Archivio per la categoria Pensieri sparsi

Di catene, appelli e ipocrisia

Feb 15

Pubblicato da Mario Pascucci in Fuori tema, Pensieri sparsi | 2 commenti

Urge sangue per…
Serve un donatore di midollo osseo per…
Mio figlio ha un raro tumore, forse tu conosci qualcuno per…

Quanti ne riceviamo ogni settimana? E quante volte ci colpiscono in profondità, questi appelli?
Quasi sempre si tratta di bambini, piccoli di età, vittime di gravi malattie.
E quasi sempre si tratta di appelli inconsistenti, fasulli o, peggio, scaduti, perché il caso descritto nell’appello si è risolto, inutile dirlo, tragicamente. Ma l’appello continua a circolare, con l’unica funzione di mantenere vivo un dolore impossibile da placare per i protagonisti, che, disperatamente, avevano affidato alla Rete l’ultimo briciolo di speranza.

Gli “esperti” qui parlerebbero di cose astratte come I Meccanismi della Rete, I Social Network, Il Diritto All’Oblio, cose così.
Comodo. Indolore. Innocuo.

La Rete siamo noi, quelli dietro schermi e tastiere, che alla ricezione di un messaggio di appello, dopo averlo letto, ci diciamo “devo fare qualcosa”, e pensiamo a chi fra i nostri amici è donatore di sangue. O che non conosciamo donatori di midollo osseo. Ma fra tutti i nostri contatti di posta elettronica vuoi che non ce ne sia uno? O magari fra i contatti dei nostri contatti? E allora, via, seleziona tutti, incolla, SEND.

Una benefica sensazione di aver fatto qualcosa di buono, di aver contribuito ad alleviare un dolore. Qualcosa per il nostro ego, per alleviare il senso di colpa che ci infastidirebbe se non facessimo nulla. L’immagine che abbiamo di noi stessi ne guadagna: siamo buoni e generosi.

Mai nessuno che schiodi dalla sedia e vada a donare il fottuto sangue, perché, indipendentemente dagli appelli, di sangue ce n’è sempre bisogno, sempre. O che semplicemente controlli prima se l’appello è ancora valido. No, perché richiederebbe un impegno diretto e personale.

Vogliamo fare veramente qualcosa di buono? Allora basta con la beneficenza a costo zero: inviare una mail a mille persone è solo spam, non beneficenza. E non sposta di un millimetro il problema, vero o presunto, di chi manda un appello del genere.
Ogni giorno, ogni momento, c’è qualcuno che ha bisogno di aiuto, in mille modi differenti. Di aiuto concreto, non di “copia tutti, SEND”.

Come trovarli? Dove? Google: come siamo capaci di cercare “modella nuda foto”, probabilmente siamo capaci di inserire le paroline magiche: “onlus donazioni volontariato”.
No, non faccio volontariato, sono un pigro e mi piace stare comodo. E non mi importa nulla se qualcuno lo vuol fare, ma sono grato a chi lo fa. E mi tengo i miei sensi di colpa.
Ma quando un ragazzo che vende calzini (inutili, scadenti e con colori improbabili) mi ferma e mi chiede soldi, gli offro la colazione: un panino e un cappuccino. Non mi limito ad allungargli un euro, e pace: sarebbe un bavaglio per la coscienza, come lo è il panino. Ma devo guardare in faccia il ragazzo per offrirgli un panino. Ed accorgermi che ha l’età di mio nipote, non più di venti anni, o la mia, oltre i 40, e, indipendentemente dall’età, lo sguardo disperato e sofferente. E devo forzarmi a non chiedere niente, perché so che passerei una giornata di merda, mettendomi nei suoi panni. Mi limito a tenermi il bruciore alla coscienza, a perdere quei cinque minuti che servono a fare la fila alla cassa del bar per pagare panino e cappuccino.
Ma anche senza andare lontano, nella mia città, nel mio quartiere, nel mio palazzo, ci sono persone che hanno sicuramente bisogno di aiuto,
solo che più è vicino il problema è più forti diventano le resistenze a considerarlo “bambino da curare”.

La prossima volta che ci arriva una mail di questo genere, invece di inviarla a tutti i nostri contatti, facciamo un giro sul sito di Medici Senza Frontiere, o di Parentproject.org. Vedrete quanto ce n’è bisogno, di aiuto concreto, altro che email spazzatura.

Riferimenti

Il servizio Antibufala di Paolo Attivissimo
MedBunker, contro frodi e bufale che colpiscono chi è più debole
La storia di Daniele, che mi ha fatto conoscere il progetto ParentProject. Come Daniele ce ne sono tanti, ma anche uno solo è troppo.

Tags: appelli, catene, parentproject.org

La vita comoda dell’insider

Apr 10

Pubblicato da Mario Pascucci in Computer Forensics, Information security, Pensieri sparsi | 4 commenti

Il nemico in casa

L’insider, ossia quello che attacca da dentro, che colpisce alle spalle. La traduzione è “addetto ai lavori”, quindi è uno che sa come funzionano i processi aziendali su cui va a fare danni. Quello che i manager ignorano è che spesso l’insider conosce i processi e le relazioni non scritte, quelle che non compaiono nei documenti corposi di analisi prodotti dal solito consulente per la sicurezza e la privacy.

