Difference Operator

Tor (http://www.torproject.org/) è un progetto per la navigazione anonima in rete, progetto interessante in fase di sviluppo e crescita continua.
In breve posso dirvi che usando Tor come proxy le vostre connessioni web, chat o qualsiasi programma che usi il TCP, verranno smistate da una serie distribuita di nodi Tor per garantire livelli più elevati di privacy, impedendo alle reti vicine a voi di sapere che cosa state visitando e impedendo alle risorse visitate di capire da dove vi state collegando.
Nei giorni scorsi 2 server principali di questo progetto sono stati compromessi e gli sviluppatori e manutentori del software raccomandano a tutti gli utenti di aggiornare Tor all’ultima versione 0.2.2.7-alpha anche se questa è considerata una versione instabile ed immatura.
Qui potete leggere il post dell’annuncio: http://archives.seul.org/or/talk/Jan-2010/msg00161.html.
Se non avete mai provato questo software vi consiglio di farlo ma devo avvertirvi che la navigazione risulterà molto più lenta: privacy e sicurezza oggi non sono certo a buon mercato.

Sono felice di dare una buona notizia alla comunità linux e del free software annunciando la disponibilità di un computer con hardware che non necessita l’uso di software proprietario (driver di periferiche) e con una versione di linux già installata: http://open-pc.com/.
L’ambizioso progetto renderà disponibile il nuovo PC desktop a fine Febbraio per una cifra di 359€, che include già una piccola donazione al team di sviluppo di KDE (il desktop manager preinstallato).
Non aspettatevi un mostro di calcolo e grafica da usare per i videogiochi ma un’ottima macchina compatta per un uso comune, senza troppe pretese e adatta anche a chi vuole iniziare ad usare linux.
La cosa interessante è che questo progetto ha lavorato in pieno stile collaborativo chiedendo di votare agli utenti della comunità tutte le scelte più importanti: un prodotto dalla comunità free per tutti.
Il passo successivo, mi immagino e auguro, sarà quello di un PC con anche tutto l’hardware rilasciato con specifiche aperte…

Google ha subito, nelle ultime settimane e anche in Dicembre, vari attacchi da parte di macchine o proxy provenienti dalle reti cinesi: http://www.guardian.co.uk/technology/2010/jan/14/google-attacks-traced-china-verisign.
Si è poi capita quale era la falla che ha causato gli attacchi (e che non erano solo relativi a Google come obiettivo): IE http://www.v3.co.uk/v3/news/2256228/microsoft-admits-ie-flaw-blame.
Questo problema ha causato due effetti distinti.
Il primo riguarda l’atteggiamento di Google nei confronti della Cina, che pare voglia rivedere i rapporti di collaborazione interrompendo i servizi di censura, dichiarando gli incidenti di sicurezza sugli account (è stato individuato il fatto che diversi account in uso a sostenitori dei diritti umani sono stati visitati da terzi) fino ad arrivare a pensare di chiudere gli uffici cinesi ed il relativo portale: http://googleblog.blogspot.com/2010/01/new-approach-to-china.html.
Il secondo effetto riguarda la falla di IE che i malintenzionati sono riusciti a sfruttare per sferrare gli attacchi, falla nota da tempo ma che Microsoft non ha accora risolto, con la conseguenza che in molti ora stanno chiedendo agli utenti di internet di non usare più alcuna versione di IE: http://www.pcw.co.uk/v3/news/2256302/pressure-microsoft-increases.
Le autorità francesi, infatti, si sono aggiunte al richiamo di quelle tedesche nel chiedere con urgenza ai cittadini di usare browser alternativi ad IE almeno fino a quando una patch non sia uscita.
Microsoft da parte sua ribadisce che la versione vulnerabile dovrebbe essere solo la 6 e che usare la 8 non comporterebbe alcun rischio. Di altro parere sono gli esperti di sicurezza ma non avendo accesso al codice sorgente è difficile stabilire i rischi reali.
Vedremo quali saranno le prossime mosse di Google verso la Cina (ora anche il lancio di alcuni smartphone con android è stato rimandato: http://in.reuters.com/article/technologyNews/idINIndia-45511720100119?sp=true e l’uso stesso di android da parte di alcune compagnie cinesi produttrici di cellulari potrebbe essere a rischio: http://www.businessweek.com/technology/content/jan2010/tc20100118_760688.htm) e anche quanto metteranno fretta le pressioni a Microsoft per avere un aggiornamento rapido e fuori dai normali cicli di rilascio.

