Sky
Vittorio vb Bertola
Affacciato sul Web dal 1995

Gio 23 - 21:10
Ciao, essere umano non identificato!
Italiano English Piemonteis
home
home
home
chi sono
chi sono
guida al sito
guida al sito
novità nel sito
novità nel sito
licenza
licenza
contattami
contattami
blog
near a tree [it]
near a tree [it]
vecchi blog
vecchi blog
personale
documenti
documenti
foto
foto
video
video
musica
musica
attività
net governance
net governance
software
software
aiuto
howto
howto
guida a internet
guida a internet
usenet e faq
usenet e faq
il resto
il piemontese
il piemontese
conan
conan
mononoke hime
mononoke hime
software antico
software antico
lavoro
consulenze
consulenze
conferenze
conferenze
job placement
job placement
business angel
business angel
siti e software
siti e software
admin
login
login
your vb
your vb
registrazione
registrazione

Archivio per il mese di dicembre 2006


domenica 31 dicembre 2006, 23:59

L’oroscopo dell’anno nuovo

Care lettrici e cari lettori,

questo √® l’ultimo post dell’anno e naturalmente, come tutti gli ultimi post dell’anno, viene preparato per apparire all’ultimo momento e festeggiare un anno che se ne va e un altro che arriva. Credo che la cosa migliore che si possa dire √® che, senza ipocrisia e di cuore, spero che sia un anno in cui tutti voi potrete realizzare il pi√Ļ possibile dei vostri desideri.

Ma siccome l’uomo ha bisogno di certezze (che non pu√≤ avere) e a questo scopo si √® dotato dei pi√Ļ moderni sistemi di preveggenza, ho assoldato una consulente, nelle vesti di Raffaella Carr√†, che ha scoperto per voi cosa vi riserver√† il 2007. Pensate, ho persino deciso di sfidare tutte le case discografiche del mondo per farvi eccezionalmente ascoltare la previsione: se poi non avete l’audio, √® trascritta pi√Ļ sotto.

Ora premete “play”, e auguri!

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.

P.S. Io, il mio oroscopo, me lo tengo stretto e ci conto!

Maga Maghella, Maga Maghella
Se ti va brutta, se ti va bella
Nel tuo futuro leggerà
Maga Maghella Maga Magà
Con la bacchetta Maga Maghella
Dal firmamento prende una stella
Un micro-oroscopo ti farà
E subitosto te lo dirà

Se sei dei Gemelli tre giorni belli
Stasera esci se sei dei Pesci
Per la Bilancia che mal di pancia
Toro, lavoro ti arriverà

Maga Maghella, Maga Maghella
Se ti va brutta, se ti va bella
Nel tuo futuro leggerà
Maga Maghella Maga Magà
Maga Maghella Maga Magà

Tanta dolcezza per gli Scorpioni
E per la Vergine, baci a vagoni
L’Ariete posta ricever√†
Al Sagittario, felicità!
Se sei dell’Acquario √® straordinario
Un gran bel giorno al Capricorno
Per il Leone fuoco e passione
Cancro sei stanco, non lavorar

Maga Maghella, Maga Maghella
Se ti va brutta, se ti va bella
Nel tuo futuro leggerà
Maga Maghella Maga Magà
Maga Maghella Maga Magà

divider
sabato 30 dicembre 2006, 20:16

23C3 VI

Ho deciso che nel programma dell’ultima giornata del 23C3 non c’era niente di davvero interessante, e cos√¨ ho dedicato il tempo a visitare la citt√† (argomento su cui avrei molto da raccontare, ma lo far√≤ eventualmente con calma una volta tornato a casa e passato Capodanno). Sono quindi arrivato alla sede del congresso giusto in tempo per l’ultimo seminario, e poi per la cerimonia di chiusura.

Il seminario che ho seguito parlava di discordianesimo e di culture jamming, mostrando esempi eccezionali di sovversione culturale di ogni genere. Probabilmente l’unico artista del genere di cui si √® sentito in Italia √® Banksy, quello che appende quadri modificati nei musei che regolarmente nessuno trova; eppure c’√® veramente qualsiasi tipo di apparente follia con un significato politico o artistico sotterraneo.

