Hitech e Scienza

Firefox 3.1 è ancora fermo ai box: se un paio di settimane fa lo stop è stato dettato da una quindicina di bug in attesa di correzione (buona parte dei quali relativi alla gestione dei tab e alla navigazione privata), stavolta è il motore JavaScript la causa del ritardo.

Sfuma quindi il previsto debutto della terza beta - la roadmap lo prevedeva per il 2 febbraio, ovvero ieri - ma Mike Beltzner, responsabile del progetto Firefox, continua a manifestare ottimismo, dichiarando: “Posso dire che siamo sicuri al 100% di debuttare entro il primo trimestre dell’anno”. Insomma, l’obiettivo ultimo di Firefox 3.1 verrà rispettato, e la prima importante rivisitazione del browser Web ormai utilizzato da un internauta su cinque dovrebbe presentarsi all’appuntamento con il pubblico entro i tempi stabiliti.

Nel frattempo, i bug da correggere sono saliti a diciotto. “Attualmente, non sappiamo quando ciò sarà fatto - recita la nota di Mozilla - Molti bug sono complessi da risolvere in via definitiva”. Il cantiere resta aperto, dunque, ma si sa già la direzione in cui procedere. “Il team di TraceMonkey sta lavorando su quindici bug di massima priorità”, ha aggiunto Beltzner, chiamando in causa il motore JavaScript introdotto lo scorso anno in Firefox 3.1 e che ha inaugurato il filone delle superprestazioni in aperta competizione con gli analoghi componenti di Chrome e Safari. Non è una corsa fine a se stessa, ma rivolta alle applicazioni Web e all’erogazione di contenuti: in pratica, il futuro del Web stesso. Cui Adobe e Microsoft rispondono con i plug-in Flash e Silverlight: la partita è appena iniziata, ma la posta in palio è decisamente alta.

Beltzner ha promesso una roadmap aggiornata nei prossimi giorni (”Un paio”, stando all’ultima dichiarazione): solo allora si potranno compiere ipotesi plausibili sull’effettiva tempistica di rilascio. Nel frattempo ci sono quindici P1 da rimuovere: così Mozilla chiama i bug che, se non risolti, impediscono il lancio di una nuova versione di Firefox. “Crediamo fermamente inTraceMonkey: - ha concluso Beltzner , anticipando le domande del partito degli scettici in materia - è più rapido di Firefox 3.0 di un buon 200%, e addirittura di nove volte se paragonato a Firefox 2.0. Chi usa lebuild notturne di Firefox 3 e l’ attuale Beta 2 del browser semplicemente non vuole ritornare a browser più lenti”.

Quindi, vale la pena aspettare. “I bug di TraceMonkey sono in ogni caso sotto controllo. - ha concluso Beltzner - Si tratta dei classici problemi di instabilità che non riguardano la maggior parte degli utenti nella grande maggioranza dei casi: si parla di malfunzionamenti che coprono una minima percentuale di siti Web. Ma non vogliamo che accadano in nessun caso”.

In casa Mozilla, quindi, si punta all’eccellenza. Per un Internet Explorer che appare sempre più debole in termini di quote di mercato (anche se il 67,55% conseguito a gennaio non può certo mettere in dubbio la leadership del browser Web di Big M), ci sono due antagonisti che avanzano: Google Chrome ma soprattutto Apple Safari. Quest’ultimo, con buona probabilità, è il rivale da tenere maggiormente d’occhio e su cui impostare la propria corsa, almeno in casa Mozilla.

Troppi bug per potere debuttare nei tempi prestabiliti: questo, in estrema sintesi, è il motivo per il quale Mozilla ha fatto slittare il debutto della terza beta prevista per Firefox 3.1. “Ma questo - ha dichiarato sicuro Mike Beltzner, a capo del progetto-Firefox - non sposta la data di lancio della versione finale, sul finire del primo trimestre di quest’anno”.

Cronometro alla mano, si parla di fine marzo o, alla peggio, inizio aprile: l’unica certezza, attualmente, è lo slittamento della terza beta dal previsto 26 gennaio al 2 febbraio. La conferma arriva dalla roadmap: poca cosa, ma sufficiente per alcune considerazioni in materia. La prima è la più immediata: la terza beta è l’ultima prevista per Firefox 3.1, ed è stata pianificata lo scorso novembre a fronte delle due inizialmente ipotizzate. Magari il nuovo nato di casa Mozilla non segnerà lo stesso passaggio avvenuto dal ramo 2 all’attuale ramo 3 dell’applicazione, ma che non è certo il prodotto su cui compiere sbagli a cuor leggero: questione di immagine e, soprattutto, di quote di mercato.