Il 15 Dicembre scorso era l’ultimo giorno disponibile per configurare tutti i sistemi server o client esistenti in Italia gestiti dagli amministratori di sistema in base alle nuove disposizioni richieste dal Garante per la protezione dei dati personali: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499.
Ovviamente si parla di sistemi che contengono dati personali e/o sensibili e le novità consistono nell’accertarsi che ogni amministratore sia dotato di un proprio account personale, che vengano registrati gli accessi e mantenuti i log per un periodo congruo, non inferiore ai sei mesi, e che ci sia qualcuno preposto ad una verifica delle attività degli amministratori almeno una volta all’anno.
Questa scadenza era stata posticipata già due volte in precedenza a causa delle continue lamentele, segnalazioni e richieste di spiegazioni da parte della “categoria”.
Questo invece è stato il comunicato stampa uscito il 10 Dicembre scorso, ovvero 5 giorni prima della scadenza: http://www.garanteprivacy.it/garante/doc.jsp?ID=1676654.
Riporto la frase per me cruciale: “Per quanto concerne, infine, gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), il Garante ricorda come l’adeguamento possa avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all’impiego di prodotti commerciali o di apparati più sofisticati.”.
Perché ho riportato questa frase? Perché per me rappresenta chiaramente il fatto che chi ha scritto questo comunicato stampa, 5 giorni prima della scadenza, non ha assolutamente idea di che cosa stia parlando.
Per capire perché dico una cosa del genere va anche riportata una frase del provvedimento stesso che riguarda i log: “Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.”.
Ebbene chi ha scritto questa riga non ha chiaro in termini tecnici che cosa significhi completezza, inalterabilità e soprattutto integrità.
Badate bene che non sto disquisendo sul significato giuridico dei termini, che magari ha un suo ben determinato significato ma solo sul significato tecnico.
Un dato, che sia un file, una partizione o un disco, per definirsi in quel modo deve poter essere messo in un luogo sicuro, lontano da tutti, con tanto di indice, hash o firma digitale, che ne dichiari l’inalterabilità successiva, ovvero una integrità assoluta rispetto ad un originale.
Ma esistono soluzioni open source che facciano tutto questo?
Come mai Novell, una delle poche ahimè grandi aziende rimaste che lavora con software open source, ha creato un prodotto apposito che va da diverse migliaia di euro a decine di migliaia di euro (a seconda della mole di dati da registrare in un breve lasso di tempo)?
Lo fa perché pur utilizzando software open source si fa pagare una costosa licenza non tanto per il meccanismo di raccolta dei log (creare un server di log centralizzato multi piattaforma non è un problema a parte pochissimi casi) o per la creazione di report, ma soprattutto perché ha al suo interno un sistema di integrità di questi log.
Ora non voglio entrare nei dettagli ne fare pubblicità a Novell ed ai suoi prodotti ma il punto è che non c’è nel mondo open source qualcosa di pronto, da usare così com’è (e anche sui prodotti commerciali non ci sono molte scelte al momento).
Questo perché, se si vuole tenere traccia di cosa faccia un amministratore di sistema, senza che egli stesso possa cancellare alcune o tutte le sue tracce, non è banale implementare un sistema che tenga sotto controllo chi lo ha installato e configurato da zero e che ne decreta ogni singolo funzionamento.
La soluzione più rapida ed economica è quella di avere più livelli di controllo: ad esempio il titolare potrebbe gestire il log server centralizzato non dandone accesso agli amministratori di sistema. Questa soluzione presuppone una realtà abbastanza complessa e grande da avere un punto centralizzato di gestione dei log e che il titolare sia in grado di fare questo lavoro. Nella maggioranza dei casi non è così, e poi rimane poi il solito problema: chi controlla il controllore? Cioè fino a che punto della piramide risaliamo prima di dire “ok, di lui ci fidiamo”? Chi ci dice che un titolare di un’azienda che tratta dati personali sia lontano da qualsiasi dubbio o controllo?
Credo che tutto lo staff del Garante per la protezione dei dati personali avessero le migliori intenzioni nel dare visibilità a persone che fanno un lavoro complicato e con talvolta grosse responsabilità e nel cercare di regolamentare questo lavoro, dando anche trasparenza all’esterno ovvero agli utenti/clienti avendo per legge la possibilità di controllare eventuali abusi, però il testo del provvedimento, integrato anche con le FAQ, non mi sembra lo stato dell’arte; anzi al di fuori di medie e grosse realtà si sono creati problemi non indifferenti soprattutto in un anno di grossa crisi economica.
Forse sarebbe stato meglio prima cercare di capire quali soluzioni tecniche reali il mercato potesse offrire per implementare certe soluzioni e con che costi. Il problema è che i sistemi operativi più diffusi non vengono creati in paesi dove sono in vigore norme così rigorose anche come quelle sulla privacy.

