Difference Operator

Dopo l’acquisizione di Sun da parte di Oracle è stata avanzata un’offerta per l’acquisizione di Novell, un altro big del software open source.
I tre big del software open source degli ultimi anni sono considerati RedHat, Novell e Sun. Quest’ultima è stata acquisita l’anno scorso da Oracle, un’azienda che non è proprio il massimo per quanto riguarda il business nel mondo open source.
Se ora anche Novell fosse acquisita e cambiasse orientamento riguardo al suo modello di business sarebbe un colpo preoccupante per il mondo open source. Infatti molti operatori del settore informatico che vivono e lavorano grazie ai progetti open source non hanno visto di buon occhio l’acquisto da parte di Oracle e si sono preoccupati molto per tutta una serie di progetti di alto spessore, MySQL in primis.
Per approfondimenti:
http://www.computerworld.com/s/article/9164738/Update_Hedge_fund_offers_2B_for_Novell,
http://www.streetinsider.com/Press+Releases/Elliott+Offers+to+Acquire+Novell/5400447.html.

Ad una conferenza il direttore tecnico (Brian Snow) di una delle agenzie statunitensi che lavora per la sicurezza nazionale degli Stati Uniti, la famosa NSA, fa diverse dichiarazioni che inquadrano lo stato attuale dell’agenzia stessa riguardo ad alcuni punti chiave.
Principalmente trovo interessante il fatto che parli apertamente di crittografia, dicendo che negli ultimi 20 anni c’è stata una grossa diffusione, anche per l’utente finale, di uso intensivo di crittografia. Snow però dichiara che la NSA mantiene qualche anno di vantaggio rispetto a tutti. Dice anche che loro stessi “barano”, nel senso che leggono e studiano tutti i paper di crittoanalisi che parlano di potenziali vulnerabilità degli algoritmi di cifratura, per poi fare ricerche al loro interno ma senza divulgare alcun tipo di risultato.
Questo significa che sono pronti a distruggere le barriere che vengono create grazie alla crittografia per accessi non desiderati anche a dati sensibili?
Alcuni pensano proprio di no, anzi reputano che le parole di Snow non siano veritiere.
Adi Shamir, ovvero la “S” in RSA, uno dei più usati algoritmi di crittazione, ci ricorda che nel 1983, quando alcune caratteristiche tecniche riportate in documenti declassificati vennero rese note, si capì che la NSA non usava ancora gli algoritmi a chiave pubblica: insomma era indietro rispetto a quanto forniva il mercato.
Snow parla anche di cloud computing in termini molto semplici ma che lasciano un unico messaggio: non fidatevi ciecamente di questi sistemi per la sicurezza dei vostri dati proprio per la natura intrinseca di condivisione che c’è in questi sistemi.
Si è parlato anche di sicurezza in senso lato, dove sono state fatte ammonizioni ai software vendor che non chiudono con molta celerità i vari problemi di sicurezza che periodicamente si riscontrano.
Qui potete trovare un articolo interessante per approfondimenti: http://www.networkworld.com/news/2010/030410-rsa-cloud-security-warning.html.

Potrei commentare a caldo la notizia che vede Google condannata da un giudice di Milano per violazione della privacy in merito alla pubblicazione (da parte di terzi) di un video di idioti che maltrattano un bambino diversamente abile, ma preferisco non farlo. Credo che l’assurdità della cosa sia palese a chi ha un minimo di dimestichezza con l’uso e la storia di Internet, oltre che un minimo di sale in zucca: http://googleitalia.blogspot.com/2010/02/una-grave-minaccia-per-il-web.html.
Vi segnalo invece un interessante notizia riportata su Slashdot che riguarda le stime dei costi di sviluppo di Linux (1,4 miliardi di dollari), oltre ad altri link a vecchie stime di costi di sviluppo di distribuzioni Linux come Debian, RedHat e Fedora: http://linux.slashdot.org/story/10/02/24/155214/The-Billion-Dollar-Kernel.

- UPDATE 25/02/2010 -
Riguardo al caso Google è da leggere un articolo di Elvira Berlingieri su Apogeo: http://www.apogeonline.com/webzine/2010/02/25/sentenza-google-un-bel-problema-per-i-provider.

La notizia è di pochi giorni fa: Nokia e Intel hanno annunciato un nuovo progetto chiamato MeeGo: http://meego.com/community/blogs/imad/2010/welcome-meego.
MeeGo è il risultato dell’unione dei due progetti Maemo e Moblin rispettivamente sviluppati da Nokia ed Intel.
La fusione quindi prende da una parte Maemo che è una distribuzione Linux basata su pacchetti DEB, orientata agli smartphone su architettura ARM e basata su librerie grafiche GTK e QT, mentre dall’altra prende Moblin, altra distribuzione Linux basata su pacchetti RPM ma esclusivamente per architettura Intel.
Sarà interessante vedere cosa ne verrà fuori e se questo altro progetto farà aumentare le quote di utilizzo di Linux sugli smartphone.

