vitocola.it

Condividere saperi, senza fondare poteri

BLOG

0 comments

Il mio primo Sinclair QL

Gli anni ’80 possono essere ricordati, tranquillamente, per le “musicassette” che, a tutti gli effetti, sono state le chiavi per aprire il mondo conosciuto e quello conoscibile.

Credo di essermi sentito un pirata per la prima volta, dopo aver duplicato della musica da una cassetta originale a una vergine o, come molti altri, dopo aver registrato dei pezzi col miscrofono direttamente dalla radio per poi riprodurli e diffonderli (anche se quest’attività la facevo già da qualche anno prima, con la trasmissione “Pop-Off” che andava in onda dopo le 21 sul secondo canale della Rai) .

Poi mi sentivo un vero e proprio hacker quando duplicavo una cassetta per un datasette.

Insomma le musicassette stavano dappertutto: nelle case, nelle auto, in giro nei walkman e io ne avevo la stanza piena fino al soffitto. Fu, probabilmente, questa la ragione che mi spinse ad avvicinarmi al QL, l’ultimo prodotto di casa Sinclair (CPU Motorola 68008 a 7.5 MHz e 128k di RAM). Perchè QL, oltre al suo Qdos multitasking e al suo SuperBasic, utilizzava dei mini supporti di memorizzazione magnetici, i ZX Microdrive, sui quali girava anche una suite office di serie (word processor, foglio di calcolo, database e grafica) sviluppati dalla Psion.  Altra novità erano le due porte QLAN che permettevano di creare una rete di QL e/o Spectrum a 100 Kbaud.

In sostanza Sinclair cercava di intromettersi in un mercato ancora fortemente diviso tra computer home e sistemi professionali, facendo da cerniera tra i due mondi.

Le cose, però, non andarono proprio nel modo sperato: il periodo fu infelice a causa dell’uscita di Macintosh 128k e della fretta che ebbe la Sinclair nel lanciare il QL prima di Apple. Forse proprio quella fretta fece partorire un prodotto con diversi difetti sia nell’hardware che nel software.

Quei mini supporti magnetici, poi, si rivelarono poco affidabili e poco capienti (100 Kb) e il Qdos fu costretto a un numero imprecisato di patch. Anche la compatibilità con gli altri prodotti della stessa casa andò a farsi benedire, mentre sul mercato si affacciavano macchine con architetture più performanti.

Insomma nel giro di qualche anno, con l’acquisizione d Sinclair da parte di Amstrad, il QL esce completamente di scena e io invece ci continuai a lavorarci, giocarci per quanto possibile; anzi grazie a quel QL sviluppai una passione che porto ancora dentro.

Poi come fai a non commuoverti davanti a una coriacea community che è attiva ancora oggi.

0 comments

A San Valentino boicottiamo la retorica dell’amore su Twitter!

[post copiato e incollato da Pasionaria]

San Valentino ti stressa? Il romanticismo commerciale ti disgusta? Non ne puoi più di slogan stereotipati sull’amore eteronormativo e patriarcale?

Allora, il 14 febbraio, partecipa con noi al boicottaggio della retorica dell’amore per lanciare lo sciopero delle donne e dai generi dell’8 marzo!

Per farlo ti bastano uno smartphone e un account Twitter. Non una di meno ha organizzato un “inquinamento” dell’hashtag ufficiale di San Valentino che ogni anno viene sponsorizzato da Twitter.

“Il nostro obiettivo – comunica il coordinamento di Non una di meno – è quello di sfruttare la visibilità dell’hashtag di San Valentino e quello che uscirà lo stesso giorno per il film ’50 sfumature di nero’ per dirottare i contenuti ai nostri verso l’8 marzo”.

Come si fa? Semplice si twittano messaggi sullo sciopero dell’8 marzo utilizzando gli hashtag che sono trend topic (cioè i più usati del momento) per diffondere i nostri temi a quante più persone possibile!

Per scoprire quale sarà l’hashtag della giornata bisognerà aspettare San Valentino. La mattina del 14 febbraio lo comunicheremo sui nostri canali social.

