla con parole di moda: “uno vale uno” oppure è possibile distinguerli per gravità? Se sì, vince chi ha 100 vulnerabilità di poco conto o chi ne ha 10 gravi?

La risposta, stavolta, non è dentro di te, ma è già scritta sul sito di CVE Details. Bastava guardare, ma forse l’ignoranza o forse la malafede hanno tenuto fuori questo aspetto dall’articolo. Infatti aprendo una qualsiasi pagina relativa a una qualsiasi vulnerabilità, chiunque avrà notato che ad ognuna viene attribuito un punteggio (CVSS Score) da 1 a 10, con l’aggiunta di uno sfondo colorato dal verde al rosso che lo evidenzia a colpo d’occhio. Il tutto è riassunto in questa interessante – almeno quanto la precedente – classifica, di cui riportiamo qui sotto le prime quindici posizioni, ordinate per voto medio.

Metà dei posti disponibili, tra cui i primi sei, è occupata da prodotti Adobe, con una preoccupante media superiore al nove. Ci sono anche due versioni di Windows. Android, primo nella precedente competizione, scende in questo caso all’undicesimo posto, cioè cinque posizioni dietro Microsoft Office, cinquantesimo nella classifica precedente, settimo con una media di 9.30 su 10. Poche vulnerabilità ma buone. Anzi, ottime.

E gli altri del podio precedente? Debian totalizza un “misero” 42° posto con 6.40, davanti a OpenSuse, Ubuntu e il kernel Linux, che non arriva alla “sufficienza”. L’analisi della “classifica costruttori”, per dirla con l’autore, la lasciamo per esercizio. Si può trovare qui.

Se proprio c’è bisogno di commentare, diciamo che, ad esempio, la rigorosa politica di rilascio seguita da Debian dimostra di produrre i suoi buoni risultati; mutatis mutandis lo stesso può dirsi per le altre distribuzioni basate su Linux, e per Linux stesso. In generale, salvo eccezioni, il software libero occupa la parte bassa della classifica. Pur non essendo perfetto per definizione (in realtà lo dicono solo i suoi detrattori, nessun software lo è), per sua natura tende a risolvere i suoi problemi di sicurezza mediamente più in fretta e meglio di altri, semplicemente perché è così che vanno le cose quando il codice sorgente è pubblico e condiviso: se quattro occhi vedono meglio di due, figuriamoci i milioni di occhi sparsi per il pianeta. Se il codice è lì, ci sarà sempre qualcuno che ha voglia di cimentarsi a risolvere un problema. Se invece è chiuso nelle stanze della “cattedrale”, dovrà attendere la disponibilità dei suoi “sacerdoti”.

Ultimo ma non ultimo: analisi di questo tipo non sono banali da fare, soprattutto quando si parla a un vasto pubblico e si ha l’onore di scrivere sui “testi sacri”. Ma di “vangeli apocrifi”, soprattutto in epoche come la nostra, non abbiamo bisogno.

Marco Alici

Fonte: http://www.techeconomy.it/2017/02/20/la-bibbia-internet-vangeli-apocrifi/

Share

bugreport, distribuzioni, grandefratello, linux, microsoft, multinazionali, news, riflessioni, software

Creare un modulo compilabile in PDF con LibreOffice

22 novembre 2016

Moduli PDF da creare per distribuirli a altre persone che li devono poi compilare? Ci pensa LibreOffice a crearli  come desiderate voi.

Ci può capitare di dover creare un modulo compilabile con una serie di campi di testo o caselline di scelta per rispondere a determinate domande, magari da fornire ai nostri clienti o a un dipendente.

Si potrebbere fare con Microsoft Word o Microsoft Excel, però il modulo che andiamo a creare potrebbe essere poi modificato, o rovinato, da chi lo riceve e non è quello che vogliamo.

Cosa più importante, potremmo doverlo spedire a una persona che può non essere in possesso dei suddetti programmi (o equivalenti gratuiti come LibreOffice) e quindi non riuscire ad aprirli.