Iniziamo il 2010 con una segnalazione importante per chi gestisce servizi di posta elettronica filtrando le mail di spam con un software open source molto diffuso: spamassassin.
Controllate attentamente i messaggi di spam bloccati sui vostri server di posta perché potreste trovare improvvisamente un numero elevato di falsi positivi, ovvero di mail più che valide considerate come spam e quindi bloccate.
La colpa risiede in una regola che aggiunge punti (superato un certo punteggio il messaggio viene considerato spazzatura) alle mail che hanno una data nel futuro. Non viene però calcolata la data nel futuro rispetto alla data locale del server ma viene fatta una banale regexp, una espressione regolare, che controlla la data del messaggio.
Ebbene in questa regola vengono aggiunti punti per tutti i messaggi che hanno data dal 2010 al 2099.
La regola si trova nel file 72_active.cf che di solito è, nel mondo unix, in /usr/share/spamassassin. Questa è la parte incriminata:

##{ FH_DATE_PAST_20XX
header FH_DATE_PAST_20XX Date =~ /20[1-9][0-9]/ [if-unset: 2006]
describe FH_DATE_PAST_20XX The date is grossly in the future.
##} FH_DATE_PAST_20XX

Il mio consiglio, intanto che vengano aggiornati i pacchetti delle varie distribuzioni libere (debian ha rilasciato ieri, 1 Gennaio, una nuova release in sid ed in volatile) e dei sistemi commerciali, è di modificare a mano questo file e di riavviare i demoni del filtraggio della posta.
Vi basterà modificare /20[1-9][0-9]/ in /20[2-9][0-9]/.
In questo modo avrete spostato il filtro della data nel futuro dal 2020 in avanti.

Segnalo rapidamente un articolo del famoso esperto di sicurezza Bruce Schneier che cerca di fare un discorso a tutto campo sulla sicurezza che può essere implementata negli aeroporti per il trasporto aereo: http://www.cnn.com/2009/OPINION/12/29/schneier.air.travel.security.theater/index.html.

Il New York Times ha pubblicato un articolo in cui riporta che un esperto di sicurezza tedesco, Karsten Nohl, ha reso pubblici i dettagli per decifrare il protocollo GSM, che da ben 21 anni viene usato da praticamente tutto il mondo per le comunicazioni tramite cellulare.
Questo il link alla notizia previa registrazione: http://www.nytimes.com/2009/12/29/technology/29hack.html.
In passato altri avevano già decifrato tale protocollo ma i dettagli erano rimasti privati. Ora gli esperti si chiedono se non sia il caso di mandare in pensione un protocollo così vecchio e ormai ritenuto insicuro. Certo la migrazione non sarà facile e non avverrà in poco tempo considerando il fatto che stiamo parlando di 3.5 miliardi di utenze cellulari in tutto il mondo.
Ora le intercettazioni potrebbero non solo essere fatte dalle autorità competenti ma anche da organizzazioni criminali dotate di buone possibilità finanziarie.
Qualcuno potrebbe storcere il naso pensando a questo esperto di sicurezza che ha pubblicato il suo lavoro, ma le soluzioni di sicurezza, tra cui i protocolli di cifratura, devono subire un’ampia e attenta peer review e ogni volta che sorgono dubbi o debolezze devono prontamente seguire soluzioni e innovazioni per restare al passo con le nuove tecnologie e le nuove minacce (basta solo pensare al dato della potenza di calcolo dei computer che raddoppia ogni anno e mezzo circa). Inoltre un protocollo di 21 anni usato in tutto il mondo ha sicuramente bisogno di essere modificato ed aggiornato periodicamente.

E’ stato scoperto e reso pubblico un bug con relativa vulnerabilità per il plugin ASP di IIS che consente l’inclusione e l’esecuzione facile facile di file locali.
Nonostante l’evidente pericolosità Secunia, uno dei maggiori attori nella segnalazione, ricerca e consulazione dei problemi di sicurezza, ha definito la pericolosità less critical, con un punteggio di appena 2 su una scala che arriva a  5.
A questo link trovate ulteriori informazioni: http://www.darknet.org.uk/2009/12/microsoft-iis-semicolon-bug-leaves-servers-vulnerable/.
Ovviamente il bug al momento è senza patch e non sappiamo quando Microsoft si degnerà di porvi rimedio.
Posso però segnalarvi una discussione su bugtraq che mira a mitigare i potenziali effetti dannosi di eventuali attacchi: http://www.securityfocus.com/archive/1/508620/30/0/threaded.