La “Twitter storm” (tempesta) vera e propria inizierà alle 16, come annunciatonell’evento Facebook: “Inizieremo alle 16, in un orario strategico, e andremo avanti ad oltranza, tenetevi pronte, perché inizieremo a scatenare la nostra rabbia, scateneremo questa marea ormai inarrestabile”.

Frasi per boicottare San Valentino

Su Twitter non sai mai cosa scrivere o hai paura di essere a corto di idee? Nessun problema: vi suggeriamo alcuni dei possibili messaggi da usare, diffusi da Non una di meno, e di seguito anche qualche foto e gif utili.

Ricorda che ad ogni frase andranno aggiunti gli hashtag #50SfumatureDiNero e quello sponsorizzato, che si scoprirà solo il 14 febbraio. 

L’amore è un’altra cosa: #LottoMarzo sciopero delle donne!

Rifiutiamo l’immaginario romantico, verso lo sciopero dell’#8M

La precarietà nuoce gravemente alla salute sessuale! Sciopero #LottoMarzo

Oggi amore, domani dolore? #LottoMarzo sciopero delle donne!

Se mi ami non mi giudichi: #LottoMarzo sciopero delle donne!

Possedere non è amare: #LottoMarzo sciopero delle donne!

Amore è libero e femminista, tutto il resto è patriarcato: #8M sciopero!

A San Valentino uccidi l’eteronormativitá che è in te: #8M sciopero dai generi!

NO vuol dire NO: #LottoMarzo sciopero delle donne!

Gender panic! #LottoMarzo sciopero dai generi!

Immagini per boicottare San Valentino

Preferisci le immagini alle parole? Ecco qualche link dove trovare immagini da usare nei vostri tweet, da abbinare sempre all’hashtag #50SfumatureDiNero e a quello sponsorizzato, che si scoprirà solo il 14 febbraio

Gli “adesivi” transfemministi:
https://sommovimentonazioanale.noblogs.org/post/2015/03/07/otto-favolosi-adesivi/

Gif di Beyoncé: http://gph.is/2k48QzG
Gif di Eva Green: http://gph.is/2kUhJLc
Gif di Danish Girl: http://gph.is/2k4G8tJ
Gif di Priscilla: http://gph.is/2k44Vmp

san valentino
Dichiarazione di guerra a San Valentino!

A San Valentino ricordiamo a tutti che per diffondere l’amore bisogna combattere la violenza!

0 comments

Ninux Day 2016

A Firenze, nell’ex villa rurale del 1500 di ExFila (che fu la storica sede della fabbrica di matite Fila), dal 26 al 27 novembre ci sarà il Ninux Day, organizzato dalla wireless community network ninux.org.

Tutti i membri delle community italiane ed europee e gli appassionati delle reti free, si riuniranno per discutere di:

* rete come bene comune
* networking spontaneo, dal basso
* governance di comunita’ decentralizzate
* aspetti legislativi legati alle community networks e delle reti wireless
* espressioni artistiche nell’ambito delle community networks o reti wireless
* reti cittadine
* wireless mesh networks
* protocolli di routing
* sistemi operativi FLOSS orientati al networking
* management e monitoring distribuito
* servizi distribuiti e decentralizzati
* fog computing e cloud (IaaS) distribuito
* reti resilienti

Se volete farvi un’idea su Ninux e le reti libere ne parlavo un po’ di tempo fa qui e qui.

Se invece volete proporre un talk o un workshop, potete invia un’e-mail a contatti@ninux.org con una breve biografia e un abstract da 50-100 parole entro il 15 Novembre.

Dove: Exfila, Via Leto Casini 11, Firenze
Wiki: http://wiki.ninux.org/NinuxDay2016
Blog: http://blog.ninux.org
Mappa dei nodi ninux: http://map.ninux.org

0 comments

L’internet delle cose vostre

Prima di raccontavi questa storia è bene evidenziare 4 parole chiave.