Una soluzione interessante è quella di creare un file PDF, quindi non direttamente modificabile dai normali utenti, con una serie di caselle predefinite dove inserire il testo o pulsanti/caselline di scelta a specifiche domande.

Il tutto è creabile con alcuni (non semplicissimi all’inizio) passaggi e LibreOffice.

Creazione del modulo

Andate su VisualizzaBarre degli strumenti e Controlli per formulario e si aprirà la nuova barra con i controlli, se non sono tutti visibili, cliccate sull’icona con il simbolo della mano in modo da farli apparire.

A questo punto dalle due barre dei Controlli per formulario, la seconda si può aprire tramite il pulsante Altri campi di controllo presente nella prima, potete inserire campi di testo, caselle di controllo, pulsanti per compiere determinate azioni e tante altre cose, che però bisognerà studiare in maniera più approfondita. Ma per adesso limitiamoci ai campi testo e a qualche pulsante utile.

Cliccate sull’icona del controllo, nella barra dei Controlli per formulario, che volete aggiungere al vostro modulo, il puntatore del mouse cambierà forma e basterà trascinarlo, all’interno del documento in modo da creare dei rettangoli con abbastanza spazio per inserire del testo, oppure piccoli quadrati per le caselle di controllo.

In seguito si potranno regolare dimensioni, colore dello sfondo, carattere e tanto altro, cliccando sullo spazio occupato e aprendo le proprietà.

Una volta inserito tutto quello che ci serve, andate su FileEsporta nel formato PDF.

Dalla schermata delle Opzioni PDF che si apre, verificate è che sia presente il flag nella casella Crea formulario PDF e poi cliccate su Esporta.

Ed ecco quello che si potrebbe ottenere, solo i campi a sinistra sono compilabili liberamente dall’utente, in basso ci sono alcune caselle dove l’utente può scegliere cose già determinate o esprimere una sua opinione, si può inserire un collegamento Internet a una pagina Web, dove avete magari inserito delle spiegazioni su come compilare il modulo.

E questo è solo un piccolo esempio veloce di quello che si può fare con LibreOffice e un modulo PDF.

Consigli

Quando ottenete un documento di testo che vi sembra già buono, ma volete provare a fare qualcosa di più, salvatene una copia di backup per tenerla di scorta.

Durante le prove che ho fatto, a volte, nel tentare di aggiungere nuovi pulsanti, si generava confusione e si rischiava di perdere quello che si era già inserito, con la copia di backup si evita di dover ripartire da zero.

Non scoraggiatevi subito quando fate le prove, bisogna un attimo prendere la mano con i vari controlli e pulsantini a disposizione.

Non sono riuscito a utilizzare tutti i controlli disponibili, alcuni sembrano essere collegati a particolari funzioni che, in questo momento, non mi interessava approfondire.

crazy.cat

Fonte: https://turbolab.it/windows-10/creare-modulo-compilabile-pdf-libreoffice-3

Share

LibreOffice, openofficeorg, software, tipstricks

Le olimpiadi e l’orticaria

18 novembre 2016

“Lo sport è bello perché non è sufficiente l’abito. Chiunque può provarci”.
(Pietro Mennea)

Le Olimpiadi Italiane di Informatica (OII) sono un evento organizzato da AICA, Associazione Italiana per l’Informatica ed il Calcolo Automatico, insieme al MIUR, Ministero dell’Istruzione, dell’Università e della Ricerca, nato con l’intento di promuovere nei giovani studenti delle scuole secondarie superiori italiane lo studio e la conoscenza delle discipline legate all’informatica attraverso la partecipazione a una competizione. Gli “atleti” sono chiamati a risolvere dei problemi mediante la definizione di algoritmi e la loro implementazione tramite lo sviluppo di programmi di calcolo. La manifestazione vale anche come selezione per la partecipazione alle Olimpiadi Internazionali di Informatica (International Olympiad in Informatics, IOI), che si tengono ogni anno, dal 1989, in una nazione diversa. Occasioni uniche, dunque, per far crescere i ragazzi a “pane e software”.

