Archivi tag: networking

Proposte per il 22 giugno

Il 22 giugno, presso lo IULM di Milano, si terrà una manifestazione dal titolo “Condividi la Conoscenza“, che si vuole proporre come punto di partenza e riflessione sull’impatto dei “nuovi media” sulla nostra vita, sulla politica e sull’industria.

Chiamato alle armi dal buon Fiorello Cortiana, ho provveduto questa sera a proporre 3 diversi “nodi di riflessione” a mio avviso particolarmente importanti, e sui quali invito tutti a discutere e confrontarsi. Li riporto anche qui, per dare ulteriore risalto alla lodevole iniziativa.

Quantificazione del valore virtuale
Parlando con un caro amico, non molto tempo fa, mi faceva notare quanto fosse difficile investire in “innovazione” e “nuove tecnologie” in Italia, senza avere adeguati fondi alle spalle.

Questo perchè le banche e le società di venture e capitali, nel nostro paese, misurano ancora la bontà di una proposta di investimento in base alle immobilizzazioni materiali che il richiedente può portare. Questo aspetto è stato ulteriormente evidenziato quest’oggi durante un incontro presso il Politecnico di Milano, al quel ho partecipato.

Nel campo della cultura, quali immobilizzazioni possono essere “spese” per ottenere un investimento? Praticamente solo brevetti e diritti d’autore o di “proprietà intellettuale” (detesto questo termine, perdonatemi), che a mio avviso sono solo briglie e freni all’innovazione, alla produzione di cultura ed alla sua diffusione.

E’ assolutamente necessario che si faccia una seria riflessione, e si trovino delle proposte applicabili ed efficaci, per consentire una quantificazione oggettiva della bontà di un investimento in un ambito come quello della cultura, o dell’industria del software, dove le immobilizzazioni materiali non hanno praticamente necessità di esistere.

Pubblico dominio materiale
Quando si parla di “proprietà pubblica”, si pensa sempre ad aquedotti, autostrade, ferrovie. E quando queste proprietà vengono in qualche modo intaccate dalle privatizzazioni, si sentono salire urla di protesta. Tutto corretto, tutto assolutamente condivisibile, ma tutto, strettamente, materiale.

La privatizzazione delle infrastrutture di comunicazione, tanto importanti per la produzione e la diffusione della conoscenza, non arreca forse un danno paragonabile, se non superiore, alla privatizzazione di acquedotti, autostrade e ferrovie?

Come può una rete di larga banda (ma anche una rete di fonia, o la semplice proprietà ed efficienza di una emittente televisiva statale di qualità) che si confronta con mere logiche di profitto, senza tener conto di quelle che sono le esigenze culturali dei cittadini?

Bisogna che si prenda coscenza che l’infrastruttura di rete e (tele)comuncazione del nostro paese è un bene primario per la stessa economia italiana, e come tale, va difesa e rigidamente controllata.
La rete internet italiana non può essere in mano ad un monopolista (in palese conflitto di interessi, tra l’altro) come Telecom, i cui disservizi sono ormai divenuti barzellette fuori dai confini del nostro paese.

Riduzione del Digital Divide
Il termine “digital divide” purtroppo viene usato in modo piuttosto variegato, quindi la riduzione dello stesso è qualcosa di poco tangibile.
In questo caso, per “digital divide” intendo il divario culturale che impedisce a tutti i cittadini di fruire liberamente dell’innovazione (altro termine abusato, a mio avviso), di fatto creando cittadini di serie A e cittadini di serie B, e contribuendo quotidianamente ad ingigantire questo divario.

A mio avviso sarebbe necessario riflettere su quali ragionevoli proposte possano essere avanzate per combattere efficacemente questo problema.