IoT

è l’acronimo di Internet of things (Internet delle cose) ed è la possibilità concessa agli oggetti di connettersi alla rete e comunicare tra loro. Per esempio un piccolo termostato installato su un frigorifero, un forno, una caldaia, che avvisa via internet il raggiungimento di una temperatura, oppure delle scatoline porta-farmaci che fanno squillare il cellulare di un familiare se il nonno si dimentica di prendere la pillola, tutte le smartTV, l’impianto di riscaldamento o di climatizzazione, ecc….  Insomma tutti quegli oggetti che attraverso un protocollo IP sono in grado di dialogare con qualche nodo della rete Internet e dei quali ci occupiamo poco in termini di sicurezza perché ci viene facile pensare che nessuno voglia entrare nel nostro tostapane.

DNS

è l’acronimo di Domain Name System e serve a “risolvere” i nomi dei nodi della rete in indirizzi IP e viceversa. Per esempio se digitiamo sulla barra degli indirizzi del nostro browser questo indirizzo IP: 216.58.198.36 ci comparirà la pagina di Google, come se avessimo scritto www.google.com. Sostanzialmente a questo serve il DNS e prima della loro invenzione (giugno 1983) se avessimo voluto trovare Google avremmo dovuto conoscere esattamente il suo indirizzo IP.  In pratica, ogni dominio internet viene registrato con un indirizzo IP pubblico e un nome, poi dei database sui server DNS si incaricano di accoppiarli sempre.

Ddos

Il Distributed Denial of Service è un tipo di attacco malevolo che, sfruttando la logica della comunicazione con il protocollo TCP, consiste nell’inviare molti pacchetti di richieste a un server il quale, dovendo rispondere necessariamente a ogni richiesta, si “ingolfa” al punto da rendersi inefficiente.  Quindi tutti gli apparati collegati a internet con TCP sono potenzialmente soggetti a questo tipo di attacco. Ovviamente maggiore è la quantità delle richieste inviate al server e più letale sarà il Ddos, ecco perché, prima di sferrare l’attacco, i cracker devono mettere insieme un buon numero di macchine attaccanti.  Siccome queste macchine sono poi individuabili, i cracker infettano prima un buon numero di apparati, attraverso virus che aprono delle porte esterne, e poi le comandano da remoto. Tutti questi computer diventati “zombie” entrano a far parte della BotNet che diventa la vera macchina da guerra.  E’ interessante sapere che vengono preferite le macchine che eseguono Windows perché è più facile inoculare un trojan ed è praticamente assicurata la diffusione dell’infezione a tutti i contatti presenti sul computer, quindi automaticamente ingigandire la botnet.

ddos-attackEra la primavera del 2013 e i server di  Spamhaus, un’organizzazione che fornisce filtri per bloccare lo spam nelle email, subisce una serie di attacchi informatici che costringono a una navigazione lenta e addirittura nulla in intere regioni del Belgio, Lussemburgo, Olanda, Gran Bretagna e in minima parte anche in Germania e in Francia. Si tratta di attacchi Ddos partiti ai primi di marzo in sordina e che verso la metà del mese erano diventati già insostenibili per i server di Spamhaus. La mole di dati che bombarda questi server viaggiano, all’inizio, a circa 10 Gigabit al secondo, poi si incrementano fino a 100 Gigabit e alla fine raggiungono i 300 Gigabit per secondo (cioè una cosa come 300 miliardi di bit al secondo).  Subito dopo tutti parlano del più grande attacco informatico che la rete abbia mai conosciuto e, per inciso, i sospetti cadranno su  CyberBunker, un gruppo olandese di web hosting che era stato accusato, proprio da Spamhaus, di usare lo spam per la vendita di prodotti e per questo l’aveva inserito nella sua lista per i filtri antispam.  Anche se, in verità, la polemica era già iniziata prima, nel momento esatto in cui CyberBunker aveva ospitato il dominio di “The Pirate Bay”.

Fra coloro che subirono più disservizi ci fu la webtv Netflix che restò irraggiungibile per un bel po’ di tempo.