Ad esempio, a San Francisco un gruppo di performer ha partecipato alla classica gara di corsa Bay To Breakers – in cui decine di migliaia di persone corrono dall’interno della baia fino all’oceano – per√≤ vestendosi da salmone e percorrendo la strada al contrario, dal mare verso l’interno; l’idea ha avuto talmente successo che sia la Nike che la Bacardi l’hanno riutilizzata per degli spot (con successiva discussione se ci√≤ sia bene o male).

Interessante anche il Burning Man, una specie di comune estiva in cui √® vietato l’uso di denaro, e in cui cinquantamila persone campeggiano per una settimana nel deserto utilizzando solo il dono e il baratto (a parte naturalmente quando prendono la macchina e vanno al supermercato del paese vicino). Pi√Ļ preoccupante l’esperimento effettuato su un gruppo di bambini, che hanno preferito avere come colazione una pietra invece di una banana, solo perch√® sulla pietra c’era un adesivo dell’Uomo Ragno.

Insomma, il culture jamming √® un tentativo di svegliare le coscienze evitando l’assuefazione e le ipotesi scontate o inculcate nei nostri cervelli dalla comunicazione commerciale… devo dire che l’idea mi attira.

La cerimonia conclusiva √® stata pi√Ļ morigerata; notevole il numero finale di partecipanti, tra abbonamenti e biglietti giornalieri, ossia circa 4200 persone (numero giustamente appropriato). Il wi-fi nelle stanze pi√Ļ affollate non funzionava granch√®, ma d’altra parte c’erano circa 1600 portatili collegati alla wireless LAN… Ed √® successo che il loro router centrale ha raggiunto un limite di indirizzamento di 4096 macchine sulla stessa rete che non conosceva nemmeno il suo costruttore! Comunque, a parte un ISP che ha chiamato per chiedere di rendere inaccessbile la sua intera rete dall’interno del congresso, nessun problema di hacking degno di nota, e arrivederci al campeggio che il CCC organizzer√† nell’estate 2007.

Vorrei aggiungere, per finire, alcune considerazioni sull’eccellente livello di questa conferenza – anche se gli habitu√© si sono ovviamente lamentati che quest’anno non era come l’altr’anno, e che l’altr’anno s√¨ che c’erano dei seminari tecnicissimi con i controfiocchi mentre quest’anno c’erano solo banalit√†, e cos√¨ via. Tuttavia, questa √® una conferenza hacker organizzata in modo professionale, non solo per il numero di persone – credo anche retribuite in buona parte – che ci lavorano, ma per l’approccio generale, con tanto di atti stampati, radiomicrofoni di ultima generazione, maxischermi con maxiproiettore, relatori da tutto il mondo e biglietto d’ingresso a 80 euro.

Non √® detto che questo sia necessariamente meglio delle nostre conferenze italiane, la maggior parte delle quali hanno una scala molto minore, e sono organizzate in modo totalmente amatoriale. Tuttavia, mi ha fatto piacere arrivare in una conferenza dove la prima cosa che hanno detto a tutti √® “niente fumo di nessun genere dentro l’edificio, niente sacchi a pelo, niente ubriachi molesti”: ti d√† l’impressione che l’obiettivo principale della conferenza sia la discussione di informazioni tecniche poco conosciute e di argomenti sociali e politici scottanti, e non una grande festa di alcool e canne tutti insieme, con annessa okkupazione e piscio di cane. Massimo rispetto sia per le okkupazioni che per i cani, ma io credo che una conferenza di hacker debba essere altra cosa; √® vero che esistono gi√† anche in Italia conferenze che adottano questo approccio, per√≤ sarebbe bello arrivare infine a costruire un evento italiano del rilievo e della sostanza di questo 23C3.

divider
sabato 30 dicembre 2006, 18:14

Banca Sella e la sicurezza

Cara Banca Sella:

già non sono sicuro che sia così geniale costringermi a cambiare PIN e password ogni 60 giorni: vuol dire che devo cambiare la password quando ho appena cominciato ad impararla, ergo, se fossi un utente medio, mi verrebbe voglia di non impararla proprio e semplicemente scrivermela da qualche parte.

Ma costringermi a cambiarla assolutamente e senza modo di rimandare nemmeno di un giorno, solo per poter avere accesso al mio conto, quando sono nel bel mezzo della pi√Ļ tosta conferenza di hacker d’Europa, rasenta il dolo ai miei danni!

divider
sabato 30 dicembre 2006, 17:49

23C3 V

Ieri sera ho assistito a un grandissimo discorso di Larry Lessig, il fondatore dei Creative Commons. Pi√Ļ che un professore, sembra un attore o anzi un politico; il suo discorso √® perfetto, studiato, sincronizzato con le slide, divertente, interessante, pieno di battute e di metafore da ricordare.