Per carità, nessuna critica ai consulenti, è anche il mio lavoro, per cui sarebbe un autogol.

La realtà è che spesso le aziende non conoscono le proprie interiora, il proprio corpo. Non sanno che il signore che da anni lavora in quella stanzetta al terzo piano è quello che sa perfettamente come funziona e chi contattare per fare quella cosa specifica, che nella mappatura dei processi aziendali magari non compare neanche, perché è inglobata in una casella con un nome (naturalmente in inglese “burocratico”), che in realtà dice poco su quanto sia importante il lavoro svolto.

La dimensione dell’azienda conta, e conta molto. Più è grande, e più è fisiologico che succeda. D’altra parte il management cambia in fretta, difficilmente regge più di cinque anni, mentre il signore nella stanzetta sta lì magari da venti e più. Il manager ha poco tempo, ha un compito preciso, spesso ingrato, e non può umanamente conoscere tutti.

Ed il signore nella stanzetta passa pian piano nel dimenticatoio, fino a quando non salta fuori che la stanza serve a qualcun altro. O il collega più giovane e “rampante” ottiene la promozione, passando avanti al signore. Ecco creato un altro insider.

Alla faccia della risk analysis

Lo so, ho semplificato, le ragioni sono molto più complesse, e qualsiasi semplificazione o schematizzazione è pericolosissima, perché ogni caso va trattato a parte, come ogni persona è differente dalle altre. Fare altrimenti costituisce un errore di valutazione, che non può essere che fatale.

I documenti di analisi dei rischi, e delle relative contromisure, sono corposi, ben organizzati, dettagliati, ma purtroppo non possono scendere al livello di dettaglio a cui lavora l’insider.

A che ora l’impiegato che consegna la posta interna passa a ritirare le lettere, dove vengono depositate in attesa di spedizione, a che ora l’impiegata del personale stila il foglio delle assenze, le sue abitudini dell’ora del caffè, sono cose che spesso l’insider conosce da tempo, come da tempo sa quale sia il punto debole nella catena, non perché “pensi nero”, ma semplicemente sono informazioni trasformate in abitudini.

Senza parlare poi di quando l’organizzazione aziendale è carente dal punto di vista della assunzione di responsabilità. L’informatica ha molto successo in alcuni ambiti, soprattutto perché consente di scaricare la responsabilità sullo strumento. O almeno così credono molti manager. Mettiamo quel sistema di autenticazione sicuro con la smart card, con le impronte retiniche, con l’ultimo grido tecnologico, e siamo al sicuro da tutto.

E’ la stessa credulità che qualche volta deridiamo in chi va dal mago. Non esistono strumenti magici, anche se vengono venduti per tali. E’ e sarà sempre il contesto e l’essere umano a fare la differenza.

Di cosa parlo? Esistono i tesserini per le presenze, no? “Strusci” il tesserino e attesti la tua presenza in azienda. Naturalmente nessuno si sogna di crearne delle copie, prestarlo al collega, lascialo incustodito sulla scrivania. Certo che no.

Infatti la comparsa dei tesserini per le presenze ha debellato la piaga dell’assenteismo. Lo sappiamo tutti. Naturalmente, questo si accompagna al metodo “punire tutti per non educare nessuno”. Tradotto: anche quando, per un caso più che per intenzione, si individui il colpevole di una violazione o di un comportamento negligente, si preferisce lanciare in aria una manciata di sassolini, che danno fastidio a tutti ma in fondo non danneggiano nessuno, piuttosto che tirare un “sanpietrino” al colpevole, perché implicherebbe un coinvolgimento personale e l’assunzione di responsabilità da parte del manager.

Ecco. L’esempio calza a pennello.

Sistemi di Single Sign-On, log centralizzati e certificati, postazioni dotate di smartcard, crittografia forte, tutto quello che vi viene in mente e che trovate nelle raccomandazioni di chi stila le analisi di sicurezza. Metteteci proprio tutto.
Poi aggiungete il fattore umano: emozioni, situazioni, eventi, relazioni, pensieri, convinzioni, pregiudizi.

Il risultato non tarda ad arrivare. Ogni precauzione, per quanto intelligente e studiata, ha la sua nemesi. Autenticazione con smart card assolutamente sicura? L’impiegato la lascia inserita nel lettore e va alla toilette, lasciando la porta aperta. Oppure la dimentica a casa, e le prossime volte, per paura di scordarla di nuovo, la lascia inserita nel lettore.
Password sottoposte ad un rigido protocollo (del tipo: scadenza ogni tre mesi, lettere numeri e simboli, niente termini a dizionario, differente dalle ultime 4 utilizzate)? Il foglietto attaccato sul fondo del cassetto (o sotto la tastiera, o sotto il portapenne) con le sei password da usare a rotazione risolve il problema di doverle tenere a memoria e inventarne una nuova quattro volte l’anno.