Come ogni olimpiade che si rispetti, ci aspettiamo che le regole seguano gli standard. Ve l’immaginate una gara di lancio del disco dove gli atleti usano dischi di forma e peso diversi? o una gara di canottaggio dove c’è chi rema e chi va a motore? Fuor di metafora: che tipo di strumenti vengono messi in mano agli “atleti” dell’informatica? Nella speranza che il software libero fosse al centro di competizioni come queste, siamo andati a vedere. E in generale non siamo stati delusi. Anzi, abbiamo visto cose molto interessanti. Con qualche caduta di stile.

Ma andiamo con ordine.

Il regolamento di gara è in genere lo stesso tutti gli anni: un docente-referente registra le sue credenziali (e-mail, nome utente e password) nell’apposito sito, a cui potrà accedere il giorno stabilito per reperire i file oggetto della prova. Nel regolamento dell’anno scorso era previsto testualmente “un servizio di emergenza via fax oppure e-mail per quelle scuole che riscontreranno problemi nel reperimento dei file. La segnalazione della eventuale inaccessibilità dovrà essere fatta personalmente dal Referente, che verrà identificato attraverso username e password e al quale verranno comunicati i recapiti da utilizzare”.

Lo confessiamo: l’idea che nel XXI secolo degli informatici comunichino con altri informatici via fax, scambiandosi nome utente e password su dei fogli di carta (o anche in chiaro nel testo di una e-mail) come niente fosse, è raccapricciante, e ci ha provocato un principio d’orticaria. L’orticaria è cominciata a passare solo quando abbiamo scoperto con sollievo che il regolamento di quest’anno non prevede l’utilizzo del fax; passerà del tutto forse il prossimo anno, quando magari non sarà più necessario dover scrivere una password dentro una mail.

Lo scorso anno il regolamento prevedeva anche che “la comunicazione dei dati degli atleti avverrà mediante la compilazione di un foglio in formato Excel opportunamente predisposto…”. Abbiamo avuto un altro attacco d’orticaria, anzi due, anzi tre: il primo perché Excel è un programma commerciale per la creazione di fogli di calcolo e NON un formato di file; il secondo perché alle Olimpiadi (quelle vere) i giudici usano il Sistema Internazionale per misurare le prestazioni degli atleti (il metro per misurare i salti e i lanci, il secondo per le corse, il chilogrammo per il sollevamento pesi…) e non si capisce perché per le OII si obblighino le scuole a comprare un metro apposta, fuori standard (leggi: un software proprietario per aprire e modificare un file non standard); il terzo perché in quell’opportunamente predisposto temiamo possa nascondersi una macro di cui nessuno, crediamo, sente il bisogno.

Il regolamento di quest’anno prevede pari pari la stessa procedura stile INVALSI e stesso “foglio in formato Excel opportunamente predisposto”, per cui l’orticaria non è ancora guarita. Speriamo che l’anno prossimo si decida di usare il metro per i salti, il secondo per le corse e il chilogrammo per il sollevamento pesi, anziché lo stadio, il centigiorno e l’oncia, e le scuole non debbano dotarsi di programmi proprietari per aprire formati di file proprietari.

Al di là di queste cadute di stile c’è da dire che gli organizzatori hanno messo a disposizione delle scuole e degli studenti una nutrita serie di strumenti liberi: IDE, compilatori e addirittura l’intero ambiente di gara, ovvero una macchina virtuale, utilizzabile con VirtualBox, identica all’ambiente utilizzato per le gare, che è un sistema operativo Ubuntu Linux, che gli studenti possono scaricare liberamente e avviare per potersi allenare.

Che vinca il miglior software, dunque. Anche per la comunicazione dei dati.

Marco Alici

Fonte: http://www.techeconomy.it/2016/11/18/le-olimpiadi-lorticaria/

Share

LibreOffice, linux, microsoft, news, riflessioni, scuola, software

Come aggirare l’autenticazione su alcuni sistemi Linux?

