Oggi, 30 Luglio 2010, (ultimo venerdì del mese) ricorre l’undicesima giornata di apprezzamento per gli amministratori di sistema: http://sysadminday.com/.
Auguri a tutti i sistemisti!
Datevi da soli una pacca sulle spalle perché, come sapete benissimo, nessun altro lo farà! 
Tralasciando i vari aggiornamenti di WordPress, arrivato alla versione 3.0, e i problemi di Apple con il suo iPhone 4 che non funziona (il fatto che ci siano anche altri prodotti simili che abbiano dei problemi non è una scusante per nessuno, caro Jobs, come se fossimo ad una fiera delle mediocrità) e che tenta in tutti i modi di censurare i propri forum per evitare una class action dalle proporzioni immani, parliamo di una buona notizia.
E’ annuncio di pochi giorni fa che l’intera root zone dei server DNS è stata blindata tramite firme digitali, ovvero è stata messa in piena funzione l’estensione DNSSEC (DNS Security Extensions). L’annuncio è stato dato da ISC, Internet Systems Consortium (che tra le altre cose sviluppa e mantiene il software BIND, servizio di DNS più usato e diffuso nel mondo), ed è consultabile a questo indirizzo: http://www.isc.org/press-release/isc-praises-momentous-step-forward-securing-domain-name-system.
In poche parole il lavoro per la root zone dei DNS (i server DNS principali su cui si basa la gerarchia delle risoluzioni dei nomi di dominio di tutta la rete internet), durato diversi mesi durante i quali sono state fatte parecchie valutazioni e test, è stato portato a termine con successo. Oggi quindi i dati che vengono scambiati da questi server DNS sono firmati digitalmente e gli attacchi di tipo man-in-the-middle non sono più possibili.
Ora ci si aspetta che questo tipo di estensioni e funzionalità siano estese anche agli altri livelli di gerarchia dei servizi DNS in modo da ridurre drasticamente tutta una serie di attacchi che ancora oggi sono possibili e rendono insidiosa la navigazione quotidiana di qualsiasi utente poco avveduto.
Dopo le ammissioni in casa Microsoft riguardanti fix a problemi di sicurezza che vengono silenziosamente aggiunti e quindi non documentati e resi pubblici (http://www.pcworld.com/article/197410/microsoft_official_admits_to_quiet_security_patching.html), anche per Apple è tempo di fix silenziosi a problemi spinosi.
Il recente aggiornamento alla versione 10.6.4 del proprio sistema operativo nasconde un fix per un trojan che si è diffuso solo nel sistema operativo della mela, creando una backdoor e facendo diventare degli zombi tali macchine infette. La notizia viene data da Sophos, un’azienda software che sviluppa sistemi antivirus, mentre non ne è fatta menzione alcuna nell’aggiornamento di sicurezza di Apple.
Il perché di tutta questa segretezza sinceramente mi sfugge e mi preoccupa molto. Apple è una di quelle società che si basa principalmente sull’aspetto esteriore, investendo sulla propria immagine e dei propri prodotti prima ancora delle effettive funzioni e funzionalità degli stessi. E’ meglio nascondere certe informazioni e far finta di niente piuttosto che informare i propri clienti sui comportamenti corretti da tenere. Ed è proprio grazie a questo comportamento che troviamo nei negozi Apple i commessi (non sono certo degli informatici) che ci dicono che tali sistemi sono esenti dai virus e dai problemi di sicurezza tanto da sconsigliare l’uso di un antivirus (http://www.pcworld.com/article/199299/did_apple_update_macs_malware_protectionbut_not_tell_anyone.html).
Oltre a cercare di capacitarmi di questi comportamenti e di far tenere alta la guardia ai clienti Mac, nel frattempo dovrò dedicarmi ad un server Apple Intel che venerdì scorso ha ben pensato di guastarsi intorno alle 18, facendomi concludere in bellezza una lunga settimana lavorativa. Oltre ai costi proibitivi per queste macchine rispetto a server della stessa fascia ma senza una mela disegnata sopra, è probabile che per una riparazione o sostituzione debba aspettare quasi un mese: almeno questo è il tempo che ho dovuto aspettare in passato. Sarà perché Apple non riesce a vendere neanche 400 unità server all’anno in tutta Italia?