Un punto da tenere presente è che piu che stimolare un’offerta (formativa?) che già per altro esiste, anche in maniera alquanto diffusa, e prima ancora di trovare i criteri economico/fiscali atti a spingere questa “riduzione”, è importante comprendere che va stimolata la richiesta stessa, rendere i cittadini stessi partecipi di questo processo, perchè nessun tipo di forzatura, nel campo della conoscenza, è in grado di portare benefici a medio/lungo termine.

Eh????

Dialogo con un cliente:

Io: Ciao a tutti… come va oggi?
Cl1: Ciao Giacomo… tutto bene, ci sarebbe giusto da attivare un’altra presa sulla torretta in ufficio…
Io: Cioè?
Cl1: Niente, abbiamo finito le prese di rete dei pc, e bisognerebbe attivarne un’altra…

Vado a chiedere informazioni all’amministratore di rete “generale” (il cliente è ospite di una struttura condivisa)

Io: Salve, devo attivare una presa su una torretta. Che devo fare?
Adm: Oh, nulla. In sala macchine trovi un paio di terminazioni… in alto ci sono quelli che vengono dalle torrette, in basso quelli che vanno verso la rete…
Io: Ok… /* Puzza di guai… */

Vado in sala macchine, e questo è lo spettacolo che mi trovo davanti. Cosa dovrei fare io???

groviglio.jpg

PS: Alla fine ce l’ho fatta… ne ho collegate 3, cosi per qualche tempo non dovrò piu cacciare le mani… “li dentro” :/

Il giorno che l’Italia scopri l’infrastruttura di Rete

Andamento in borsa di Telecom (ultimo mese)Impazza in questi giorni la discussione riguardo Telecom e le offerte per il suo acquisto provenienti dalla cordata messicano-statunitense della AT&T. L’offerta pervenuta al CDA dell’azienda di telecomunicazioni italiana infatti, è molto allettante (oltre 2.82 euro per azione, quando il loro valore prima che si diffondesse la notizia dell’offerta si assestava intorno ai 2,13) ed ha già portato un notevole incremento del valore delle azioni stesse in borsa (con l’impennata di ieri, il titolo è passato da 2,13 a 2,34 euro per azione) che taglierà ulteriormente fuori dai giochi la fantomatica cordata italiana che avrebbe dovuto fronteggiare “lo straniero” e assicurare Telecom a mani italiane.

La preoccupazione, stranamente, dei politici e dei giornalisti (e dei cittadini di conseguenza) è in particolarmente puntata sull’infrastruttura di rete, che (paradossalmente) è di proprietà di Telecom, nonostante sia un bene prezioso per la vita stessa dello Stato, mettendosi al riparo da pericolose ingerenze straniere, e per garantire la concorrenza sul mercato (cosa di cui ci si lagna già da parecchio tempo ormai nel settore). Dopo aver malamente svenduto un bene dello Stato in una pura ottica di privatizzazione barbara, buttanto letteralmente nel cesso miliardi di investimenti (Telecom vanta tra le altre cose una grossa rete in fibra ottica, già posata, completamente in disuso) e senza l’accortezza di dividere il controllo del mezzo fisico dalla fornitura dei servizi, ora lo Stato (nella sua accezione piu generale, inteso come “i cittadini italiani”) si rende conto che la sua libertà di comunicazione (e di intercettazione, ho letto, “doh!”) è in pericolo. Te la sei cercata, Italia. Te la sei cercata come cercano la multa coloro che superano la coda sulla corsia d’emergenza. Hai voluto far la furba? Ed ora resti scottata.

A questo punto, quello che spero sincerament, è che il Governo Prodi metta da parte il buonismo che ostenta per paura di critiche, e faccia (anche in questo caso) il bene del Paese, separando per legge infrastruttura fisica e fornitura del servizio (e ci sono motivazioni a livello di concorrenza che metà bastano, per farlo). Questo era già nei piani di Rovati in realtà, ma il buon Tronchetti Provera, che deteneva il controllo di Telecom (e la sua presidenza) con il suo 0,8% di azioni, non aveva trovato l’iniziativa di suo gradimento, e non se ne era fatto piu nulla.