C’è di nuovo Netflix fra i siti bloccati con l’ultimo attacco Ddos di qualche giorno fa, insieme a Twitter, Spotify, Airbnb, Reddit, Etsy, SoundCloud, GitHub e The New York Times, giusto per fare i nomi più grossi.  La trama è simile a quella appena raccontata e si riparla del “più grande attacco a internet“: la tecnica è la stessa, cambia solo il target,  ma la quantità di dati inviati ai server attaccati è di oltre 620 Gigabit al secondo, più del doppio di quello del 2013.

Alla base c’è sempre il solito Ddos (ormai il 90% degli attacchi sono di questo tipo) ma la prima differenza è rappresentata dal bersaglio: i server di Dyn.com, una società che offre il DNS ai molti domini Internet, che appena attaccata crea un effetto domino su un numero incredibilmente alto di altri server che non riescono più ad essere raggiunti nella rete perchè non rispondono più alla chiamata in chiaro in internet. La seconda sostanziale differenza è costituita dalla botnet: non più un esercito di computer zombie ma una massa indecifrata di attrezzature e oggetti che utilizzano l’IoT:  immaginate un esercito zombie di frigoriferi, televisori, lavatrici, macchine fotografiche, termostati, router, telecamere, video registratori digitali, strumenti della robotica, ecc…. che lanciano l’attacco alla Dyn.

E’ da tempo che l’internet delle cose veniva accusato di non badare troppo alla sicurezza, lo diceva già Forbes nel 2014, per esempio.  Brian Krebs, fra i maggiori esperti di sicurezza informatica, l’aveva previsto e aveva lanciato l’allarme denunciando la presenza di un codice che alimenta la botnet costruita su IoT.

Insomma, l’attacco del 21 ottobre sicuramente farà storia per la semplicità con la quale è riuscita a piegare i grandi di internet senza attaccare i loro server. Farà anche accademia per quanti vorranno provarci seguendo uno dei tanti tutorial disponibili in rete e noleggiando una botnet per 5 dollari l’ora.

Chi è stato? Al momento è difficile dirlo o fare delle previsioni, tutte le strade sono aperte: un gruppo di cracker ingaggiati da qualche azienda o qualche partito? oppure una semplice prova sul campo di una nuova strategia di intelligence?

0 comments

La nostra sicurezza nelle chat

In una ricerca pubblicata qualche giorno fa, Amnesty International ha stilato una classifica di 11 aziende (Apple, Blackberry, Facebook, Google, Kakao Corporation, LINE, Microsoft, Snapchat, Telegram, Tencent e Viber Media), proprietarie di applicazioni di messaggistica istantanea, che hanno maggior rispetto per la privacy dei loro clienti.

<img class=”wp-image-4163 alignleft” src=”http://www this content.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg” alt=”prism” width=”440″ height=”330″ srcset=”http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2-300×225.jpg 300w, http://www.vitocola.it/wordpress/wp-content/uploads/2016/10/prism2.jpg 700w” sizes=”(max-width: 440px) 100vw, 440px” />Peccato che sia in testa che in coda alla classifica ci siano gli stessi nomi che dal 2007 al 2013 erano presenti nel famoso caso PRISM.  Amnesty International non ignorava la cosa e ha chiarito di essersi interessata alle aziende “commerciali” con le applicazioni più diffuse. Ecco perché, per esempio, non c’è Signal che appartiene a un gruppo non-profit.

In sostanza Amnesty classifica quelle aziende con più attinenza e rispetto della propria policy in modo da consigliarci un male minore.

I criteri indagati sono stati 5 (1-riconoscere le minacce online alla libertà di espressione e diritto alla privacy come i rischi per i suoi utenti attraverso le sue politiche e le procedure; 2- applica la crittografia “end-to-end” di default; 3-sensibilizza gli utilizzatori sulle minacce alla loro privacy e alla libertà di espressione; 4-rivela i dettagli del richieste del governo per i dati utente; 5-pubblica i dati tecnici del suo sistema della crittografia) ma nessuna analisi tecnica è stata condotta sulla sicurezza globale del servizio di messaggistica.

Precisiamo che neanche con la crittografia “end-to-end”  si è al riparo dagli spioni, poiché sarebbe sempre possibile entrare in possesso delle chiavi crittografiche private con un po’ di “social engineering”, ad esempio, fingendosi uno dei destinatari, oppure assicurandosi il controllo di un nodo della connessione, o anche semplicemente accedendo ai dati di backup del cloud, ecc…., più o meno quello che la NSA faceva con x-keyscore.