17 novembre 2016

space-19070_640Aggirare le procedure di autenticazione su alcuni sistemi potrebbe rivelarsi un gioco da ragazzi: semplicemente tenendo premuto il tasto Invio per circa 70 secondi è possibile aprire una Shell con privilegi di Root ed ottenere il controllo remoto completo della macchina.

Il problema è legato ad una vulnerabilità di , codificata come CVE-2016-4484, nella implementazione dell’utility cryptsetup.

La falla è stata scoperta dai ricercatori di sicurezza spagnoli Hector Marco e Ismael Ripoll e ne sono affette alcune tra le principali distribuzioni Linux, comprese Debian, Ubuntu, Fedora, Red Hat Enterprise Linux (RHEL), e SUSE Linux Enterprise Server (SLES). Milioni di utenti Linux sono quindi potenzialmente a rischio.

Una vulnerabilità in cryptsetup, precisamente negli script che sbloccano la partizione di sistema cifrata quando è protetta usando LUKS (Linux Unified Key Setup).” riporta l’advisory di sicurezza pubblicato dagli esperti.

Vediamo cosa accade nella realtà. Lo script affetto dalla falla fornisce all’utente una Shell quando questi raggiunge un numero specifico di tentativi errati. L’intento è quello di consentire la risoluzione di eventuali errori, tuttavia tale Shell è istanziata con privilegi di Root con ovvie ripercussioni sulla sicurezza della macchina. In realtà i dati presenti sulla partizione cifrata sono ancora criptati, ma la restante parte del sistema è alla mercé dell’attaccante.

Gli attaccanti possono copiare, modificare o distruggere l’hard disk così come esfiltrare dati attraverso la rete. Questa vulnerabilità è particolarmente grave in ambienti come gli ATM, macchine in uso negli aeroporti, laboratori, etc., ovvero là dove l’intero processo di boot è protetta (password nel BIOS e GRUB).

Il bug risiede nella modalità in cui l’utility cryptsetup gestisce il processo di decifratura mediante password all’avvio del sistema, processo che contempla possibili errori di immissione da parte dell’utente.

Anche se l’utente ha esaurito tutti i 93 tentativi di immissione della password, si vedrà quindi presentare una Shell. Con diritti di Root.

Semplicemente tenendo premuto il tasto Invio per più o meno 70 secondi l’utente avrà accesso a tale Shell (initramfs) che gli permetterà di accedere al file system locale. La cattiva notizia è che il difetto è anche sfruttabile in remoto dagli attaccanti: questo è il caso dei servizi basati su cloud in esecuzione su macchine Linux, che potrebbero essere prese di mira dagli hacker.

Gli esperti hanno sottolineato il fatto che in ogni caso l’attaccante non è in grado di accedere ai contenuti del disco criptato, mentre sono abilitati all’esecuzione delle seguenti operazioni:

  • elevare i privilegi
  • accedere alle informazioni sulla macchina non cifrate
  • interferire con il corretto funzionamento della macchina.

Al fine di risolvere il problema, è necessario verificare la disponibilità di una patch. Il problema può essere semplicemente risolto anche modificando il file /scripts/local-top/cryptroot al fine di limitare il numero di tentativi di password e interrompere la sequenza di avvio quando viene raggiunto il numero massimo previsto.

linux

È possibile aggiungere i seguenti comandi per la configurazione di avvio:

sed -i ‘s / GRUB_CMDLINE_LINUX_DEFAULT = “/ GRUB_CMDLINE_LINUX_DEFAULT =” panic = 5 /’ / etc / default / grub grub-install

Alla prossima!

Pierluigi Paganini

Fonte: http://www.techeconomy.it/2016/11/17/come-aggirare-autenticazione-su-sistemi-linux/

Share

distribuzioni, linux, software, tipstricks

IoT sotto attacco: Mirai e i suoi derivati “Made In Italy”

9 novembre 2016

cyber-security-1784985_1280Il mese di Ottobre 2016 sarà ricordato come il mese in cui “qualcuno” ha davvero fatto il take down di Internet, come già Bruce Schneier aveva preannunciato a Settembre, in un ormai famoso articolo dal titolo: “Qualcuno sta imparando a tirare giù Internet”.