Ora è giunto il momento di fare le cose con la forza. Statalizzare l’infrastruttura. Come sono/devono essere statali le autostrade, gli acquedotti, la rete elettrica, l’acqua…

Motori di ricerca e Privacy

Presso la sede di OpenLabs, esporrò lunedi 26 marzo i risultati della mia “ricerca” relativa a privacy e motori di ricerca, svolta soprattutto analizzando le privacy lines attuali di Google (ma applicabile anche agli altri motori di ricerca) e cercando di vedere le cose con un’ottica d’insieme che troppo spesso tende a sfuggire.

Finalmente due minuti…

Finalmente riesco a ricavarmi due minuti per scrivere sul blog… Non che non abbia niente da fare (figuriamoci) ma semplicemente il prossimo “step” può essere rimandato di qualche minuto.
Gli impegni sono soprattutto lavorativi ed associativi, ma si accavallano gli uni sugli altri al punto da non lasciare tregua. Ho passato tutto il tempo libero delle ultime giornata lavorando al bugfix di Geson, lo strumento di gestione integrata dei soci di OpenLabs, che era dismesso ormai da un paio d’anni (da quando è stato scritto praticamente). Ora esegue correttamente le ricerche in base alla tipologia di socio e stampa il formulario di iscrizione/rinnovo direttamente dall’interfaccia. Prima, ho lavorato ad una nuova versione delle slides sul “Man In The Middle”, aggiungendo un paio di informazioni aggiuntive e rivedendo i concetti espressi (malamente devo dire) 2 anni fa (le slides sono qui), ed esposto il tutto lunedi sera in Sede. Martedi sera è stato il turno dell’ultima lezione del corso “Primo livello”, che ripartirà poi il 20 di marzo con un’altra, se non due, nuove sessioni, in parallelo praticamente ad una, se non due, sessioni del corso “Secondo livello” di cui il materiale è tutto da produrre.

In piu c’è tutto il lavoro di preparazione dell’Assemblea dei Soci che si terrà il 12 aprile. Modifiche statutarie, relazioni sugli eventi, corsi e sistemi (di cui sono responsabile io), le convocazioni da fare…

A questo, si aggiungono l’organizzazione dell’uscita sociale del 17 marzo (visita all’Osservatorio Astronomico di Castione della Presolana con cena “locale”), la preparazione di quel che dovò raccontare il 16 al TGIF (che devo preparare, se no…)…

Ovviamente questo per quel che riguarda la sola associazione
Per quel che invece riguarda il lavoro abbiamo: seguire i diversi clienti in giro per la Lombardia (in questo momento mi trovo a fare presidio a Magenta, con 3 macchine infettate da un trojan di cui bisognerà comprendere i meccanismi di funzionamento e rimozione), nuovi e vecchi clienti che reclamano le giuste attenzioni, la sperimentazione sul VoIP… insomma… un casotto.

In piu, c’è il sole fuori, e avrei voglia di andarmene in giro in bicicletta, giusto per far svegliare le zampe che sono sostanzialmente ferme praticamente da fine ottobre…

E per fortuna che non sono ancora cominciati i corsi in Università…

Compatibilità sono due lettere…

La compatibilità tra browser diversi è uno dei problemi maggiori nei confronti dei quali gli sviluppatori di WebApps di devono confrontare quotidianamente. Un browser che implementa qualcosa, l’altro che no, o che la implementa diversamente. Necessità di codice customizzato, generato a partire da informazioni che non sono mai sicure… insomma, un vero casino.

Ma a volte, sarebbe sufficiente davvero un briciolo di buona volontà… Questa mattina siamo stati presso un grosso cliente a consegnare alcune macchine client GNU/Linux, basate su DSL ed equipaggiate con il browser SeaMonkey, che partono da una eprom flash su macchine fan-less.

