Tag Archives: italy

CD-R Audio vs. CD-R Data

Ho letto il testo del decreto sulla nuova tassa (balzello) sui supporti di memorizzazione (CD, hard disk, memorie, etc.).

Macitynet ha pubblicato una tabella comparativa (la pagine ora non è raggiungibile, ma la tabella è stata ripubblicata su Manteblog) e mi ha colpito la distinzione fra CD-R Audio (0.15€ ora/registrazione) e CD-R Data (0.22€ ora/registrazione).

Mi fanno notare che:

esistevano (esistono?) dei registratori stand-alone, da collegare allo stereo per intenderci, che accettavano solo questo tipo particolare di dischi (CD-R Audio).

e da una ricerca su AVForum:

CD-R audio have a data header already written on the disk […] which specifies that they are to be used exclusively for audio use- These are the only disks that dedicated audio burners can use, as they are programmed to check that this header is there. Data CD-R’s lack this header, and can be burnt to any kind of cd so long as they are made using a data cd burner (IE cd writer drive in a PC).

Impressioni a caldo su Italia.it

Dopo alcuni problemi iniziali, pare che questa volta sia veramente online (via Wittgenstein).

Video stucchevoli (qui e qui, ad esempio) e un po’ tutti uguali (guardate questi). Bello il virtual tour. Poi ci sono le informazioni utili (che sembrano il riassunto delle prime pagine informative di qualsiasi guida turistica) e lo splendido magazine in inglese Magic Italy: che non sembra fatto male, in sé, ma c’è da notare che anche all’estero qualsiasi rivista di settore è piena di articoli sull’Italia e sui suoi tesori nascosti e quindi Magic Italy è a dir poco ridondante.

Infine un ultimo commento: se mi connetto dall’Inghilterra e la lingua di default del sistema operativo e del browser è l’inglese… bé, mi aspetterei di essere rediretto alle pagine corrispondenti.

ps: non commento sull’assenza di qualsiasi caratteristica 2.0 perché se ne è già parlato tanto in passato.

Regolamentare Internet: Berlusconi non è solo

Oops: ultimamente mi era sfuggito un feed abbastanza interessante. Sembra che Berlusconi non sia l’unico che cerchi di regolamentare Internet. Ci si mette anche il ministro della cultura della autorevolissima Inghilterra (via LINX). Oltre, naturalmente, al prossimo G8.

Dico questo non per difendere B. Né per ribattere, una volta tanto, agli inglesini di The Register, a cui piace mettere alla berlina l’Italia. È per rispondere a chi magari pensa che “lui non sa quel che dice” o “non vi preoccupate, tanto non sa nemmeno cosa sia Internet”. Ecco, il problema è che forse lo sa.

Il segreto di Pulcinella

Come previsto, il segreto (che segreto non era da un pezzo) ora e’ totalmente di pubblico dominio.

Una breve ricerca con Google individua gia’ decine di siti (Slashdot compreso) che parlano del non-segreto. Ad esempio, qui.

In pratica, Halvar Flake ha formulato un ipotesi e un ricercatore di Matasano Security ha gentilmente confermato. Tranquilli, ora chiede scusa. In pratica, il super-segreto che era mezzo segreto perche’ molti lo conoscevano, anzi un quarto perche’ chi non lo conosceva dice che uno bravo lo avrebbe capito, anzi un ottavo perche’ quello bravo dice che era troppo facile per lui, non e’ piu’ segreto.

Qui la descrizione dettagliata, di seguito una spiegazione “fatta in casa” per cercare di dare forma ai tecnicismi.

***
Supponiamo che io sono un cattivo e voglio far si’ che tutti gli utenti di un ISP (esempio, Telecom Italia) che visitano il sito di Repubblica.it vengano indirizzati al mio sito (fasullo) di Repubblica. Quello che devo fare e’ incredibilmente semplice:

  1. Interrogo il nameserver di Telecom Italia con “AAAAAA.REPUBBLICA.IT” (suponiamo si chiami NS-TI)
  2. Il sito non e’ nella cache di NS-TI e questo gira la richiesta al nameserver di Repubblica.it (es, VENERE.INET.IT)
  3. VENERE.INET.IT dovrebbe rispondere qualcosa del tipo “sito inesistente” e la risposta sarebbe memorizzata da NS-TI
  4. Fra domanda e risposta c’e’ un breve intervallo di tempo in cui io, cattivo, posso creare una risposta fasulla da spedire a NS-TI
  5. Non c’e’ modo, per NS-TI, di sapere chi ha generato una data risposta, o meglio, un modo c’e’: ogni query contiene un ID generato casualmente che deve essere riprodotto nella risposta
  6. Io, cattivo, non conosco questo ID e posso solo indovinarlo. Le probabilita’ sono molto basse, ma se lo indovino ho convinto NS-TI che la mia risposta fasulla e’ invece quella vera. Quante probabilita’ ho di indovinare? 1/65536 (circa), se gli ID vengono generati casualmente. Molto bassa, ma posso ripetere lo stesso giochino con AAAAAB.REPUBBLICA.IT e cosi’ via finche’ non “c’azzecco”