Qui, sembrava pi√Ļ che altro interessato a ricucire le differenze con i duri e puri del free software, che accusano Creative Commons di fare compromessi introducendo la clausola “non commerciale” tra le sue possibili licenze, il che √® una contraddizione rispetto alla libert√† totale offerta dalla licenza GPL della Free Software Foundation; Lessig ha giustamente spiegato che il principio del copyleft serve ad evitare il “free riding” – le persone che usano il lavoro altrui senza contribuire nulla – e che per musica e testo, a differenza che per il software, il free riding sarebbe possibile se non ci fosse una clausola contro l’uso commerciale non autorizzato del materiale.

La strategia che Lessig suggerisce per la vittoria del principio della condivisione libera del contenuto √® quella di costruire una base di contenuto alternativo a quello delle major discografiche, magari non altrettanto buona, ma accessibile a condizioni molto migliori e quindi pi√Ļ facilmente utilizzata; il principio di Vitaminic insomma. Lessig ritiene che la battaglia non possa essere vinta n√® craccando le tecnologie come si √® fatto in questi anni, n√® politicamente vista la forza delle lobby, n√® tramite battaglie legali, visto che tutte le battaglie politiche e legali saranno perdute finch√® il grande pubblico rester√† convinto che l’obiettivo di tutti i fricchettoni dello sharing √® soltanto quello di rubare gratis la musica altrui.

Avevo gi√† ascoltato Lessig a Milano, due anni fa, nella conferenza organizzata da Fiorello Cortiana; ma lo spettacolo che lui ha messo in piedi qui √® cos√¨ avvincente che bisognerebbe mandarlo in TV, o farne uno spettacolo teatrale. In generale, avremmo bisogno di pi√Ļ discussione di massa su questi temi, anche in Italia.

divider
venerdì 29 dicembre 2006, 15:02

23C3 IV

Alla fine ieri sera non sono andato subito a dormire, e ho fatto bene. Prima ho seguito per un’oretta due nerd cicciosi sul palco che cercavano di mettere in piedi uno show comico con scarsi risultati; in realt√† era un bashing continuo dei buchi di sicurezza di Apple, Symantec, Cisco e delle carenti attitudini interpersonali di volti noti come Paul Vixie e Joerg Schilling. Notevole comunque la linea di router Cisco costruita per autenticare i login in remoto su un server LDAP, dove per√≤ si poteva tranquillamente bypassare l’intera procedura di autenticazione semplicemente premendo invio, ossia inserendo una password vuota; e il report della Cisco segnalava che “Questo √® un baco, ma solo limitatamente ai casi in cui non si sia precedentemente inserita su LDAP una password vuota per l’account in questione.”.

Soprattutto, nel cuor della notte, mi sono goduto un’ora di proiezione di divertentissimi clip estratti da decine di film e telefilm di fantascienza, sul tema della biometria nel cinema. A vederli tutti di fila, da James Bond a Schwarzenegger, ci si chiede come abbiamo fatto a berci tante stupidaggini, e in particolare come facciamo a fidarci della biometria, visto il numero di sofisticatissimi controlli della retina o delle impronte digitali che vengono tranquillamente bypassati con occhi finti (in X-Men addirittura con un interessante sistema combinato in cui delle rotelle dentate girano per trovare la retina giusta, insomma un misto con il lockpicking tradizionale) o con dita strappate o trascinate qua e l√†. Il clou √® stato comunque il finale tratto dall’imperdibile Stealth, in cui in un turbinio di immagini incomprensibili un satellite, riprendendo da decine di migliaia di chilometri di distanza le strade affollate di una citt√† araba, riconosce tre persone prima intercettandone la voce (seeeh), poi leggendone la retina (ssseeeeeeeehh), e poi… leggendo fotograficamente una impronta digitale da un palo della luce!