Fatti i test previsti, constatato che tutto funziona correttamente, siamo andati da un altro cliente (da cui mi trovo tutt’ora). Dopo meno di 3 ore, chiamano dal grosso cliente dicendo che “qualcosa non funziona”.

Sotto la guida di uno di loro, riesco a raggiungere il form “html + javascript” su cui SeaMonkey tira le quoia. Firebug alla mano, scopro che il problema è un errore, legato ad una funzione che non esiste:

document.getElementById("IdName").click()

Fruga fruga fruga, scopro che “IdName” è un tag di tipo Anchor, e che l’implementazione del click su questi elementi non è standard, ma implementata da Microsoft Internet Explorer, eseguendo il contenuto della sezione “onClick” legata a quel tag. Ottimo. Splendido. L’applicazione non si può modificare (roba della casa madre), e quindi quella parte del sito non potrà essere utilizzata per lo scopo previsto (pare si possa farne a meno).

E sapete cosa sarebbe stato sufficiente fare per far funzionare il tutto sui due browser? Chiamare la funzione “onClick” invece che “click”…

Aggiornato: “I Denial of Service”

Ho aggiornato la presentazione sui Denial of Service in vista dell’evento di questa sera in OpenLabs, che sarà oltretutto il primo ad essere trasmesso in streaming dalla sede.

E’ stata una buona occasione per rivedere qualche concetto ed apportare qualche correzione principalmente dovuta alla maggior esperienza accumulata in questi ultimi anni su reti e formazione.

Inoltre, dopo aver letto un interessante case report su un attacco DRDoS, ho ritenuto opportuno inserire questo tipo di attacchi tra quelli trattati dal talk.

Talk in OpenLabs: Denial of Service

Lunedi 12 febbraio terrò in OpenLabs una presentazione dedicata agli attacchi di tipo “Denial of Service”.

E’ stata una buona occasione per rivedere (ed ampliare ) qualche concetto legato a questa metodologia di attacchi, introducendo tra l’altro gli interessanti attacchi DRDoS.

Http server: linux piu sicuro di Windows (?)

ApacheHo trovato su del.icio.us un link che porta ad una interessante ricerca condotta da Richard Stiennon e pubblicata sul suo blog presso ZDnet (le immagini sono state realizzate e fornite da Sana Security).

Lo scopo di questa ricerca è definire un metro di paragone per giudicare la sicurezza di un server http su linux (utilizzando Apache) e su Windows Server (utilizzando IIS). Il metro di giudizio, secondo Stiennon, potrebbe essere identificato nel numero e nella complessità delle relazioni tra le chiamate di sistema che vengono fatte al fine di produrre il risultato (in questo caso, la pagina HTML da spedire al browser). Le chiamate di sistema infatti, sono quelle che espongono a problemi il sistema a fronte di un bug nel webserver, in quanto sono quelle che consentono di portare a buono fine un attacco di tipo (ad esempio) buffer overflow.

IISPer verificare questa teoria, Sana Security ha mappato un grafico di complessità relativo ai due sistemi, ed ecco cosa ne emerge. La prima immagine (in alto) si riferisce alle chiamate di sistema che Apache fa al kernel Linux a fronte di una richiesta. Qui a fianco invece, vediamo il grafico relativo alle chiamate portate dal webserver Microsoft IIS ad un sistema Windows Server.

La differenza di complessità può lasciare davvero sbalorditi e portare ad affermare che “Linux è piu sicuro di Windows”, ma ci sono da fare un paio di precisazioni molto importanti da questo punto di vista.

  1. Stiamo facendo riferimento ad server web. Non si deve assolutamente generalizzare prendendolo come paragone per l’intero sistema.
  2. Non abbiamo a disposizione particolari riferimenti riguardo alle modalità con cui quei grafici sono stati generati. Non sappiamo ad esempio se si tratta di una semplice richiesta di una pagina HTML o dell’elaborazione di uno script PHP che interagendo con MySQL porta alla produzione di tale pagina (il primo caso essendo sicuramente meno vulnerabile ad attacchi di tipo buffer overflow, non potendo introdurre codice arbitrario). Allo stesso modo non abbiamo riferimenti sulle versioni dei software utilizzati.