Restiamo in Italia e parliamo di una notizia che mi era sfuggita, forse perché molti mezzi di informazione non ne hanno dato molta enfasi, presi com’erano da ben più importanti fatti.
Da venerdì 11 Dicembre scorso è agli arresti domiciliari Salvatore Cirafici, direttore della sicurezza di Wind, che si occupava delle richieste di intercettazioni avanzate dalle procure di tutta Italia.
Pare che costui sia implicato in un giro di gestione di SIM non risultanti attive ma che erano state distribuite, pare, per evitare intercettazioni di vari personaggi.
Di seguito riporto un paio di link per approfondire la notizia:
http://antefatto.ilcannocchiale.it/glamware/blogs/blog.aspx?id_blog=96578&id_blogdoc=2400951&title=2400951,
http://lombardia.indymedia.org/node/24423.
Non credo che ci sia molto da aggiungere, se risultasse tutto vero, questo comportamento è ignobile e da punire severamente. Oltre a cercare di favoreggiare qualcuno si potrebbe pensare anche che si volesse, o comunque che si avesse la possibilità, di danneggiare altri tra cui magari utenti onesti e clienti di Wind.
Un direttore della sicurezza che cerca di nascondere informazioni ai procuratori invece di collaborare? Come minimo, dopo gli accertamenti, i processi ed il carcere, spero cambi completamente mestiere: non si può più dare fiducia a un personaggio del genere nel campo della sicurezza.

Nelle ultime due settimane si sono sentite esternazioni e proclami vari, soprattutto da alcuni politici italiani, di cui mi piacerebbe discutere, o comunque scriverne per lasciarne una traccia, una memoria, dato che molto spesso, passata la paura, ci si dimentica di alcuni fatti.
Sto parlando della regolamentazione o censura applicata ad Internet.
Devo subito dire che non amo nessun tipo di censura, nemmeno quella che lo stato italiano applica già da tempo su Internet stessa per non far raggiungere un certo numero di siti di scommesse e di gioco on-line, promuovendo solo quelli dei monopoli di stato con la scusa del “gioco sicuro”.
Sono censure e filtri banalmente aggirabili, ma di cui l’utente comune di solito non ha alcuna informazione.
Ora si sta parlando, dopo un paio di “attentati” a personaggi pubblici, di chiudere e di perseguire per istigazione a delinquere gruppi su Facebook o eventuali altri siti e forum di discussione aperti. Si sta parlando appunto di regolamentare l’uso, l’accesso alla Rete e di introdurre norme per perseguire in modo specifico reati fatti nell’infosfera.
Non sono un amante di Facebook e sono a conoscenza del fatto che ci siano gruppi molto al limite della legalità, come quelli che inneggiano al fascismo e al nazismo (e questo è solo un esempio e non è circoscritto solo ai social network), ma ancora di più non amo chi cerca di censurare uno strumento decentralizzato e democratico per eccellenza.
Le censure che vengono effettuate in Cina ed in Iran sono ignobili. Alcune sono tecnicamente aggirabili, ancora di più con l’aiuto di volontari esteri che possono creare punti di accesso, proxy, per poter accedere a tutte le informazioni senza alcuna censura. Altre potrebbero essere impossibili o molto complesse da aggirare, ma comunque rimane il problema di istruire l’utente medio.
Al momento le esternazioni di alcuni fantomatici politici italiani rimangono tali, anche perché pare che esistano già abbastanza norme e leggi per poter perseguire i reati di cui si sta parlando in questi giorni, senza farne di nuove.
Il timore è che questa possa essere una scusa, un pretesto per attivare altri tipi di controlli, tracciabilità e mantenimento dei log per anni di tutti gli utenti, minando privacy e piena libertà di espressione.
Vi sembra esagerato? Infondato? Magari: se non fosse che, sempre alcuni politici italiani, stiano cercando di sovvertire o cambiare la costituzione per eliminare l’uguaglianza di tutti i cittadini davanti alla legge.
Come “operatore del settore” mi sento in dovere di difendere la neutralità della Rete, consentendo a chiunque di esprimere le proprie idee ed opinioni, anche se diverse dalle mie, mantenendo o cercando di garantire anche l’anonimato per una totale libertà.
Restiamo comunque con gli occhi aperti a vedere quali sviluppi possano esserci relativi a queste vicende.