Doveroso aggiornamento sul post precedente in cui parlavo di diversi problemi di avvio dopo gli aggiornamenti periodici di sicurezza rilasciati questo mese per le macchine con Windows XP.
Pare infatti che i problemi di avvio, e relativa schermata blu, siano dovuti al fatto che le macchine coinvolte fossero compromesse da un rootkit chiamato Alureon: http://threatpost.com/en_us/blogs/ms10-015-restart-issues-are-result-rootkit-infection-021810.
L’unica cosa buona in tutta questa storia è che gli utenti hanno scoperto di avere la propria macchina compromessa (chissà da quanto tempo): spero che almeno reinstallino il sistema operativo dopo aver formattato completamente il disco di sistema!

In realtà per gli utenti Windows non credo che sia mai andato via…
Sto parlando del nefasto blue screen of death (BSOD) che ogni tanto compare per indicare che qualcosa nel sistema non ha funzionato nel modo corretto.
Bene, state attenti agli ultimi aggiornamenti di sicurezza rilasciati da Microsoft martedì scorso perché diversi utenti di Windows XP hanno lamentato problemi di avvio del sistema dopo aver installato questi aggiornamenti: in parole povere il sistema non avvia correttamente e mostra la classica schermata blu!
Non è la prima volta che succede ma per fortuna sono eventi abbastanza rari. Qui potete leggere alcune informazioni più dettagliate: http://www.computerworld.com/s/article/9155419/Windows_patch_cripples_XP_with_blue_screen_users_claim, mentre qui potete seguire una lunga discussione sui problemi riscontrati e su come risolverli: http://social.answers.microsoft.com/Forums/en-US/vistawu/thread/73cea559-ebbd-4274-96bc-e292b69f2fd1.

Pochi giorni fa sono stati aggiornati due strumenti, che si integrano a vicenda, utilizzati per la protezione attiva dagli attacchi alle applicazioni web e dei web server in generale.
Sto parlando di un ottimo progetto open source chiamato modsecurity.
Questo progetto non è altro che un modulo per Apache 2 (a proposito, avete visto l’annuncio dell’ultima release della versione 1.3.42? Pare che sarà l’ultima e tutti sono invitati a passare alla versione 2.2: http://www.apache.org/dist/httpd/Announcement1.3.html) che implementa vari controlli sulle richieste e sulle risposte da e per i client.
Si potrebbe definire questo modulo un motore per la prevenzione delle intrusioni e dello sfruttamento delle vulnerabilità nelle applicazioni web, oppure, se vi piace di più, un web application firewall (WAF).
Tra le caratteristiche principali possiamo menzionare il filtraggio delle richieste fatte al web server prima che vengano gestite da Apache stesso o da altri moduli, il rilevamento delle tecniche antievasive (percorsi e parametri vengono normalizzati), la piena comprensione e il controllo del protocollo HTTP (segnalando anomalie in qualsiasi parte), l’analisi delle richieste POST, il logging dettagliato di qualsiasi richiesta (POST comprese) e il filtraggio dei contenuti compressi e criptati (HTTPS) dato che il modulo ha accesso ai dati dopo che questi vengono decompressi e decrittati.
Quindi, ad esempio, è possibile bloccare tentativi di sql injection, proteggere alcune parti dei vari virtualhost in modo più stretto, con la possibilità di logging, bloccare DoS e DDoS e infine creare un ambiente chroot: una gabbia in cui imprigionare le vostre applicazioni.
Il tutto con una minima degradazione delle prestazioni (overhead), che definirei tranquillamente trascurabile in confronto ai benefici che si possono avere.
L’altro strumento, di cui modecurity fa uso, sono le regole che attivano o meno il filtraggio delle richieste, le quali sono sviluppate all’interno di un grosso progetto chiamato OWASP che più in generale si occupa di sicurezza per il web. Questo il link alle core rule set per modsecurity: http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project.
Per un utilizzo semplificato della gestione degli incidenti di sicurezza o dei falsi positivi esiste anche una console che raccoglie tutti gli eventi, con tanto di statistiche e di report. La console ovviamente può gestire più server contemporaneamente; la trovate gratuitamente a questo link per un uso di 3 sensori massimo: http://www.breach.com/products/ModSecurity-Community-Console.html.
Chiunque debba implementare un qualche servizio web è caldamente invitato a prendere varie misure di sicurezza per proteggere le applicazioni che sono esposte 24 ore su 24. Per uno dei web server più diffusi, Apache, questo modulo rappresenta un’interessante barriera, uno strato in più che può essere aggiunto ai vostri server per aumentarne la sicurezza.