Fatte le debite precisazioni, cerchiamo di cavare qualcosa di buono da quanto “scoperto”.
Possiamo dire che la complessità del server web IIS è davvero spaventosa. Mi chiedo da chi sia stato progettato, sembra tutto fuorchè modulare (un webserver della complessità di IIS o Apache è sicuramente terreno adatto all’applicazione delle teorie di Ing. del Software).

Al di la del maggior numero di chiamate di sistema che questo pastruglio lo porta a fare, mi immagino un codice piuttosto spaghettizzato, e sicuramente piu difficilmente mantenibile rispetto a quello che potrebbe essere il codice di Apache.

Leggendo poi tra i commenti al post di Stiennon, mi sono imbattuto nell’affermazione che Apache è stato maggiormente violato rispetto a IIS secondo le classifiche di Zone-H. Potendo con buona approssimazione considerare il citato documento come attendibile (nonostante si riferisca a quanto accaduto durante l’anno 2005, in quanto le statistiche del 2006 non sono ancora disponibili), dobbiamo però notare che l’autore del commento ignora completamente il fatto che fin dal 2004 la stragrande maggioranza degli attacchi vengono condotti a livello applicativo, quindi nei confronti di PHP e MySQL quindi, o ASP e MsSQL (a pagina 17 delle citate statistiche trovate le percentuali relative alle tipologie di attacco), indipendentemente dal webserver installato.
Anche nel merito, però, l’autore del commento sbaglia. Osservando la pagina 14 del pdf infatti, notiamo che i due server web sono in sostanziale parità.

Inoltre, Apache è largamente piu diffuso di IIS sul web. Secondo le statistiche di febbraio di NetCraft.com, nonostante sia in letterale caduta libera (argomento sul quale ci sarebbero da fare profonde riflessioni), Apache detiene ancora quasi il 59% del mercato dei WebServer, mentre IIS di Microsoft si attesta intorno al 31%. Questo rende 2 volte piu probabile imbattersi in un webserver Apache che in un webserver IIS, e ciò spiega (in parte) il maggior numero di violazioni segnalate su piattaforme su cui è installato Apache.

In piu, c’è da dire che le statistiche di Zone-H vengono elaborate sulla base degli attacchi segnalati, ma (come dicevo) non tutti gli attacchi sono condotti direttamente nei confronti del webserver. Con un attacco di tipo SQL Injection, poco c’entra il tipo di webserver utilizzato. Oltretutto mentre Apache è disponibile anche su piattaforme Microsoft Windows, IIS non è disponibile su piattaforme Linux, quindi i dati sono ancora meno ricollegabili alla reale sicurezza dei due sistemi operativi.

Piu senso avrebbe quindi riferirsi al tipo di piattaforma che ospita il webserver (questo non elimina però il discorso legato alla metodologia di attacco, che spesso e volentieri non coinvolge direttamente ne il webserver ne tantomeno il sistema operativo), ed osservando questo dato sulle statistiche relative al 2005 fornite da Zone-H (attendo con ansia quelle relative al 2006), emerge una sostanziale parità tra i sistemi Windows ed i sistemi Linux.

Nel quadro complessivo, a mio avviso, l’unica cosa seria che possiamo dire è che IIS è estremamente piu complesso di Apache (almeno per quel che riguarda le versioni prese in considerazione), e le uniche conclusioni che si possono da questo estrapolare, sono probabilmente legate alla maggior difficoltà di manutenzione del software, ma anche, tutto sommato, la maggior messa a disposizione di risorse agli attaccanti (precisando naturalmente che per sfruttare queste risorse sono necessarie ben piu gravi violazioni ai servizi dei livelli superiori).