Supponiamo che, ad un certo punto, riesca a convincere NS-TI che FFFFFF.REPUBBLICA.IT sia io. A che mi serve? Nessuno digitera’ un indirizzo cosi’ stupido. Vero, ma si da il caso che ci sia una piccola regolina nel funzionamento del DNS che mi dice che, insieme alla risposta di FFFFFF.REPUBBLICA.IT, io possa mandare un update per VENERE.INET.IT.

Cosa vuol dire? Che da questo momento in poi, qualunque utente del service provider Telecom Italia che digiti WWW.REPUBBLICA.IT sul suo browser verra’ rediretto al mio sito. Ora immaginate che questo giochino venga fatto con il sito di una banca online.

***

SOLUZIONE
Senza entrare nei dettagli, Dan Kaminski propone di applicare un “source port randomisation”, che vuol dire che io, cattivo, non solo devo indovinare l’ID contenuto nel messaggio ma anche la porta UDP dal quale il messaggio e’ partito.

La comunita’ internet e’ d’accordo che questa e’ una mezza soluzione, perche’ se diminuisce le probabilita’ dell’attacco non lo elimina del tutto:

  • Ho letto da qualche parte che alcuni cache resolver non usano tutte le porte possibili (65535) ma solo un sotto-insieme, rendendo la soluzione meno efficace
  • In altri casi, le porte cambiano in maniera sequenziale (cioe’, se prima ho usato 1025, ora uso 1026 e cosi’ via)

Ma il vero problema e’ che se prima un hacker ci impiegava 10 secondi adesso ci impiega, nel peggiore dei casi, 10*65535 secondi, circa 8 giorni. Cio’ che fa la differenza e’ la mole di traffico che l’attacco genererebbe, che difficilmente non verrebbe notato dai firewall degli ISP.

Se l’attacco, pero’, venisse distribuito in maniera intelligente fra vari ISP e diluito in un periodo di tempo piu’ lungo (ad esempio, qualche mese) potrebbe non essere facilmente rilevabile. Se i tempi vi sembrano lunghi, pensate che, con un simile attacco, avreste la certezza che da qui alla fine dell’anno il sito della vostra banca preferita sara’ hackerato. Speriamo solo “non con il mio ISP.

L’unica soluzione, come ho parlato da qualche parte, e’ DNSSEC, ma ha ancora troppe resistenze di tipo politico.

PS: in ogni caso, ho la vaga sensazione che manchi ancora un tassello… forse, pero’, questa volta mi sbaglio.

Carta d’identita’ elettronica e impronte digitali

Dovrei parlare dell’ICANN di Parigi, ma non ne ho voglia. Piuttosto, vorrei concludere il racconto della mia esperienza con la CIE.

***
Lasciati alle spalle i problemi di gestione del software, soliti problemi all’italiana nell’uso di tecnologie “all’avanguardia” ;-), entro in cabina. Convenevoli di rito, documento (vecchio) sul tavolo, mi aggiusto il ciuffo, butto le spalle indietro modello figo-da-spiaggia, sguardo intelligente e via con la foto digitale. Tutto fila liscio fino a che l’impiegata mi chiede:

Lei: vuole lasciare le impronte digitali?
Io (incredulo): Cosa? E perche’?
Lei: Aumenta la sicurezza
Io: Arrivederci!!

Scioccato e impreparato, torno a casa con tante, troppe domande. Mi consulto con i miei e scopro che:

  • Tutti lasciano le impronte, “perche’ no?”. Naturalmente, nessuno nell’ufficio da’ spiegazioni dettagliate sul come e per cosa verranno usate.
  • Mia madre non sa se qualcuno le abbia chiesto se queste impronte le voleva lasciare (o se, semplicemente, le abbiano mostrato la macchinetta per il rilevamento)
  • Su Wikipedia ci sono tante informazioni sulla CIE, informazioni molto importanti che nessuno si preoccupa di comunicare, a voce o tramite opuscolo informativo, agli utenti.
  • Mi viene consegnata una busta chiusa che, a detta dell’impiegata, contiene i codici da comunicare in caso di smarrimento. Non l’ho ancora aperta, forse ho sbagliato.