Pare che finalmente Linus Torvalds abbia individuato e trovato un telefono con cui non litigare ed usarlo non solo per i giochini o applicazioni amene: http://torvalds-family.blogspot.com/2010/02/happy-camper.html.
Lo smartphone in questione è uno Nexus One di Google con sistema operativo Android…
A proposito di Android è notizia di pochi giorni fa la rimozione del ramo di sviluppo dei driver che dovevano confluire nel ramo stabile di linux: http://www.kroah.com/log/linux/android-kernel-problems.html.
Pare che il lavoro di Google avesse bisogno di qualche sistemazione per poter essere integrato ma che nessuno, da parte di Google, si sia mosso in quel senso. Le modifiche alla parte del kernel avrebbero anche significato altre modifiche nei tool di sistema…
Linus, in un commento sul suo blog, pare che non sia preoccupato di questo e pensa che sia solo un problema di tempo prima che questa integrazione avvenga senza flame o guerre tra i vari ingegneri e sviluppatori.

La grande piattaforma per il social networking ha annunciato la disponibilità, sotto licenza open source, di HipHop l’ambiente runtime per PHP su cui ha già migrato il 90% dei propri sistemi.
Si tratta di una sorta di revisione e di manipolazione di PHP che fornisce un risparmio di prestazioni fino al 50%, senza che il grosso delle applicazioni debba essere riscritto.
Praticamente gli sviluppatori di Facebook hanno creato, pare in collaborazione col team di PHP, un modo per creare del codice compilato, tipo C++, partendo dal linguaggio di scripting di PHP. Tecnicamente HipHop non è un compilatore, ma è un trasformatore di codice sorgente: trasforma il codice PHP in codice C++ ottimizzato e poi usa g++ per compilarlo.
Stiamo parlando quindi della differenza che ci può essere, a livello di prestazioni, tra linguaggio interpretato e linguaggio compilato: si fa presto a capire perché si riesce a recuperare fino al 50% del tempo macchina!
Per poter fare questo lavoro sono state re-implementate molte delle più comuni estensioni PHP e anche il sistema di runtime stesso.
Se pensate che i datacenter di Facebook sono composti da più di 30.000 server potete capire la proporzione di questa innovazione per quanto riguarda le prestazioni, i costi in generale e l’impatto energetico/ambientale.
PHP è un linguaggio abbastanza semplice da imparare ed usare ma per quanto riguarda le prestazioni e le ottimizzazioni su progetti così grossi si può fare ben poco o nulla (i vari software di ottimizzazione esistenti non sono di aiuto in questi casi).
Se volete entrare un po’ più nei dettagli tecnici di HipHop vi rimando a questo link: http://developers.facebook.com/news.php?blog=1&story=358.
Se invece volete provare HipHop è disponibile tramite git qui: http://developers.facebook.com/hiphop-php/.

In Gennaio scorso è stato raggiunto il numero di 16,777,216 indirizzi IPv4 pubblici registrati ed assegnati ad utenti. Siamo quindi arrivati ad appena 24 blocchi di indirizzamenti rimasti dei 256 maggiori disponibili per quanto riguarda IPv4. E molti di questi blocchi rimasti fanno parte di quelle reti considerate riservate o disponibili per usi interni nelle LAN.
Si parla da anni del problema dei pochi indirizzi rimasti per il vetusto indirizzamento IPv4 tanto che ormai le stime di esaurimento non parlano più del 2012 ma addirittura dell’ultima parte del 2011.
Pochi ISP supportano il nuovo indirizzamento IPv6, pochissimi quindi hanno già fatto la migrazione al nuovo protocollo IP, però le cose ormai dovrebbero accelerare.
E’ vero che le due implementazioni sono state pensate per coesistere però, oltre ai grattacapi dei vari tecnici di rete per farlo, mi sembra che si stia indugiando troppo sullo sfruttamento fino all’osso del vecchio indirizzamento che ormai non ce la fa più!
Oggi direi che tutti i sistemi operativi supportano appieno IPv6, poi starà agli amministratori di rete controllare il supporto degli apparati di rete negli ISP, aziende e anche nei servizi agli utenti casalinghi.
Di seguito vi propongo un link che cerca di spiegare quali potrebbero essere i problemi dovuti alla registrazione ed assegnazione del blocco di indirizzi 1.0.0.0/8: http://bgpmon.net/blog/?p=275.
Allora a quando il passaggio ai 128 bit?