Dunque, forse, sarebbe stato più utile considerare “se, dove e come” queste aziende conservano i dati dei clienti.

overall-ranking

Per farla breve ne viene fuori che WhatsApp (il più utilizzato sia per numero di ore che per frequenza di utilizzo e che usa lo stesso protocollo di Signal) è la chat più sicura di tutte, superando anche la concorrente Telegram che, invece, dal 2015  ha messo in palio 300mila dollari per chiunque riesce a superare il proprio sistema di sicurezza.

Ultima cosa importante del documento di Amnesty è che solo la metà delle aziende intervistate, rende pubblico un report sulla quantità di dati degli utenti che viene dato ai governi in seguito a esplicite richieste.

Ma allora, qual è l’app di messaggistica più sicura?

 

ALLO di Google neanche a parlarne. A parte la crittografia traballante c’è quel forte interesse (comune a tutte le aziende) a far soldi con i dati degli utenti che qui viene affinata ancor di più attraverso la “machine learning”. Si tratta di un servizio di profilazione avanzato degli utenti con il quale Google capisce sia il testo che le immagini contenute nei messaggi. In tal modo l’app riesce sia a suggerire frasi automatiche in risposta a delle immagini inviate che consigliare dei risultati di ricerca con una geolocalizzazione rapida su Maps in funzione del contenuto del testo digitato.  Dunque tutto il contrario della privacy dell’utente.

WhatsApp è la più popolare in assoluto, supera il miliardo di utenti e, come dice Amnesty, usa una crittografia end-to-end.  Il problema serio è rappresentato dalla raccolta di dati e metadati (la lista dei contatti, numeri di telefono e a chi si scrive) che Facebook può utilizzare per i propri fini e anche consegnarli alle autorità qualora venissero richiesti. Se poi si sceglie di salvare i contenuti delle conversazioni su cloud si completa il quadro del rischio per l’utente.

Telegram usa il protocollo MTProto definito, però, “traballante” da Thaddeus Grugq. A suo demerito va detto che salva tutti i dati sui propri server in chiaro e a suo merito i “bot” e le api libere per poterli creare, ma sopratutto i “canali” con i quali è possibile comunicare istantaneamente con un grandissimo numero di utenti.

Il migliore è sicuramente Signal e non perchè  l’abbia detto Snowden un anno fa, piuttosto per la sua filosofia di base che lo rende più sicuro.  signalIntanto è un sistema aperto e questo già basta a garantire sulla sicurezza da solo. Anche se può sembrare un ossimoro, in realtà  quando i codici sorgenti sono aperti, chiunque può migliorarli creando patch e sviluppi alternativi attraverso collaborazioni diffuse e riutilizzo del codice.

Inoltre Signal non raccoglie dati e metadati degli utenti da nessuna parte, ma annota soltanto i tempi di connessione. Anche quando chiede di condividere i contatti (in modo da trovare chi usa la stessa app) tutta l’operazione viene subito cancellata dai server.  Non essendo presente la funzione di backup della chat, nel caso si cambiasse smartphone, si dovrà spostare tutto a mano.

E’ stata creata da Open Whispers System, una società no profit che si finanzia solo con le donazioni volontarie. L’unico neo di questa app è quella di essere poco diffusa (sembra che sia stata scaricata da poco più di 1 milione di utenti contro il miliardo di utenti dichiarato da WhatsApp) e probabilmente resterà tale proprio a causa della sua filosofia sulla sicurezza che la rende poco user friendly.

0 comments

Ora e sempre Resistenza (non resilienza)

“Ora e sempre Resistenza” sono i versi finali si una famosa poesia di Calamandrei, ma da un po’ di tempo si sente tanto parlare di “resilienza”.

Si è vero, è un fenomeno di moda di origine anglosassone, ma la cosa antipatica è che molti si affannano a insegnarne pratiche e sistemi; e lo fanno amministrazioni pubbliche e aziende private.