Come consuetudine da un po’ di anni a questa parte sono stati annunciati anche quest’anno i vincitori in negativo di chi, in tutto il mondo, ha danneggiato maggiormente la privacy.
Quest’anno Facebook si aggiudica ben quattro premi (record assoluto): “lamento del popolo”, “peggiore azienda privata”, “tecnologia più invasiva” e “minaccia da una vita”.
Il premio “peggiore ente pubblico” va alle aziende sanitarie locali mentre il premio “neolingua e bispensiero” va a Silvio Berlusconi.
L’unico premio in positivo “Winston Smith – eroe della privacy” se lo aggiudica Punto Informatico.
Le motivazioni le trovate qui: http://bba.winstonsmith.org/.
Si è concluso il mese dedicato ai problemi di sicurezza relativi al PHP con il risultato di 60 bug individuati: http://php-security.org/.
A quanto sembra non sono state individuate vulnerabilità critiche da zero-day e tutti questi bug, più altri, saranno presto sistemati nella prossima release 5.3.3.
Non è mio interesse andare nei dettagli dei bug individuati ma vorrei segnalare un progetto interessante per aumentare la sicurezza delle applicazioni in PHP.
Ho già parlato di mod_security, che altro non è che un web application firewall (è disponibile un ottimo libro scritto proprio dal creatore, Ivan Ristic: http://blog.ivanristic.com/), ma questo progetto è specifico nel limitare i danni e gli attacchi relativi al solo PHP. Sto parlando di suhosin, parte del progetto hardened-php.
Come molti software per la sicurezza è possibile abilitare questi controlli aggiuntivi in modo che venga solo segnalato nei log un warning e quindi senza bloccare le applicazioni. In questo modo però si hanno comunque da subito dei vantaggi non da poco, come ad esempio la possibilità di criptare le sessioni e i cookie in modo trasparente sia per l’applicazione (gli sviluppatori non devono modificare il codice) sia per gli utenti. Per applicazioni che trattano dati sensibili è importante poter criptare in modo funzionale anche tali informazioni.
Alcune distribuzioni linux, come Debian, includono nei propri pacchetti binari tale patch. Che vi costa preparare una macchina virtuale per fare qualche test di questo software?
E’ in dirittura d’arrivo in queste ore la nuova versione di Android 2.2 chiamata Froyo.
Tra le maggiori novità si parla di migliori performance del sistema operativo (dalle due alle cinque volte più veloce), migliorie al browser con supporto per HTML 5 e Flash, pieno supporto per Microsoft Exchange, nuove API e varie modalità di tethering.
Per avere un elenco dettagliato delle nuove feature visitate questo link: http://www.evdoinfo.com/content/view/3224/64/.
Segnalo che c’è già chi lo ha installato e provato sul famoso Nexus One: http://techcrunch.com/2010/05/22/android-froyo-nexus-one/.
Per quanto riguarda questo smartphone c’è da dire che, sebbene le vendite dei device con Android installato stiano andando molto bene e abbiano superato le vendite di iPhone (http://mobile.venturebeat.com/2010/05/10/google-android-outsells-apple-iphone-ranked-second-in-u-s-smartphone-market/), Google ha deciso di non venderlo più direttamente dal proprio portale.
Infatti la vendita del Nexus One direttamente da parte di Google è rimasta una nicchia per i primi pionieri che volevano averlo il prima possibile. C’è da dire che negli USA la maggioranza dei cellulari venduti avviene tramite i gestori di telefonia con la sottoscrizione di un abbonamento (mentre in Italia la norma è il contrario, con molti contratti per schede prepagate).
La classifica degli smartphone più venduti negli USA per il primo quadrimestre del 2010 vede Blackberry al primo posto con lo share di mercato del 36%, poi Android col 28% e iPhone col 21%.
“The times they are a-changin’” cantava Bob Dylan negli anni 60 riferendosi a ben altri argomenti che ai cambiamenti nell’infosfera di Internet.
Però, come già annunciato da tempo, qualcosa di storico, nato alla fine degli anni 70, sta per spegnersi e chiudersi in modo definitivo.