La fantasia è l’unico limite, e quando si tratta di fare meno fatica la fantasia abbonda.

Poi arriva l’incidente di sicurezza. Quello serio. Che non è il virus devastante, non è l’hacker “black” di turno. No, molto meno. Qualcuno ha, a scelta:

Cancellato dei file
Modificato dei file
Copiato dei file
Svuotato un database
Modificato un database
Copiato un intero database
… e via di seguito…

Parte il panico. I manager tuonano, i responsabili tremano, gli amministratori di rete e dei server sono chiamati a casa, di solito nel fine settimana, per rimettere a posto i disastri, i computer sono spenti, tolti dalla “scena del crimine” e riaccesi per fare un backup, gli impiegati interrogati, i log studiati.
Il risultato? La magia tecnologica si rivela insufficiente:

i log non dicono nulla di utile, a parte quello che si sapeva già, ossia postazioni rimaste accese per giorni con un account utente loggato, amministratori che entrano ed escono dalle postazioni “violate”, generando rumore e cancellando molto probabilmente dati preziosi
le postazioni sono state manipolate in più occasioni e da più persone, alterando tracce e cancellando indizi importanti
gli operatori ammettono candidamente di fare uso promiscuo di account e credenziali “perché se il collega è in ferie non posso lavorare senza i suoi file” (i file server, questi sconosciuti)
Sempre sulle postazioni si trova di tutto: software installato senza licenza, configurazione di sicurezza lasciata sulle impostazioni di default, quindi inesistente, dati estranei all’impiego ufficiale della postazione, per usare un eufemismo

Poi si passa al lato organizzativo, e lì si assiste alla sconfitta completa anche del semplice buonsenso. Operatori non formati ed informati sui propri diritti e doveri, amministratori che operano senza linee guida, e quando queste ci sono c’è sempre un buon motivo per fare eccezioni, naturalmente vanificandone l’efficacia. Ed è quasi impossibile far capire al responsabile di turno che lo strumento, pur sofisticato, senza indicazioni d’uso e regole precise è inutile, quando non dannoso per la mal riposta fiducia nella magia tecnologica.

Alla fin fine questo noi lo sappiamo già. Quello in cui veniamo sconfitti ogni giorno è nel far capire che lo strumento non è la soluzione. Ma anche questo lo sappiamo già. Solo che non riusciamo a trasmetterlo, e chi ha la possibilità di comunicare in maniera efficace e massiva spreca l’occasione mostrando situazioni e soluzioni che in una finzione sono perfette, ma nella realtà sono inesistenti.
Basti pensare agli innumerevoli telefilm e film che presentano il lavoro di investigazione sui computer come una sorta di panacea che risulta essere anche la nemesi di tutti i cattivi, mostrando con coloratissime animazioni in pseudo-computergrafica come in pochi passaggi si ricostruisca il volto di una persona da un fotogramma preso da una telecamera di sorveglianza in cui la persona è inquadrata a figura intera. Peccato che bastino alcuni semplici calcoli per mostrare come sia impossibile, indipendentemente dalla tecnologia impiegata. O che da un messaggio di posta elettronica si possa risalire all’effettiva identità di chi lo ha inviato, cosa che anche l’informatico più sprovveduto sa essere impossibile, e sicuramente non utilizzabile come “prova”, perché anche risalendo all’indirizzo IP del mittente, e da questo all’intestazione dell’abbonamento a Internet, non ci sono prove per dimostrare che era proprio lui al computer in quel momento, certo non esaminando il computer e basta. Ed ecco perché nei casi noti della cronaca i periti nominati dai tribunali possono dimostrare ben poco. Ma questo siamo in pochi a capirlo.

Per tutti gli altri, basta usare un sistema biometrico e si risolve il tutto.

Riferimenti ed altre letture

Bruce Schneier – Biometrics: Uses and Abuses – un articolo del noto esperto ricercatore di sicurezza che parla dei limiti e delle trappole concettuali della biometria.
Bruce Schneier – Thwarting an Internal Hacker – Pensieri e considerazioni su un caso reale di insider scoperto prima che potesse fare danni
Roger Clarke – Biometric Insecurity – alcune presentazioni in PowerPoint che mostrano le ragioni che stanno alla base dell’errato uso della biometria
Un ricercatore universitario inganna nove volte su dieci un lettore di impronte digitali usando una pasta per modellare
Duc Nguyen – Your Face Is NOT Your Password – uno scritto presentato alla conferenza Black Hat DC 2009 che mostra come ingannare i sistemi di riconoscimento facciale introdotti da alcuni produttori nei notebook
Un articoletto sulle regole di sicurezza (le famigerate security policy).

Tags: Computer Forensics, insider, policy, sicurezza dell'informazione

Che vuoi fare, son periodi

Mar 2

Pubblicato da Mario Pascucci in Pensieri sparsi, Varie (ed eventuali) | 4 commenti

Cedendo al narcisismo, avevo deciso di partecipare al “contest” del Miglior Blog Tecnico. Poi le cose sono cambiate, ed il destino ci ha messo del suo. Come avete notato, la mia presenza qui è diventata occasionale, ed il tempo a mia disposizione è sempre meno.