Anche se il sostantivo potrà apparirvi simile o sinonimo di “resistenza”, in realtà è tutt’altra cosa.

L’unica base comune è uno stato di malessere soggettivo o collettivo, qui finisce tutta la somiglianza dei due termini.  Le differenze sostanziali sono nelle soluzioni, nelle reazioni (appunto) a questi stati di difficoltà.

I resilienti di fronte alle difficoltà derivanti da un sistema, tendono ad adattarvisi cercando di rientrarvi dentro attraverso auto-innesti di reazioni positive.

I resistenti, più semplicemente, tendono a lottare quel sistema che causa malessere per cambiarlo.

Tutto qui.

Ecco perché le aziende, gli imprenditori, gli amministratori, preferiscono i resilienti, perché sono soggetti malleabili e adattabili al sistema.

Chi parla di resilienza non sta parlando di voi, ma sta solo organizzando una propria comodità.

Quindi, sempre meglio resistere che resilire.

0 comments

Una scatola nera su tutte le auto e addio alla privacy

Il disegno di legge Concorrenza, ad opera di Salvatore Tomaselli e Luigi Marino del PD, sta per essere approvato in via definitiva e, tra le tante cose (come la regolamentazione di Uber), obbligherà tutti gli automobilisti all’installazione di una “scatola nera” all’interno dei propri autoveicoli.

Queste scatole nere non sono proprio una novità. Circa il 16% degli automobilisti ne ha già installata una, grazie al fatto che le compagnie assicurative offrono uno piccolo sconto sulla polizza in cambio della spontanea georeferenziazione del veicolo. L’automobilista, a fronte di questo sconto, cede la propria privacy e la propria libertà di spostamento.  Il Codacons dice però che lo sconto è poca cosa dal momento che la maggiore diffusione di questi apparati è quasi del tutto limitata a quelle province (Napoli, Caserta, Salerno, Reggio Calabria e Catania) dove il prezzo della Rc auto è la più cara d’Italia. E poi il costo dell’acquisto, del montaggio e della manutenzione del dispositivo (black box) restano a carico del cittadino.

L’obbligo partirà prima per i mezzi pubblici e, dopo un anno, si estenderà a quelli privati.  Il governo dovrà ancora definire quali informazioni minime dovranno essere obbligatoriamente rilevate e quale sarà il loro trattamento, ma di certo non potranno impedire ai GPS di tracciare e registrare l’attività dell’autoveicolo e, quindi, la sorveglianza sull’attività delle persone all’interno delle automobili è già compiuta.

Qualche tempo fa Maurizio Caprino, su Il Sole 24 Ore, ha sostenuto che la compatibilità di questo dll con le norme UE è tutta da verificare, dal momento che quest’ultima è interessata più a obblighi in materia di sicurezza (come i “sistemi di frenata automatica, allarme in caso di cambio di corsie involontario, cruise control attivo e simili”) che ai sistemi di tracciamento.

Allora a chi può interessare tutto questo affaccendarsi del governo per la scatola nera?

Certamente alle compagnie assicurative che attraverso il controllo sull’uso del veicolo, hanno la possibilità di verificare la dinamica di un incidente  in modo da smascherare eventuali truffe ai loro danni. E conviene anche ai produttori dei dispositivi che, manco a farlo apposta,  da tempo spingono in tal senso.

Insomma questo ddl Concorrenza attuerà, di fatto, una sorveglianza massiva attraverso la raccolta indifferenziata di informazioni sensibili su tutti gli automobilisti, sottoponendoli a una restrizione della propria libertà.

Qui non c’è in ballo la sicurezza delle persone ma soltanto un incremento del campo dei sistemi di sorveglianza di massa (come il pre-screening dei passeggeri sugli aerei, le intercettazioni di massa dell’NSA, il pullulare delle telecamere di sorveglianza privata con una legislazione che ne ha mollato completamente il controllo, ecc…).

Insomma per chi non vuole essere tracciato non resteranno che due opzioni: la bicicletta o l’hackeraggio della scatola nera.

 

 

 

Pagine:1234567...129»