E così è stato, sebbene già a Maggio i segnali provenienti da altre parti facessero rilevare che nuove tipologie di malware stavano oramai prendendo di mira telecamere IP, router e tutto quel mondo di oggetti che va sotto il nome di Internet of Things (IoT).

A dare il primo allarme in quel di Maggio è stato il gruppo dei Cavalieri di MalwareMustDie, un gruppo unico al mondo che unisce un altissimo livello tecnico nell’analisi dei malware ad una spinta ideale raramente reperibile nel mondo di oggi, ovvero la gratuità del lavoro No-Profit con lo scopo di combattere per un mondo Internet più sicuro.

Furono proprio loro a sostenere, nell’indifferenza generale, che qualcuno stava infettando le webcam e se ne accorsero tracciando e monitorando il traffico su scala planetaria.

1

Figura 1. MalwareMustDie lancia l’allarme sulle Telecamere IP

Ma perché attaccare le IoT?

E, soprattutto, a che scopo? Lo scopo è quello di generare botnet sempre più potenti, con un numero di nodi infettati sempre maggiore, nodi che si muovono all’unisono come un oceano di zombie pronti ad aggredire di volta in volta un singolo bersaglio: un’aggressione compiuta allo scopo di mettere il target fuori uso mediante quello che in gergo si chiama attacco DDoS (Distributed Denial of Service).

Le botnet sono come dei cannoni che sparano “traffico” di enormi proporzioni in una direzione precisa, con lo scopo di far “scomparire” letteralmente i siti che bombardano. Le ragioni possono essere molteplici e vanno dall’estorsione all’attivismo politico di varia natura.

La scoperta di

Lo stesso gruppo di Cavalieri MalwareMustDie, proprio inseguendo la pista individuata a Maggio, scopre un mese dopo un nuovo malware e come da loro costume coniano un nome che diverrà presto famoso, anzi famigerato: Mirai.

2

Figura 2. La scoperta di Mirai corredata da un’approfondita analisi sul blog di MalwareMustDie

Dalle loro analisi arguiscono che si tratta di un vecchio malware “riciclato” e riadattato, come spesso accade, per attaccare soprattutto le telecamere IP, basate su sistema operativo Linux. Queste sono oggetto di grande interesse perché hanno un lato debole essenziale: sono installate spesso senza che vengano cambiate le password di default. Inoltre sono spesso non presidiate, non sono munite di antivirus e chi le usa difficilmente si accorge che sono state infettate. Infine, anch’esse del resto sono su Internet.

Le telecamere IP quindi rappresentano i dispositivi ideali, perché le password si scoprono dopo pochi tentativi e spesso sono “admin, password123, 12345, root”. Queste sono scolpite nel codice di Mirai che prova a rotazione ciascuna di esse, fin quando non riesce a trovare quella giusta affinché il nodo infetto sia finalmente pronto per ricevere ordini e compiere azioni criminali.

Prime gesta criminali contro i nemici di sempre

Tra le azioni criminali recenti si annovera quanto accaduto a Brian Krebs, giornalista investigativo ed esperto di sicurezza, il cui sito KrebsOnSecurity è stato vittima di un attacco che lo ha reso inutilizzabile a seguito un bombardamento di traffico dalla potenza mai rilevata prima.

Akamai, azienda specializzata nella protezione dei siti web, ha dichiarato che l’attacco è stato sferrato da circa un milione e mezzo di device sparsi in tutto il mondo, asserendo che una considerevole percentuale di questi era infettata proprio da Mirai.

Figura 3. Una rappresentazione planetaria delle infezioni di Mirai

Figura 3. Una rappresentazione planetaria delle infezioni di Mirai

Ma erano solo le prove generali e per assistere alla prima e vera dimostrazione di forza mancava solo qualche settimana.