E’ un periodo denso di novità, impegni, progetti, ed il tempo (poco) che mi rimane lo reclama il pargolo, come è suo diritto, e sono ben felice di dedicarglielo, anche se non è sempre facile.

Di conseguenza ho scelto di ritirarmi dalla competizione di cui sopra. L’alternativa era di mettermi a scrivere articoli “riempitivo”, ma con voi che mi seguite c’è un patto, che fino ad ora ha sempre dato i suoi frutti: niente articoli “forzati”, scritti per fare massa.

Quindi, se non trovate materiale nuovo è perché sto tenendo fede al patto.

Son periodi. Passeranno. Speriamo.

Di classifiche, pagerank, rantoli e lamenti

Aug 22

Pubblicato da Mario Pascucci in Pensieri sparsi | 2 commenti

I numeri. Dicono che non mentano.

Da gennaio 2007 a oggi il sito che leggete ha ricevuto ben 61, dico, 61 visite indirizzate da una nota classifica di blog italiani, su un totale di 129.000, 51.000 da referer. Dopo che nella settimana a cavallo fra dicembre 2007 e gennaio 2008 è circolato un ASCII-art con due bicchieri dove ogni “pixel” era un link ad un blog, le visite al sito sono aumentate da 1500 a oltre 2100 a settimana, in media. Oggi sono in media 2100-2500, sempre a settimana, tranne in questo periodo, notoriamente di stasi.

Per la diffusione di questo sito è stato infinitamente più efficace un post definito “spammatorio” che l’iscrizione a tre differenti classifiche di blog italiani. Le altre due classifiche hanno condotto qui rispettivamente 72 e 32 visite, sempre nello stesso periodo di 18 mesi. Technorati ne ha portate qui 40.

I numeri parlano molto chiaro: per le classifiche questo sito non vale niente (o quasi), quindi, secondo loro, se siete qui e leggete quello che scrivo state perdendo tempo prezioso.

Alt, fermi. Frenate gli spruzzi di adrenalina e le scariche di ormoni. Non sto dicendo che le classifiche sono inutili. Sto dicendo che per un sito come il mio sono non solo inutili, ma dannose. Ed il mio è un sito da poco. Chiaro?

I contenuti mi pare ci siano, ma sono molto di nicchia. Poi raramente parlo dei fatti miei, anzi, quasi mai. E’ abbastanza normale che il numero di visitatori sia così esiguo, e parimenti il numero di citazioni. Fra l’altro, visto che il famigerato e tenuto Pagerank si basa appunto sulle citazioni, anche questo parametro di valutazione si mantiene su valori piuttosto bassi.

Quello che mi fa molto pensare, ed in un certo senso mi porta a ritenere inutili nel mio caso certi strumenti, sono le continue manipolazioni manuali che vengono fatte agli algoritmi di calcolo del punteggio in classifica. Gli stessi che stilano la classifica dichiarano da più parti che periodicamente il sistema di calcolo della classifica viene rivisto e corretto. Ecco il motivo dei salti improvvisi: pagerank che crollano da 5 a 3 in 24 ore, 600 posizioni in meno in classifica nel giro di una settimana, cose così.

Naturalmente, se avessi toccato qualcosa nel sito, potrei sospettare di aver causato io stesso simili sconvolgimenti tellurici, ma dato che l’unica cosa fatta è pubblicare roba di mia produzione, la cosa è frustrante, a dirla tutta.

Per questo ho preso una decisione: farò in modo di “escludermi” dalle classifiche, in modi e tempi che devo studiare. Il motivo è molto semplice: pensando a queste cose perdo la concentrazione ed invece di occuparmi dei contenuti mi faccio il sangue amaro per cose su cui non solo non ho il controllo, ma neanche la chiave di lettura.

L’altra ragione, per cui ritengo lo strumento classifica stilato in questo modo pressoché inutile per il mio caso, è che non ne ricavo reali indicazioni sul gradimento di quello che offro ai lettori. E’ infinitamente più utile uno strumento come Google Analytics, che mi permette di vedere le cose più cercate, più lette, i tempi ed i modi di accesso al sito, se e quando vengono letti certi documenti, insomma una valutazione molto più granulare e, se vogliamo, impietosa rispetto ad una classifica. Se scrivo stupidaggini o cose inutili, la gente anche se arriva sul sito ci rimane ben poco.

Perché vi dico tutto questo? Non lo so. Sento il bisogno di dirlo a qualcuno, insomma. E poi chissà che qualcuno di voi che mi legge non abbia un suggerimento o una idea migliore. Io sono un po’ a corto, in effetti.

Tags: blog, classifiche, lamenti

Ne vale la pena. Eccome!

Jul 2

Pubblicato da Mario Pascucci in Fuori tema, Pensieri sparsi | 4 commenti

Qualche giorno fa mi sono lasciato andare ad uno dei miei momenti di sconforto (il termine appropriato sarebbe un altro, ma lasciatemelo passare così…), lamentandomi in sostanza che il mondo è brutto, sporco e cattivo.