Stamattina invece ho cambiato programma all’ultimo, evitando il seminario su FileVault, il filesystem criptato della Apple (riassunto: non √® stato ancora craccato), e dirigendomi invece a una interessante presentazione sull’uso della logica fuzzy per recuperare informazioni da un database. In poche parole, il tizio ha scritto un motorino semantico per definire in modo fuzzy cosa √®, per esempio, “caldo” o “freddo”, in modo da permetterti di chiedere “una citt√† calda vicino a San Francisco” e recuperare dei risultati in ordine di ranking da una tabella di citt√† con le relative temperature e posizioni. Il principio √® sicuramente interessante, anche se mi ha detto che lo sviluppo dei motori grammaticali per l’italiano √® molto indietro rispetto a inglese, tedesco e giapponese.

Il secondo seminario della mattinata √® stato quello di un tizio di Google che parlava di Mac OS X, della sua gestione della memoria (interessante l’esistenza di binari firmati e cifrati da Apple, ad esempio quello del Finder) e del chip TPM (quello che implementa il trusted computing) che ci hanno messo dentro. La sua tesi √® che il TPM non funzioner√† mai perch√® √® troppo complicato e nessuno vorr√† mai impazzire per programmarlo; nel frattempo, dopo aver portato sotto OSX il driver TPM Infineon che esiste per Linux, ne ha proposto qualche uso intelligente, come usarlo per generare chiavi SSH in modo che possano essere utilizzati soltanto su quella macchina. Non sembra aver molto convinto la platea, ma si √® riscattato con un demo in cui, maneggiando a basso livello il sistema operativo, deformava certe finestre sullo schermo.

Naturalmente, subito dopo ha preso la parola un √ľbernerd che in un inglese zolo fakamente komprenzibile ha contestato il tono tranquillizzante della presentazione, sostenendo che Apple ha gi√† nascosto degli elicotteri neri in tutti i computer per rubare l’anima ai propri utenti. Il relatore ha insistito che il chip non √® attivato, che al momento non c’√® nemmeno un suo driver dentro Mac OS X, e che comunque √® sotto il pieno controllo dell’utente, e che si pu√≤ spegnere in qualsiasi momento. Alla fine gli hanno fatto notare che basta nascondere un pezzo di codice che attivi il tutto dentro una update di qualcos’altro, e in effetti lui non ha saputo rispondere nient’altro che “Io mi fido di Apple”.

Infine, la giornata pre-pranzo (considerate che qui si va ad orari da nerd, quindi la pausa pranzo è dalle 15 abbondanti alle 16) è terminata con un interessante seminario sulle caratteristiche interne del Bluetooth. Ci sono alcune cose piuttosto maligne, come il fatto che i dispositivi si distribuiscano in forma di piconet gestite da un master, che fanno salti di frequenza a intervalli regolari: in pratica, non basta ascoltare una frequenza per intercettare una conversazione, ma bisogna sincronizzarsi al master e seguire i suoi spostamenti di frequenza.

Bella la storia del nerd che ha costruito un antennone a forma di pistolone per massimizzare il range, arrivando a 800 metri dal suo telefono, lasciato su una panchina con un biglietto che spiegava la situazione; in quel momento per√≤ un vecchietto che passava di l√† glielo ha fregato, e lui lo ha inseguito con questa grossa pistola nera per farselo ridare, spaventandolo a morte (incidentalmente, dovendo portare con s√® il dispositivo, il relatore non ha potuto venire in aereo, e ha dovuto farsi sette ore di guida col pistolone nel baule). Ad ogni modo, questo antennone intercetta telefoni Bluetooth con due edifici nel mezzo…

Comunque, la morale √® che il Bluetooth come implementato ora (cio√® in modo molto approssimativo) √® assolutamente insicuro: ad esempio quasi tutti i sistemi vivavoce hanno un PIN fisso hardcoded nell’hardware (ad esempio “5475” per Nokia) e nella maggior parte dei casi √® “0000”. E vi risparmio il demo live su come prendere possesso di un vecchio Mac…

divider
giovedì 28 dicembre 2006, 22:47

23C3 III

Rieccomi qui con il resoconto del resto della seconda giornata del 23C3

La prima sessione che ho visto al pomeriggio era dedicata all’hacking delle tag RFID, e in particolare a un interessante progetto per realizzare un oggetto hardware denominato RFID Guardian, che permette di mascherare selettivamente una o pi√Ļ specifiche tag RFID rendendole inaccessibili ai lettori. L’idea √® di fare un oggetto che possa essere integrato in un PDA o un cellulare, e che vi permetta ad esempio di “sintonizzarvi” sul vostro passaporto RFID-enabled ed evitare che chiunque in qualsiasi posto possa interrogarlo e scoprire che ci siete. Il problema √® il costo di produzione, che al momento √® ancora di diverse centinaia di euro; e poi, ovviamente, una cosa del genere potrebbe avere un sacco di usi illegali, per cui va capito se non verr√† reso completamente illegale.