In Inghilterra, uno dei cavalli di battaglia del movimento no2id (che si oppone all’introduzione della carta di identita’ elettronica) e’ il database centralizzato con i dati biometrici dei cittadini che solleva forti dubbi e molte domande le cui risposta, per ora, non sono soddisfacenti.

In Italia che si fa? Qualcosa di simile, ma all’italiana, sotto-tono, senza clamore ne’ pubblicita’. Certo, e’ facoltativo, ma senza un’informazione adeguata non c’e’ liberta’ di scelta e, infatti, i miei non sono a conoscenza dei rischi alla sicurezza legati alla carta d’identita’ elettronica:

  • La carta’ e’ sicura? E’ veramente impossibile estratte le impronte digitali da una carta?
  • L’ufficio dove si fa la CIE e’ sicuro? E i suoi sistemi? Cosa succederebbe se un malintenzionato entrasse e rubasse i computer? O inserisse un virus?
  • Perche’ il sabato il sistema non riesce piu’ a trasmettere dati alla centrale? PS: secondo me e’ un problema di memory overhead (e infatti riavviando funziona)
  • Il database dove vengono contenuti i dati e’ sicuro?
  • La trasmissione dei dati e’ sicura?

Le impronte digitali non si cambiano come il pin di una carta di credito: se qualcuno ne venisse in possesso, sarebbe un bel guaio. E dopo aver toccato con mano il sistema di registrazione, stoccaggio e trasmissione della CIE, qualche dubbio sulla sua sicurezza mi e’ venuto: odio le dietrologie, ma doversi affidare a un sistema “che si blocca il sabato mattina” non e’ molto rassicurante!

Carta d’identita’ elettronica – Prima Parte

Sabato scorso ero ad Ancona per rinnovare la carta d’identita’. A quanto pare, Ancona e’ una delle 10 citta’ italiane ad aver avviato la sperimentazione della carta d’identita’ elettronica e questo, naturalmente, mi incuriosiva parecchio (oltre a esserne, in fondo, un po’ fiero, per puro, e un po’ infantile, spirito campanilistico). Quello che segue e’ il racconto di un normale Sabato mattina negli uffici del Comune.

Di buon mattino (intorno alle 11!), raggiungo l’ufficio “carta d’identita’ elettronica” (non si chiama cosi’, ma rende l’idea) che non e’ nell’edificio del Comune, bensi’ nei garage (o cantine, a scelta) di un normale condominio. Un po’ come i gruppi rock di quartiere di una volta.

Mentre entro, mi chiedo se le misure di sicurezza adottate dall’ufficio (o dal condominio?) siano adeguate: dentro ci sono computer, macchinari e altri documenti sensibili, che succede se uno entra di nascosto? Si stampa la carta’ d’identita’? Ruba i dati di tanti cittadini?

In ogni caso, confido nella serieta’ del mio Comune, certo che una situazione del genere non capitera’ mai: mi metto in fila e aspetto il mio turno.

L’impiegato del Comune, molto gentilmente, mi informa che a volte il sistema si blocca (?) ma che in caso di emergenza si puo’ sempre fare la CI tradizionale (allora forse e’ l’ufficio CI e non CIE). Vabbe’, speriamo bene, al mio cartoncino ci tengo.

Il mio primo disappunto (in realta’ lo sapevo gia’, ma crea suspence) e’ scoprire che la CI elettronica costa 25€ e spiccioli, a fronte dei circa 5€ di quella tradizionale. Ok’ che c’e’ il chip, ok la foto a colori, ma a me sembra un po’ tanto. Vabbe’.

Aspetto il mio turno e, naturalmente, il sistema si blocca, ma e’ normale, “succede ogni Sabato“, come ci comunica l’impiegato. A volte e’ un problema di collegamento con Roma, ma di solito “basta chiudere tutto e riaprire, non c’e’ bisogno di riavviare le macchine”.

Ma il software chi l’ha fatto, mia nonna? Ah, no, forse quelli di Italia.it. Dopo 15 minuti (forse era meglio spegnere tutto e riavviare) il sistema riparte e di li’ a poco vengo chiamato nella cabina.

(…to be continued, domani trovero’ delle analogie con il movimento no2id qui in Inghilterra…)