Mi stavo chiedendo da un po’ se valesse tutto il tempo perso e lo sbattimento per avvertire gente del fatto di avere il sito bucato e schiavizzato da gente priva di scrupoli. In effetti i risultati ottenuti erano piuttosto scarsi, e tutto sommato molto frustranti. Insomma, ero convinto di fare qualcosa di meritevole. Ma le reazioni erano spesso sconcertanti, per non parlare delle poche risposte ottenute.

Ma in questi giorni qualcosa è cambiato, nel senso che sono successe un po’ di cose che in effetti non mi aspettavo, e che mi hanno dato una vigorosa spinta per continuare il lavoro fatto fino ad ora.

A volte ne vale la pena. Molto.

Grazie di cuore a Sauro, Suzukimaruti, Andrea ed altri che non posso citare per riservatezza.

A proposito di bilanci: Wordpress autotest. Grazie, eh?

Jun 23

Pubblicato da Mario Pascucci in Pensieri sparsi | 7 commenti

E’ passato un po’ di tempo dal rilascio del Test di contagio per Wordpress, e stavo tirando le somme. Rilasciato il 5 giugno, è stato usato ad oggi oltre 1200 volte. Non ho contato quanti blog infetti ha trovato, sicuramente qualcuno.

Quello che è certo è che ha avuto una certa risonanza su vari siti e blog, primo fra tutti il gentilissimo Suzukimaruti, che ha avuto il coraggio (e credetemi ce ne vuole, visto il livello di boria che c’è in giro) di esporre in tutta sincerità i fatti, ammettendo di aver avuto un incidente di sicurezza, ed ha collaborato con me fornendomi i dettagli per rendere ancora più efficace il test di contagio.

Come lui altre persone, poche per la verità, che si sono offerte di passarmi tutto il contenuto del loro blog, codice e dump del database, affinché io potessi esaminarlo e creare non solo il test, ma anche tutta la documentazione che potete leggere su questo sito, a vostro beneficio. Persone a cui è stato assicurato l’anonimato, per motivi che dovrebbero essere lampanti. Per chi si domanda il perché, un suggerimento: boria (degli altri) e wannabe (acari della polvere).

Molti, di cui ho scoperto tramite query di Google e di altri motori di ricerca l’infezione al blog, quella vera, pericolosa, sono stati avvertiti da me personalmente, tramite e-mail o messaggi nel blog, ovviamente dotato di moderazione. Nel messaggio chiedevo se era possibile avere il codice del sito e, in seconda istanza, anche il dump del database, assicurando l’anonimato e chiedendo ovviamente l’autorizzazione alla pubblicazione di quanto avessi scoperto sul modo in cui era stato violato il blog. Pochissimi hanno risposto affermativamente. Una persona, gentilissima, mi ha anche offerto l’accesso diretto allo spazio in hosting, di cui mi avrebbe spedito le credenziali, per indagare sulla tecnica di intrusione e violazione del blog.
Gli altri che hanno risposto ho dovuto anche faticare per convincerli che stavo facendo loro un favore.

Ebbene sappino i signori che se hanno potuto pulire il proprio blog, e se hanno potuto verificarne l’integrità devono ringraziare queste persone che si sono offerte di rilasciare il codice del sito ed il contenuto del database per l’analisi. Loro è il merito, e grazie queste persone lor signori hanno potuto usare quanto messo a disposizione senza alcun onere in questo sito, sotto forma di test e documentazione. Avrei potuto chiedere dei backlink, cosa abbastanza comune nei blog. Nemmeno questo ho chiesto, non so che farmene.

Alcuni hanno equivocato lo scopo del test, confondendolo per un test di “infezione del tema di Wordpress”, che è tutta un’altra cosa, come ho spiegato qui. Col risultato di far stare tranquillo chi ha un tema “troianizzato”, perché il test serve a tutt’altro. Eppure sulla pagina di test c’è spiegato di leggere la documentazione, e nelle avvertenze c’è scritto che non è un test per temi “troianizzati”. Anche su Wordpress-it c’è spiegato chiaramente che non è un test per temi infetti, ma non basta. Evidentemente sono io che non riesco ad essere chiaro.

Tutti gli altri non hanno nemmeno ringraziato.

Ci sono ancora molti blog violati là fuori, ed ogni giorno se ne aggiungono altri, l’attacco è tutt’altro che terminato. Ogni volta che faccio una delle query con uno dei motori di ricerca escono nuovi blog, appena violati. Il codice usato per l’intrusione è in evoluzione rapida, e chi lo sviluppa è uno in gamba, non un cretino qualsiasi. Conosce a fondo PHP, Javascript, AJAX, Wordpress, tutti i protocolli del web. Meglio di chiunque altro nei paraggi, molto meglio di me che ne so veramente poco. Lo scopo dell’intrusione è per il momento di fare solo spam, o di iniettare virus attraverso il browser ai visitatori, ma non è detto che rimanga quello. E se una volta violato ed aperto il vostro blog lo vendessero ad una organizzazione criminale dedita al phishing, o peggio?