Subito dopo ho assistito al seminario sul body hacking, dove una pazza si vantava di essersi infilata un magnete di un centimetro sotto la punta del dito (con tanto di foto di bisturi e sangue) per provare piacere avvicinandosi ai cavi elettrici e ad altre sorgenti di campi magnetici. Ha poi aggiunto la seguente istruzione per l’uso: non andate mai a fare una risonanza magnetica, perch√® vi esploderebbe il dito. Ammetto di non aver seguito il resto per il disgusto.

Dopo un giro al supermercato e un ottimo pranzo a base di pollo fritto e noodle in salsa di curry, la serata si √® aperta con un workshop su come hackerare le console di settima generazione (PS3, Xbox 360 e Wii, con tanto di omino che le solleva e le mostra dal palco, e che non ci riesce quando √® il turno della PS3, che √® praticamente di ghisa). A parte le considerazioni di base (tipo, PS3 e Xbox costano il doppio del prezzo a cui vengono vendute, mentre il Wii, che √® praticamente un Gamecube reinscatolato, ha meno potenza computazionale di una macchina del caff√® e alla produzione costa un quinto delle altre: per illustrare il concetto, il signore ha fatto seguire alla slide di confronto Wii / Gamecube una slide di confronto C=128 / C=64…), √® stato carino scoprire che il controller del Wii √® direttamente usabile con un PC dotato di Bluetooth, ad esempio per controllare le presentazioni – e costa solo 30 euro!

Ho quindi scoperto come funziona il sistema di sicurezza del Gamecube; praticamente, dopo aver prodotto una pila di DVD, misurano la distanza angolare tra il primo e l’ultimo settore del disco – che non √® mai esattamente la stessa – e la annotano da qualche parte sui dischi in modo cifrato. Peccato che invece di usare una cifratura asimmetrica ne abbiano usata una simmetrica, con la chiave bellamente scritta nel firmware del lettore DVD… e ci abbiano pure messo una backdoor per disabilitare l’autenticazione, con l’inimmaginabile password “MATSHITA DVD-GAME”. Ma non preoccupatevi, per il Wii hanno sistemato le cose: hanno cambiato la password, ora √® “matshita dvd-game”! (Comunque, per quanto questo permetta di eseguire giochi copiati sul Wii, non permette ancora di eseguire del codice proprio.)

La PS3, invece, ha una piattaforma aperta su cui √® gi√† stato portato Linux, che per√≤ viene eseguito in una sandbox denominata Hypervisor; non permette di usare il processore video e la relativa memoria, quindi niente giochi 3D, ma √® comunque ottimo per calcoli vettoriali, dato che sei unit√† SPU del processore Cell sono accessibili direttamente, e in generale per avere un media center basato su Linux o un emulatore di piattaforme pi√Ļ vecchie: abbiamo anche visto Fedora/PS3 girare sullo schermone (pare che sia l’unica distribuzione supportata al momento). In sostanza, Sony ha fatto una cosa intelligente: visto che il 90% del sistema √® gi√† accessibile, non c’√® un grande incentivo per gli hacker per craccare il rimanente 10% e permettere quindi la copia dei giochi, che √® ci√≤ che veramente gli interessa prevenire.

Un approccio simile √® stato preso nella Xbox, dove l’hypervisor √® molto sofisticato per impedire codice automodificante e in generale codice non autorizzato, incluso Linux; di fatto pi√Ļ che un hypervisor √® un sistema per evitare qualsiasi uso custom della piattaforma. Ci√≤ che Microsoft permette all’utente √® lo sviluppo di semplici giochi in C#, senza accesso alla rete o al lettore DVD, usando un framework precotto denominato XNA Express che costa cento dollari l’anno, e caricando il risultato in una specie di “Youtube di giochini” gestito direttamente da loro.

L’ultimo seminario della serata (ce ne sono altri, ma onestamente ho sonno) √® stato eccezionale: un pazzo √® salito sul palco urlando e mostrando slide incomprensibili, e tirando fuori spunti di puro genio che sarebbero sufficienti ad alimentare dieci anni di ricerca matematico-informatica. Tra le altre cose, bella l’idea dei passnym, ossia di mappare i 160 bit di un fingerprint di una chiave RSA su uno spazio costituito da cinque coppie di persone, caratterizzate da un nome maschile, un nome femminile e un cognome presi da un elenco di riferimento, in modo che, a differenza di una stringa di 40 cifre esadecimali, possano essere ricordati o perlomeno distinti se diversi dal solito (ossia in caso di falsificazione della firma).

Il concetto centrale della presentazione, comunque, era quello di spezzettare un file di qualche genere in pezzetti di, per esempio, 32 byte, e poi studiare la correlazione tra tutte le possibili coppie di pezzetti e rappresentarle graficamente, ad esempio chiaro per molto correlato e scuro per poco correlato. In caso di un file completamente non ridondante (ad esempio un file compresso) compare smplicemente la diagonale, mentre se c’√® correlazione iniziano ad apparire dei quadrati e dei pattern rettangolari. Questo permette di individuare a prima vista le diverse sezioni di un file: ad esempio, se applicato a un brano musicale, appaiono pattern quadrati che corrispondono esattamente alle diverse sezioni del brano (strofe, ritornelli eccetera). Se applicati a file eseguibili, si distinguono a prima vista le diverse zone del file (codice, dati eccetera); se applicati a traffico di rete, si vedono immediatamente i confini dei vari pacchetti. Molto meglio che cercare di retroingegnerizzare un insieme di dati partendo solo da un dump esadecimale…

divider
giovedì 28 dicembre 2006, 13:45

23C3 II

La serata di ieri √® stata interessante; il talk del signore di Microsoft ha presentato il nuovo sistema per l’identificazione personale, integrato nel nuovo Windows Vista, chiamato CardSpace. Si tratta di un sistema sorprendentemente sensato, in cui le specifiche (promesse come pubbliche e libere da royalty) permettono l’interazione tra un applicativo di gestione dell’identit√† – di cui una implementazione √® appunto inclusa in Vista -, un server che richiede l’identificazione, e un fornitore di identit√†. L’utente definisce sul proprio computer un certo numero di “card”, ognuna delle quali corrisponde a una delle proprie identit√† in rete; esse possono essere certificate da un determinato fornitore di identit√†, oppure auto-generate, come avviene normalmente per la maggior parte degli username e password che utilizzate. Il sito, mediante un certo insieme di tag HTML, pu√≤ richiedere l’invio di una card, certificata da una terza parte o meno, e a quel punto l’utente decide quale inviare e controlla quali sono le informazioni che vengono effettivamente fornite. E’ necessario fidarsi del fornitore di identit√†, visto che l’utente non pu√≤ controllare l’effettivo contenuto del token cifrato che viene generato dal fornitore, passato all’utente e da questo inviato al sito per autenticarsi, se non mediante una versione in chiaro che √® comunicata separatamente dal fornitore di identit√† all’utente.

Ho poi saltato il talk di un paio di conoscenti per assistere alla Vendetta dei nerd femmina, una orrida conferenza femminista tenuta da una giornalista americana che deve avere grossi problemi con la propria identit√†. Naturalmente, l’intera conferenza era una lamentela su quanto le donne siano discriminate nella societ√† e nell’informatica in particolare, con una accurata selezione di dati statistici fuori contesto e di singoli paper scritti apposta per “provare” la tesi. L’unico interlocutore dalla platea che si √® permesso di contestare la validit√† assoluta di affermazioni categoriche come “nessuna donna preferirebbe mai passare la notte con dei marmocchi invece che a scrivere codice” o “quando un uomo e una donna collaborano sul lavoro non c’√® mai dietro l’attrazione sessuale, al massimo si finisce a letto ogni tanto come capita tra colleghi uomini” si √® beccato pure i buu dalla claque (femminile).

Stamattina, invece, era il momento del seminario di Joi su World of Warcraft: ovviamente una presentazione spettacolare, con tanto di video-promo della sua gilda (doppiamente denominata We Know / We No per alleanza e orda) e tentato recruiting sul posto. Le note erano interessanti, spiegando l’importanza della collaborazione – ci siamo anche visti due minuti di filmato sull’abbattimento di Onyxia, con tanto di spiegone su come ogni pezzo di armatura per fire resistance del tank abbia richiesto centinaia di ore di gioco a mezza gilda – e includendo racconti su come lui tenga Teamspeak acceso tutto il giorno sulle casse del salotto, in modo da sentire come sottofondo cosa sta facendo la gilda in quel momento anche se lui non sta giocando.

Ovviamente, alla fine del peana, ho abbrancato il microfono per togliermi i miei noti sassolini dalle scarpe, e ho segnalato che, con tutti i caveat del caso, esiste anche l’altra faccia della medaglia, con i miei aneddoti di gente che accorcia il viaggio di nozze per non restare indietro nel gioco e di liti in real life per questioni di gilda. Devo aver dato la stura a un malessere diffuso, perch√® dietro di me si √® formata una lunga coda al microfono, con racconti di ragazzi che lasciano l’universit√† per giocare a WoW tutto il giorno, o di distinti professionisti sorpresi a giocare regolarmente sul posto di lavoro, licenziati in tronco e che ora giocano a WoW vivendo del sussidio di disoccupazione. Ovviamente √® giusta l’osservazione che se una persona ha un comportamento ossessivo o problemi nella vita reale lo strumento su cui li sfoga √® poco rilevante, cos√¨ come quella che √® meglio intossicarsi di un gioco collettivo che di alcool o eroina; alla fine per√≤ si parlava apertamente di incentivare (alcuni dicevano obbligare) la Blizzard a creare centri di disintossicazione dal gioco, e si parlava apertamente di buona parte dei giocatori di WoW come di drogati… Del resto il governo cinese ha gi√† imposto modifiche al programma in modo che oltre un certo numero di ore al giorno si smetta progressivamente di fare punti!

Ora sto assistendo distrattamente a un discorso malato secondo cui il clock skew (disallineamento progressivo dell’orologio interno) di un PC – tipico della specifica macchina – pu√≤ non solo essere misurato dall’esterno mediante invio di opportuni messaggi ICMP, il che permette di tracciare quanti host diversi ci sono dietro un firewall, o di capire se due host virtuali stanno sulla stessa macchina; ma, variando con la temperatura, rende possibile capire se la CPU del PC sta lavorando a massimo carico oppure no. Tutto questo viene collegato alla possibilit√† di attaccare la rete Tor, anche se mi son perso come; o di inviare messaggi nascosti modulando la temperatura del PC e quindi il suo clock skew… insomma, interessante ma un po’ troppo elucubratorio. Direi che tra poco usciremo, andremo a pranzo e poi faremo una passeggiata a vedere il residuo del Muro, anche se ovviamente mezz’ora fa ha iniziato a nevicare.

divider
mercoledì 27 dicembre 2006, 22:05

23C3 I

Stasera sono ancora in una delle sale della conferenza, visto che il programma prevede seminari fino all’una di notte (partendo dalle 11:30 del mattino: si d√† per scontato che ci sia vita notturna, direi). Eppure, rispetto alle conferenze di hacker italiane, il clima √® decisamente diverso; √® tutto molto organizzato, con tanto di microfoni e presentazioni, e, nonostante la fauna sia prevalentemente composta da nerd, non si vedono n√® ubriachi n√® fumati.

I seminari sono davvero interessanti, e valevano il viaggio. Io ho seguito principalmente quelli sulla privacy e la data retention, di cui uno era tenuto da Ralf Bendrath, uno dei miei colleghi dei forum delle Nazioni Unite; si occupava del problema dei meccanismi di identificazione centralizzata degli utenti su Internet, e dei relativi rischi per la privacy, e alla fine ho pure raccolto l’applauso con un intervento dalla platea.

Poi ce ne sono stati alcuni pi√Ļ tipicamente hacker: ad esempio, sono ora l’orgoglioso possessore di uno Sputnik, una tag RFID attiva (che quindi io posso spegnere a piacimento) che permette all’organizzazione di tracciarmi e mostrare i miei movimenti su una mappa 3D, ma anche che fa parte di un progetto completamente libero per cui io potrei provare a scrivere del software.

Inoltre, c’√® stato un interessante seminario in cui √® stato raccontato per filo e per segno come clonare un bancomat delle Poste Svizzere; pare che questi geni non solo abbiano ancora il sistema adottato nel 1983 – e che, in Francia, fu craccato gi√† nel 1989 – ma persino che, nonostante avvertiti gi√† nel 2003, non abbiano mai provveduto a cambiare il sistema… un sistema che peraltro √® molto semplice, essendo stato concepito per funzionare offline, senza alcuna verifica su server centrali (nel 1983 la rete ubiqua era di l√† da venire).