Sto parlando di Usenet, una fitta (un tempo…) rete di utenti che si scambiavano messaggi, idee e informazioni attraverso newsgroup e grazie ad un protocollo dedicato chiamato NNTP.
In questi giorni si stanno dismettendo in toto tutti i server e servizi storici che hanno cominciato a far muovere i primi messaggi di questo tipo. I primi ad aver implementato questo tipo di servizio sono stati alcuni studenti della Duke University. Vi invito a leggere questo breve e in qualche modo triste annuncio: http://www.dukenews.duke.edu/2010/05/usenet.html.
Oggi questo tipo di scambio di informazioni avviene direttamente sul web tramite i forum, blog, vari social network oppure tramite mailing list. Chi ha usato per tanti anni i newsgroup perdendosi nelle varie gerarchie di argomenti di discussione potrebbe far fatica a vederci qualcosa di nuovo. Soprattutto per quanto riguarda il discorso dell’anonimato e della privacy, i nuovi social network sono una vera manna per chi fa ricerche di mercato.
Anche se sono abituato ad aggiornamenti repentini e a facili (sulla carta!) cambiamenti di tecnologie la notizia dello spegnimento di Usenet non mi ha lasciato affatto indifferente. Starò diventando un nostalgico dalla lacrimuccia facile? 
Il mese scorso ho avuto a che fare con qualche problemino legato al filesystem reiserfs, per il quale segnalo che i fix in questione sono ancora in coda per le release stabili 2.6.32.13 e 2.6.33.4.
Sempre per reiserfs già dalla release precedente, 2.6.33, è stato rimosso il big kernel lock (BKL) per la gestione concorrenziale degli accessi cercando di risolvere in qualche modo i problemi di scalabilità delle prestazioni sui sistemi multiprocessore (SMP).
Quello che dobbiamo aspettarci dalla prossima release, 2.6.34, per quanto riguarda i filesystem è l’introduzione ed il supporto a LogFS e Ceph. Mentre il primo è utile per un uso nei flash drive dei sistemi embedded, il secondo invece è molto interessante nei sistemi distribuiti di grandi dimensioni: infatti Ceph è in grado di gestire storage dell’ordine dei petabyte. Qui potete trovare interessanti dettagli tecnici su questo filesystem: http://www.ibm.com/developerworks/linux/library/l-ceph/index.html?ca=dgr-lnxw01CEPHdth-LX.
Se volete altri dettagli sulla prossima release di linux partite da questo link: http://kernelnewbies.org/Linux_2_6_34.
Come consuetudine anche questa estate si terrà la conferenza Black Hat a Las Vegas e già circolano le prime indiscrezioni sugli argomenti che si tratteranno.
Una di queste indiscrezioni riguarda gli attacchi diretti agli ATM, fino a paventare la diffusione di un rootkit multi-piattaforma.
In attesa di scoprire i dettagli sui problemi di sicurezza di queste macchinette sputa soldi posso solo sperare che questo ponga ancora una volta le questioni di sicurezza sotto i riflettori.
Qui trovate altre informazioni su questa storia: http://www.networkworld.com/news/2010/050610-hacker-develops-multi-platform-rootkit-for.html.
Un bug sui nuovi sistemi Windows 7 cancella e rimuove i cosiddetti system restore point.
Questi non sono altro che punti di ripristino con i quali si può tentare di avviare il sistema operativo dopo un’installazione, tipicamente di un driver, che non è andata a buon fine.
Senza questa modalità le già frequenti re-installazioni e formattazioni dei sistemi Windows diventerebbero ancora più insopportabili.
Ma in cosa consiste questo bug? Pare che basti un semplice reboot della macchina per cancellare i vecchi punti di ripristino…
Una soluzione, che funziona solo per alcuni, è quella di aumentare lo spazio definito per questo sistema di ripristino; un altro è quello di affidarsi a soluzioni di terze parti.
Per qualche dettaglio in più potete seguire questa discussione: http://social.answers.microsoft.com/Forums/en/w7repair/thread/6eb3551b-58d0-46de-83ab-214a0022716b.
| © 2009-2010 - Marco 'MadCat' Gatti • RSS Feeds • |
|