Vi trovate “bannati” da google? Ossia del vostro sito non v’è più traccia in Google? Siete entrati nella lista di stopbadware.org? Technorati vi snobba? Avete un blog con Wordpress in versione 2.3.3 o precedente? Allora siete già infetti, o state per diventarlo. Dalla scorsa settimana ad oggi almeno altri 5 blog italiani sono stati violati. Quelli che ho scoperto io, ma potrebbero essere molti di più.

Se arrivate qui condotti da una ricerca per “wordpress violato” o “wordpress compromesso”, basta leggere tutti gli articoli della categoria Wordpress. Il link non lo metto, è qui a fianco nell’elenco delle categorie.

Essere colpiti o meno non è questione di popolarità o di “manico”: è solo fortuna. Ed essere colpiti è tutto meno che una vergogna.

Tant’è. Centinaia di e-mail spedite, il tempo impiegato per scriverle, per spiegare ad ogni vittima dell’intrusione dove guardare e come uscirne, col rischio di passare per un hacker cattivo, o un truffatore, e magari trovarmi anche una querela tra capo e collo. Il risultato? Ditemelo voi.

…forse era meglio non fare bilanci.

Tags: blog, sfoghi, Wordpress

Essere webmaster responsabili

May 23

Pubblicato da Mario Pascucci in Information security, Pensieri sparsi | 2 commenti

La recente tempesta di blog compromessi per diffondere spam link nei motori di ricerca più diffusi (riferimenti: [1] [2] [3] [4] [5]) mi ha portato a fare alcune considerazioni, non tutte positive. Anzi.

Prosegui la lettura »

Tags: intrusioni, spam, webmaster, Wordpress

La stanchezza del blogger

May 15

Pubblicato da Mario Pascucci in Pensieri sparsi | 4 commenti

E’ capitato anche a me, qualche tempo fa. Arriva il giorno in cui ti stufi. Di brutto. Quale che sia il motivo per cui hai iniziato col blog, non ne puoi più.

Le mie ragioni sono complesse: ho iniziato, prima col sito, poi col blog, come un tentativo di farmi conoscere, una concessione al mio ego, bistrattato dalla routine e dalla quotidiana anonimia di persona assolutamente normale, di nessuno qualunque.

C’era, in misura minore, il desiderio di compensare in qualche modo tutto quello che su Internet ho imparato e trovato utile. Linux, OpenOffice, il movimento Open Source, la condivisione del sapere. Nel mio lavoro spesso riesco a togliermi d’impiccio grazie a una qualche utility scritta da uno sconosciuto come me, o grazie ad una scarna pagina web che spiega in modo semplice e chiaro concetti che non riesco proprio a digerire. Questo continuo prendere mi fa sentire in debito, parecchio. Ed allora cerco un modo di ripianarlo questo debito, cosciente che forse non potrò mai.

La ragione del blog, o del sito web. Il fatto che sia una piattaforma per blog è del tutto incidentale, è solo perché comodo da usare, sia per me che per chi mi legge. Potrebbe essere anche un sito con pagine statiche di testo, ma così è più comodo, appunto.

Insomma, ti dai da fare, perché credi in quello che fai. Scrivi, correggi, aggiusti, metti gli screenshot, non troppi perché sai che ancora molti stanno col modem a 56k.

Nella migliore delle ipotesi arrivi a sentirti come urlare nel vuoto. Come nel sottotitolo di un noto film: nello spazio nessuno può sentirti urlare.

Intorno senti il nulla. Come parlare in uno stadio, ma dietro una pesante tenda che ti nasconde la visuale. Potrebbe essere pieno, lo stadio, come non esserci nessuno. E tu intanto parli, ma non sai se c’è qualcuno che ascolta. Non puoi vedere le facce, le espressioni: sono annoiati? Ti stanno seguendo? Oppure dopo un po’ si alzano e se ne vanno?

Chi ha mai avuto una platea davanti sa di cosa parlo. Se hai un po’ di esperienza, noti subito quando li stai annoiando, o quando li stai solleticando con qualcosa che interessa. Lo vedi dalle facce, dalla postura.

Qui no. Non sai niente. Ci sono i servizi di statistiche, ma non ti dicono cosa fanno adesso i tuoi visitatori. Non ti fanno vedere le loro facce mentre leggono.

Non hai nessuna indicazione se quello che fai è apprezzato, o anche solo utile, oppure è spazio sprecato.
Poi arriva il commento. O un cenno su un altro blog. O un link da un altro sito. Il totalizzatore impazzisce: nessun commento positivo, un commento negativo, uguale -100% di gradimento. La matematica è impietosa, ma non rispecchia la realtà, fatta di approssimazioni, quantità non rappresentabili, umanamente incomprensibili. Il vizio, inteso come distorsione, tipicamente umano di voler ridurre, scomporre in fattori una realtà che ha poco di comprensibile, porta come risultato il semplificare troppo, pericolosa modellazione in un disastro: nessuno mi legge, e chi mi legge mi trova [sostituire con aggettivo impietoso].