E come aveva profetizzato sempre Schneier – citato all’inizio dell’articolo – il bersaglio in questo caso, per “tirare giù Internet”, poteva anche essere uno dei componenti chiave della sua infrastruttura, il DNS, e cosi è stato. Il 21 ottobre molti siti sono diventati irraggiungibili: qui sono riportati i dettagli, le sequenze dell’evento e l’intensità del traffico rappresentato in una mappa che mostriamo anche di seguito.

Figura 4. Le zone “bombardate” dall’immensa quantità di traffico delle botnet

Figura 4. Le zone “bombardate” dall’immensa quantità di traffico delle botnet

Piccoli hacker italiani crescono: il malware Made in Italy

La scorsa settimana sempre i Cavalieri di MalwareMustDie scoprono un nuovo malware e lo chiamano IRCTelnet (“New Aidra”), rilasciando il giorno stesso un’intervista al sottoscritto.

Figura 5. Intervista a MalwareMustDie sul nuovo malware “Made In Italy”.

Figura 5. Intervista a MalwareMustDie sul nuovo malware “Made In Italy”.

La novità assoluta, in questo caso, è che all’interno del malware trovano delle frasi in italiano, le quali fanno presagire, insieme con altre evidenze, che l’autore del malware possa essere davvero italiano. Va sottolineato che questa “italianità” del malware poteva dare adito a formulazioni di nomi in codice irrispettosi per l’Italia, cosa che MalwareMustDie ha, molto professionalmente evitato di fare.

Ecco le frasi contenute nel codice binario di IRCTelnet.

Figura 6. Messaggi in italiano dimenticati nel codice del malware

Figura 6. Messaggi in italiano dimenticati nel codice del malware

Il malware IRCTelnet sembra più pericoloso di Mirai perché fa quello che Mirai non faceva, ovvero usare il vecchio schema delle botnet IRC (Internet Relay Chat) connettendo le telecamere IP infettate al sistema per chattare su Internet con tanto di “stanze”, amministratori e utenti che si connettono per chiacchierare. Quello che si dice in una stanza è “visto” da tutti gli utenti che sono connessi: se questi utenti sono i device infettati, all’amministratore della stanza basta digitare un comando perché esso possa essere ricevuto da tutti i device.

La scoperta di MalwareMustDie è notevole, ma il fatto che l’Italia sia coinvolta non è affatto una bella notizia, né è una bella notizia che, in questo caso, l’Italia sia all’avanguardia nella creazione di malware che infettano il mondo delle “cose”.

Durante la fase di analisi, il gruppo di MalwareMustDie riesce ad entrare nella stanza dove gli zombie si connettono per riceve ordini: si comporta come un device infettato registrando quello che avviene (log) ed accorgendosi dell’enorme potenziale distruttivo che si va via via accumulando.

Secondo lo studio riportato da MalwareMustDie, gli zombie connessi in pochi giorni erano già diventati circa 3.500, il che vuol dire che altrettante erano le telecamere IP infettate al momento in cui l’analisi veniva redatta. Ad ognuna di esse dalla stanza arrivavano comandi di “scansione” della rete circostante alla ricerca di altre telecamere da infettare per far crescere il numero degli zombi. Insomma, agli infettati veniva chiesto deliberatamente di ricercare ed infettare i vicini.

Una nota ulteriormente negativa viene dagli antivirus: a riconoscere il malware sono tuttora ancora in pochi e gli stessi antivirus scambiano IRCTelnet spesso con malware di altre famiglie, producendo un’azione di contrasto che spesso non è in grado di disinfettarlo opportunamente.

C’è da dire che una volta scoperta, la botnet formata con il malware IRCTelnet è stata smantellata dal suo stesso autore quando il report di MalwareMustDie è comparso sul blog: troppo clamore e i criminali hanno preferito dileguarsi e tornare nell’ombra.

Anche questo è uno degli effetti dell’azione di contrasto: possiamo dire che almeno in questo caso la consapevolezza ha neutralizzato “indirettamente” l’attacco.

Odisseus

Fonte: http://www.techeconomy.it/2016/11/09/mirai-e-i-suoi-derivati-made-in-italy/

Share

grandefratello, hotnews, news, numeriuno, riflessioni, software, tipstricks

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi