Michele BOLOGNA

Sono sempre stato incuriosito da un personaggio quale Kevin Mitnick, per il movimento Free Kevin e per le sue idee.

Ormai due anni or sono, ho letto il primo libro di Mitnick: l’arte dell’inganno (the art of deception). Il libro tratta il tema del social engineering: il tema è interessante, e rivela quanto spesso le persone sono inclini a fornire informazioni sensibili a persone sconosciute (o che forniscono credenziali convincenti). Tuttavia in alcuni punti la lettura è noiosa (ci sono trascrizioni di dialoghi e il dettaglio tecnico è molto basso). In definitiva, leggetelo se vi interessa sapere di più sulle tecniche di social engineering che vengono usate, e come difendersi.

Il secondo libro, l’arte dell’intrusione (the art of intrusion): 288 pagine divorate in 6 giorni. Si parla di dettagli tecnici, tecniche di intrusione, storie “gialle”: un mix veramente interessante e che crea dipendenza. I 10 capitoli scorrono veloci, tra slot-machine modificate e intrusioni in banche dati. Alla fine di ogni capitolo, Kevin analizza le tecniche utilizzate e costruisce alcune riflessioni, e spiega come ci si può difendere da questi attacchi. L’ultimo capitolo del libro è dedicato ad un attacco di social  engineering, un caso esemplare da cui trarre insegnamento. Alcune considerazioni:

• Il libro in alcuni punti è molto tecnico (si parla di RARP, reverse DNS, port knocking): anche se si parla di “racconti gialli”, è meglio avere un buon background tecnico per comprendere al meglio i dettagli di attacco nel corso del libro.
• La traduzione in italiano, in alcuni punti, è forse un po’ troppo spinta (”token-gettoni”, magari colpa di un traduttore troppo zelante?)
• Nelle ultime parti del libro si pubblicizza in modo eccessivo il primo libro di Mitnick, l’arte dell’inganno.

La citazione nella citazione: nel suo libro, Mitnick cita “L’arte della guerra” di Sun Tzu:

Know thy enemy and thyself, and you will be victorious.

Popularity: unranked

Recentemente ho vinto un Ipod nano attraverso il contest organizzato da Elettroaffari; non c’è che dire, sono rimasto molto soddisfatto dalla loro professionalità: in primo luogo perché dopo l’estrazione del vincitore, sono bastati 4 giorni per ricevere il mio regalo. In secondo luogo, per la modalità di organizzazione, che io definisco esemplare per tutti quelli che vogliono organizzare un blog contest. Vediamo perché.

Come tutti i blog contest, richiede un post in cui si parli dell’articolo e una segnalazione dell’avvenuto link e post (non come commento ad un post come in quasi tutti gli altri casi, ma con un post su un forum). Ho “meditato” sulla modalità di estrazione del vincitore, e l’ho trovata leggermente diversa (rispetto ad altri blog contest da altri siti); questa diversità risulta in una modalità di organizzazione che io definirei “da prendere come esempio”. Perché?

• A differenza di molti blog contest, i tempi di chiusura delle iscrizioni e di estrazione sono stati rispettati regolarmente
• La modalità di estrazione è stata la più convincente di tutti i blog contest: molti blog contest si affidano a fantomatiche estrazioni da una sacca contenente i numeri di tutti i partecipanti del contest o peggio ancora da un generatore di numeri pseudorandom. Ci sono molti aspetti dubbi:
  • Chi assegna il numero al partecipante? In molti contest chi organizza il contest sceglie il numero per ogni partecipante.
  • La modalità di estrazione:
    • Chi garantisce che nel tanto acclamato “video dell’estrazione” (decantato come prova televisiva) l’estrazione non sia pilotata? Insomma, come si può avere la certezza che ci siano effettivamente tutti i numeri dei partecipanti nella sacca, o che il generatore di numeri pseudorandom copra i numeri di tutti i partecipanti?
    • Chi garantisce che il vincitore non sia un amico dell’organizzatore del contest (è già successo) e quindi riceva un trattamento speciale (= vince proprio lui)?
    • Chi garantisce che l’autore del blog non impersonifichi un utente che partecipa al contest e poi, guardacaso, vince proprio quell’utente? In questo modo l’autore del blog ne guadagna in popolarità (più link, più PageRank) in modo totalmente gratuito, e imbrogliando gli utenti che hanno partecipato al contest

L’esempio di Elettroaffari illustra come si organizza un contest in modo che la modalità di estrazione sia assolutamente sicura e a prova di manomissioni: ogni partecipante sceglie un numero da 1-90; una volta chiuse le iscrizioni, il vincitore sarà il partecipante corrisponte al primo estratto sulla ruota del lotto.

Perché si utilizza uno strumento come il lotto, o un evento a carattere nazionale?

• Innanzitutto, il lotto non può essere pilotato dagli autori del contest nè da nessun altro che sia collegato al contest
• L’evento di estrazione è inconfutabile: essendo un evento a carattere nazionale, l’estrazione è sotto gli occhi di tutti, nessuno può negare che sia stato estratto un determinato numero e l’evidenza dell’estrazione conferma la vincita di un utente

Qualcuno potrà dire che sto facendo della pubblicità ad Elettroaffari: avendo già un post (quello di partecipazione al contest) con un link al loro sito la pubblicità l’ho già fatta; in secondo luogo, non me ne viene in tasca nulla: ho già ricevuto il mio regalo. Con questo post voglio semplicemente mostrare che esiste il modo giusto e corretto di organizzare un blog contest; se organizzati in questo modo, i blog contest non sono una “fregatura”, né per l’organizzatore, nè per i partecipanti.

E questo post non mi serve nemmeno per avere facilitazioni sul prossimo contest eventualmente organizzato da Elettroaffari: visto che si usa il lotto, con questo post non mi guadagno la capacità di previsione dei numeri estratti.

Popularity: 1%

A volte può essere comodo (o addirittura geek) avere un prompt dei comandi in cui il colore di sfondo o quello del testo (o entrambi) sono definiti dall’utente. Ad esempio, io mi trovo bene con un terminale tipo “Matrix”, in cui ho del testo verde su uno sfondo nero.

Come si può cambiare il colore di sfondo?

È molto semplice: il comando cmd supporta l’opzione /T:xx, dove xx specifica (rispettivamente) la combinazione di colore di sfondo e colore del testo che volete.

La lista dei colori è la seguente:

0 = Nero 8 = Grigio
1 = Blu scuro 9 = Blu
2 = Verde A = Verde limone
3 = Verde acqua B = Azzurro
4 = Bordeaux C = Rosso
5 = Viola D = Fucsia
6 = Verde oliva E = Giallo
7 = Grigio chiaro F = Bianco

Ad esempio, per ottenere una console con sfondo nero e testo verde (come nel mio esempio), lo switch è /T:0A

Popularity: unranked

Dopo molto tempo che il mio computer è acceso, può capitare che non si riesca più a risolvere alcun nome host (ad esempio, Firefox non riesce a risolvere www.google.it); questo succede sia con Windows XP che con Windows Vista. Questo può dipendere da un servizio chiamato Client DNS (dnscache).

A cosa serve? Dalla descrizione dei servizi di Windows:

Il servizio Client DNS (dnscache) memorizza nella cache i nomi DNS e registra il nome completo del computer per il computer in uso. Se tale servizio viene arrestato, la risoluzione dei nomi DNS verrà eseguita comunque, ma i risultati delle query relative ai nomi DNS non verranno memorizzati nella cache e il nome del computer non verrà registrato. Se il servizio viene disattivato, non sarà più possibile avviare i servizi che dipendono esplicitamente da esso.

In teoria questo servizio costituisce una cache di nomi DNS per evitare di risolvere i nomi DNS richiesti più di frequenti. Nel mio caso però non velocizza affatto, infatti non riesco a navigare!

Da quando ho disabilitato il servizio, mi accorgo che tale problema non si presenta più: se è anche il vostro problema, provate a disabilitare il servizio (Pannello di controllo -> Strumenti di amministrazione -> Servizi -> Client DNS -> Disabilita).

Maggiori informazioni su: http://www.tech-faq.com/flush-dns.shtml

Popularity: unranked

Se avete eseguito la “pulizia disco” (Utilità di sistema) e avete selezionato di cancellare i file di ibernazione del sistema, allora Windows Vista ha disattivato l’ibernazione. Come ritornare alla soluzione in cui il computer si iberna?

Semplice: basta aprire il prompt dei comandi come amministratore (vedi figura) e digitare:

powercfg -h on

A questo punto l’ibernazione è di nuovo attivata.

Popularity: unranked

Oggi avevo bisogno di riavviare il processo explorer.exe di Windows. Avrei potuto aprire il Task Manager e fare un kill del processo explorer.exe, ma non mi sembrava la soluzione giusta per terminarlo correttamente. Così, ho cercato in giro: la soluzione corretta (Windows XP):

Start -> Spegni computer -> premere CTRL+ALT+SHIFT -> premere su Annulla

A questo punto, explorer.exe verrà terminato (attenzione: la vostra taskbar e le finestre di “esplora risorse” aperte verranno chiuse). Per avviare nuovamente explorer.exe:

premete CTRL+ALT+CANC: si aprirà il Task Manager. Andate nel menù:

File -> Nuova operazione (Esegui…) -> digitate explorer e premete Invio

Popularity: 5%

Se Ant si rifiuta di eseguire uno script di compilazione restituendo l’errore “Unable to locate tools.jar.” procedete in questo modo:

• create la variabile d’ambiente JAVA_HOME (su Windows: Risorse del computer -> Proprietà -> Avanzate -> Variabili d’ambiente -> Nuovo)
• impostate il valore di tale variabile al PATH del JDK (dipende dal vostro sistema, nel mio caso: C:\Programmi\Java\jdk1.6.0_03)

Popularity: 6%

Supponiamo di utilizzare SVN (e di conseguenza il frontend Subclipse per l’IDE Eclipse). Come si può abilitare la sostituzione di keyword?

Ad esempio: volete scrivere nel vostro programma il numero di revisione:

System.out.println(”Version: $Revision$”);

dove $Revision$ è, appunto, il numero di revision su SVN.

Per abilitare questa sostituzione, sono sufficienti pochi passi:

1. Cliccate con il tasto destro sul file (o sul progetto) per cui volete abilitare la sostituzione
2. Team -> Set Property…
3. Property name: inserite svn:keywords
4. Text property: inserite URL Author Date Rev Id (potete inserire anche altre keywords, le trovate sul manuale di SVN qui)
5. Inserite la keyword che volete sostituire nel vostro programma
6. Fate un commit

A questo punto, la riga di codice:

System.out.println(”Version: $Rev$”);

si trasformerà automaticamente in:

System.out.println(”Version: $Rev: 33 $”);

Popularity: 4%

In due comodi A4, la lista dei design pattern. Da appendere al muro

Popularity: 9%

A volte capita di iscriversi (spero per sbaglio) a quei servizi che mandano loghi, suonerie etc. sul tuo telefonino al costo di SOLI 3€/sms. Se non sapete come disattivarli, Disattivali raccoglie alcune guide passo-passo per terminare l’abbonamento a questi servizi. Molto utile!

Popularity: 14%