O, molto peggio, la stroncatura di un VIP. Quello che prendi come ideale a cui tendere, e che magari ti ha ispirato per l’inizio della sfida del sito personale (o del blog, poco importa). Scrive di un tuo articolo, o di una tua esternazione, o su qualcosa che hai impiegato tempo a creare, tempo che sottrai ad altre occupazioni. Ne scrive male, entrando con gli stivali anfibi sporchi di fango sul mosaico a intarsio che stai creando con pazienza e dedizione.

In realtà non è successo nulla, magari ha espresso una opinione in modo un po’ sopra le righe, istrione, lui che può permetterselo. Oppure lo ha fatto con cattiveria studiata a tavolino, estrapolando una frase dal contesto e portandola come trofeo a dimostrazione che hai scritto un cumulo di fesserie.

Sono sistemi ampiamente utilizzati in tutti i conflitti interpersonali, da praticamente sempre. Il dileggio, la svalutazione, la parte per il tutto. Lui, il VIP, può permetterselo. Ha un pubblico consolidato, che lo segue, lo inneggia, fa il tifo per lui.

Tu sei uno sconosciuto, non hai un seguito di affezionati. Magari neanche i tuoi amici sanno che hai un sito personale. E di fronte ad un simile attacco ti senti perduto, disarmato e impotente.

Hai perso in partenza. In teoria.

In pratica non succede nulla. Frasi scritte su evanescenti flussi di bit, lacrime perse in un acquazzone.
Può succedere che prendi coraggio e abbozzi un tentativo di risposta, cercando di essere brillante, spiritoso. L’altro non ti nota neanche, o peggio minaccia tuoni e fulmini, dall’alto del suo trono fatto di Pagerank, trackback, commenti, feed.

Alla fine rinunci. Fai come la chiocciola, il mollusco, quando capisce che non c’è lotta, ti rifugi nel guscio, abbandoni il campo. Scrivi un messaggio finale, manifestando la volontà di suicidio virtuale: me ne vado, forse per sempre, forse no.

In realtà stai tentando una disperata ultima difesa: c’è qualcuno là fuori che mi legge? Si faccia sentire, mi allunghi una mano. Non lasci finire sul fondo il poco che c’è di me nel mondo virtuale. Questo significa il tuo messaggio, il tuo post come si dice in gergo da veri blogger.

In un ultimo guizzo di mal riposta dignità, chiudi i commenti al messaggio, come a dire: se mi vuoi tendere una mano, fai un po’ di sforzo, tu che mi leggi. Non limitarti ad un commento, scrivimi una mail, cerca nel sito il mio indirizzo, e dammi un segnale un po’ più personale di un commento.

Invero, lo fai anche perché, tra i tanti motivi, il tuo sito ti è venuto a schifo. Ti ripugna, come vedere un te stesso in cui non ti riconosci più.

I commenti ti costringerebbero a tornare sul sito, a guardare di nuovo quella home page che ti infastidisce, come una tua foto venuta con gli occhi chiusi, e non sai spiegarne il motivo.

Per un po’ reggi il punto, come quando hai discusso con qualcuno e sai di aver ragione a metà, però vuoi vuoi fare il sostenuto.

Qualche messaggio arriva. Non sono tanti, non ne servono. Parole di apprezzamento, stima, esortazione. Sapevi che qualcuno c’era, a leggerti, a cui piace quello che scrivi e come lo scrivi.

Non hai scampo, questo lo sapevi fin da subito. Se ti piace parlare delle tue scoperte, condividere quello che impari, i pensieri di ogni giorno, non puoi farne a meno.

Alla fine torni. Il sito è sempre al suo posto, identico a prima, però senti di avergli fatto un torto, con la tua assenza. Per rimediare dai un tocco di colore all’intestazione, scegli un diverso tipo di carattere per il testo, e finalmente correggi quel piccolo problema con il foglio di stile, insomma fai un gesto gentile, come una carezza, quasi a scusarti.

Qualcosa è cambiato, sai che dietro la tenda c’è qualcuno che aspetta proprio te.

Da ora in poi, scriverai in maniera differente, in modo sottile ed impercettibile. Lo stile sarà lo stesso, il tuo di sempre, ma sai che qualcuno ti leggerà, ed apprezzerà. Non commenterà, non ha tempo, o non ha nulla da aggiungere, forse è solo timido. Non fa niente, tu sai che c’è.

Questo fa la differenza.

Dedicato ad un amico

Déjà vu a rovescio

Apr 25

Pubblicato da Mario Pascucci in Fuori tema, Pensieri sparsi | 3 commenti

Era il 23° secolo, l’ora più buia del genere umano.

La guerra infuriava da quasi cento anni. Si combatteva da così tanto tempo che nessuno ricordava più il motivo per cui tutto era iniziato. Sappiamo solo che c’erano due fazioni: la Coalizione e l’Alleanza.

Per decenni, a milioni morirono per lo stesso pezzo di roccia, e ancora, e ancora.

(dal filmato introduttivo del videogame Freelancer)

Provare a sostituire il secolo con quello appena iniziato, e i nomi dei contendenti con i primi due che vengono in mente.

Inquietante. Sarà che oggi sono successe un po’ di cose inconsuete. Speriamo sia soltanto un effetto collaterale del compleanno.

Un voto per le libertà digitali

Apr 9

Pubblicato da Mario Pascucci in Fuori tema, Pensieri sparsi | Disattiva commenti

Se mi leggete, sapete che non è mia abitudine discutere con sconosciuti di questioni così importanti. Da tempo ho rinunciato a discutere di politica e di idee con persone che non mi conoscono, per il semplice fatto che il rispetto delle idee altrui è una pratica ormai sconosciuta. Basta esprimere una idea differente dall’interlocutore per essere immediatamente bollati come perdenti, strategia tipica degli insicuri, che salvano se stessi e le proprie idee da qualsiasi pericolo di evoluzione svalutando a priori le opinioni altrui: sei un perdente, quindi questo mi esonera dal confrontarmi con te.

A questo ci sta portando tanta televisione spazzatura, tanta politica becera e spaventosamente vuota di contenuti e soprattutto senza idee.

Il danno peggiore è che non ci si rende conto che si viene distratti dai problemi reali, quelli che contano, e c’è sempre chi è pronto a trasformare questa “distrazione” a suo vantaggio. Guardi il cane che abbaia, ed intanto ti sfilano i pantaloni. Di esempi ce ne sono a tonnellate.

Soprattutto nel campo dove lavoro, la situazione è che il politico “standard” ignora completamente l’intero settore per anni, poi improvvisamente, spesso a causa dell’ennesima puntata di “sbatti il mostro (sbagliato) in prima pagina”, interviene in modo assolutamente scollato dalla realtà. Risultato scontato, vista la generale incompetenza di chi scrive sull’argomento nei media a larga diffusione, e che dovrebbe fare informazione, e non opinione.

Se poi vogliamo andare a pensar male, si scopre che il risultato finale dell’intervento è che non vengono difesi i diritti degli elettori, no, vengono difesi i diritti dei più forti, pochi, a danno della massa. E la massa siamo noi.

Tutto questo pistolotto per dire che c’è una iniziativa della Associazione Software Libero che ha chiesto ai partiti ed ai candidati di pronunciarsi sull’argomento libertà digitali. Sul sito trovate l’elenco dei partiti che hanno aderito ed i nomi dei rappresentanti, divisi per regione. Sulla barra qui a destra trovate il logo, cliccabile, che vi porta al sito.

Votate come vi pare, sono affari vostri e non me ne frega niente delle vostre ragioni. Ma tenete presente il lavoro che fate, tenete presente che ogni DVD e CD che comprate, vergine o meno, è gravato da tasse sulla pirateria e da costi dovuti alla protezione dei diritti di altri. I costi di sviluppo delle protezioni da copia sono ribaltati sul prezzo d’acquisto.

Piratare per vendetta, o per protesta, è stupido. La mia posizione è molto più radicale: hai messo una protezione del contenuto? Non compro. Stai calpestando i miei diritti, già abbastanza sgualciti, e non solo non compro la cosa che vendi con la protezione (che mi fai anche pagare), ma ti escludo dai miei fornitori. Hai perso un cliente. E credimi, io le cose le compro originali.

Quindi, invece di scrivere scemenze in giro per la Rete, guardate nel vostro portafogli e prima di andare a votare pensate a chi realmente si interessa a voi. Da parte mia posso assicurare che pretenderò risultati da colui che avrà il mio voto. Il tempo delle chiacchiere è finito.

Nota Bene

L’articolo è rimasto oscurato da sabato sera a lunedì sera per rispettare il silenzio elettorale.

Stai visionando gli archivi della categoria Pensieri sparsi.
Il mio libro

è gratuito!
Ti sono stato utile?

La birra gonfia la pancia, la pizza ingrassa e non mi serve un altro computer. Prendi invece in considerazione una donazione a Emergency, Parent Project o Medici senza frontiere.
Archivio mensile
Spazio offerto da

Nobug s.r.l.
Amici

Litiano Piccin

Renato
Buonumore

AlboBlog

Calanda

Canemucca

Crow Village

Desktop Tales

Due cuori e una gatta

Eriadan

InkSpinster

Orso Ciccione

xkcd

ZakComics
Da leggere

ApogeoEditore

Coding Horror

Un piccolo blues
Sicurezza e computer

CFItaly

Denis Frati

Invisible Things
Licenza

Questo sito e tutti i suoi contenuti sono pubblicati sotto una Licenza Creative Commons, quando non diversamente specificato.

Per altri usi, basta contattarmi.
Adesivi

http://www.ilpettegolo.homelinux.org/
My e-mail (notreallly)

Il non-blog di Mario Pascucci

Sto lavorando sodo per preparare il mio prossimo errore (B. Brecht)

Archivio per la categoria Pensieri sparsi