In pratica, il chip sulla card √® costituito di due parti, una ROM e una scrivibile. La ROM contiene gli stessi dati (tra cui il numero di conto) scritti sia in chiaro che cifrati con una chiave privata appartenente alla banca, senza alcun meccanismo di crittografia sulla carta stessa (quello che hanno, per dire, le smart card di Sky); la verifica √® solo sul fatto che la decodifica della parte cifrata corrisponda con quella in chiaro; basta quindi clonarle pari pari da un bancomat qualsiasi per ottenere una carta valida. E il PIN? Tristemente, il PIN viene utilizzato solo per autorizzare la scrittura sulla parte scrivibile della memoria di un log delle transazioni; basta modificare il firmware della card in modo che accetti la scrittura con qualsiasi PIN per ottenere un bancomat valido. In pi√Ļ, anche se non si dispone di un bancomat da clonare, la chiave privata usata dalla banca √® una RSA a 320 bit, che al giorno d’oggi si pu√≤ craccare a forza bruta in 24 ore con qualsiasi PC… dopodich√®, vi basta un numero di conto valido per creare da zero un bancomat ad esso corrispondente.

Bene, dopo queste notizie preoccupanti – e dopo una lauta cena a base di bistecche – vi lascio, per assistere al seminario del responsabile Microsoft per le policy sull’identificazione digitale. Se dal programma vedete talk interessanti per i prossimi giorni, segnalateli pure…

divider
mercoledì 27 dicembre 2006, 12:33

Linux e Windows

“Let’s talk about viruses… I have a Mac, but I have many friends who live in the semi-illuminated world of Windows…” (risata in sala) “Ok, I guess most of you here are Linux weenies… but don’t laugh, you got your own problems! I mean, who needs viruses when you can have Debian install?”

(John Perry Barlow, parlando al 23C3)

divider
mercoledì 27 dicembre 2006, 12:30

Ancora Berlino

Ebbene s√¨, sono di nuovo a Berlino, questa volta per assistere al 23C3, il ventitreesimo Chaos Communications Congress. (Per chi non lo sapesse, il Chaos Computer Club √® la principale associazione di hacker tedesca, e direi anche d’Europa; organizza due volte l’anno la pi√Ļ grande conferenza di hacker del continente, e una delle due √® tradizionalmente tra Natale e Capodanno.)

La sorpresa principale √® stato il mio primo volo da Bergamo, e il mio primo volo con Air Berlin; se Bergamo come aeroporto √® comodo (in auto) ma orribilmente sovraffollato, Air Berlin si √® rivelata essere una linea aerea full service al costo quasi di un low cost; ci hanno preassegnato i posti, abbiamo volato su un nuovissimo Airbus 320 con tanto di schermini e proiezione di Mr. Bean, e a bordo ci hanno persino offerto un panino e una bevanda, incredibile… ancora una volta, ++ per i tedeschi.

Berlino √®… beh, gelida e nebbiosa, ma l’atmosfera di Alexanderplatz immersa nella nebbia notturna √® secondo me impagabile. Il convegno √® molto cool, e magari bloggher√≤ un po’ in proposito tra qualche tempo; ho gi√† incrociato Thomas (che in questo momento sta cazziando in tedesco stretto il relatore del seminario su GnuPG per le sue ripetute inesattezze: mai fare una conferenza sulla crittografia di fronte a un matematico tedesco) e ho il sospetto che incrocer√≤ parecchia altra gente del giro tedesco di ICANN / IGF; in compenso ancora nessuna traccia della autoproclamatasi “it.militia“.

Ora vi lascio, ma bloggherò ancora una battuta che ha fatto stamattina John Perry Barlow Рuno dei padri della cybercultura e fondatore di EFF Рnel discorso di apertura, dedicandola a tutti i nerd in sala e altrove!

divider
 
Creative Commons License
Questo sito è (C) 1995-2017 di Vittorio Bertola - Informativa privacy e cookie
Alcuni diritti riservati secondo la licenza Creative Commons Attribuzione - Non Commerciale - Condividi allo stesso modo
Attribution Noncommercial Sharealike