Per Beltzner & C., quindi, è molto più conveniente indugiare qualche giorno su una tappa intermedia piuttosto che procedere portando con sé problemi che potrebbero determinare un risultato finale non soddisfacente: il rischio è quello di deludere una platea - leggasi, i milioni di utenti di Firefox - molto più ampia rispetto al passato. E che, a ben vedere, potrebbe orientare la propria scelta altrove in caso di delusione: ad esempio su Safari o Chrome. Va anche ricordato che Firefox 3 prevedeva inizialmente quattro versioni beta, divenute cinque in corso d’opera, oltre a due Release Candidate: quindi, in caso di problemi di una certa portata, per Firefox 3.1 potrebbe prospettarsi una soluzione di questo tipo, tanto più che le tempistiche proprie del modello di sviluppo aperto e diffuso permettono maggiore flessibilità rispetto a un modello chiuso e accentrato. In sintesi, la terza beta del prossimo Firefox potrebbe non essere l’ultima.

Nello specifico, sono una quindicina i bug rilevanti che bloccano Firefox 3.1 beta 3: i P1 in questione - così Mozilla chiama i bug non risolti che condizionano l’avanzamento di progetto - si riferiscono per gran parte alla gestione dei tab, ma toccano anche la navigazione privata, vale a dire una delle novità di maggiore rilievo della seconda beta.

Beltzner ha poi corretto il tiro: “Certamente, Mozilla continuerà a rispettare la propria politica di rilascio del software ‘quando è pronto’, vale a dire che non rilasceremo mai una versione che non rispetti i nostri criteri di qualità, stabilità e prestazioni”. Sembra un modo per preannunciare qualche ulteriore ritardo, anche perché il code freeze dell’applicazione, prevista inizialmente per la prima decade di gennaio, è slittata a fine mese; ma mai come questa volta vale la pena di attendere.

Da qualche mese Google Docs sembra essere diventato una corsia preferenziale per gli spammer: nonostante gli sforzi di Big G, pare proprio che la situazione non sia migliorata. Anzi, secondo Spamhaus, proprio grazie ai servizi online erogati, Google sarebbe diventato il quarto maggiore distributore al mondo di messaggi spazzatura.

La notizia, ripresa dall’autorevole Security Fix - il blog del Washington Post sulla sicurezza informatica firmato da Brian Krebs, uno dei più quotati giornalisti informatici a stelle e strisce - ha fatto in breve il giro del mondo. Il tutto mentre Big G scalava una posizione, attestandosi al terzo posto nella classifica preparata da Spamhaus. Che, per ribadire il concetto, sottolineava attraverso il proprio Cio Richard Cox come “Google è nella top ten da varie settimane”. Va tuttavia sottolineato che nella lista di questa settimana preparata da Spamhaus, Google non compare.

Insomma, per Google non è un bellissimo periodo, almeno su questo fronte. Ma anche i vari Microsoft e Yahoo non navigano in buone acque: è difficile ipotizzare che un filtro antispam, sia di un provider che di un client di posta, possa tagliare a cuor leggero le mail provenienti da questi tre domini. Non è un caso, infatti, che nella lista di Spamhaus compaiano, o siano comparsi a più riprese, i concorrenti di Google.

Ovviamente, il mal comune non costituisce mezzo gaudio né per Google né per gli altri: anzi, per Big G, il problema più pressante non è costituito dalla posta elettronica. “Gli spammer sono abili - commenta Cox - nel manipolare i documenti prodotti con Google Docs“. Il metodo di attacco è noto: su Docs è possibile (ed è il suo punto di forza in chiave collaborativa, a ben vedere) condividere un documento con altri utenti mediante un semplice link che, quando aperto, “può indirizzare verso siti Web gestiti da spammer”.

“E’ difficile catturare l’attenzione di Google in questo senso - è il j’accuse di Cox - al contrario di Microsoft, che si è attivata concretamente per evitare reindirizzamenti di questo tipo. Non sappiamo come Microsoft abbia agito in concreto, ma i loro metodi stanno funzionando. Con Google non siamo stati così fortunati”.

Big G non è rimasta ad ascoltare, e ha risposto con un comunicato: “Lo spam è un problema di tutti gli utenti su Internet, e ci stiamo impegnando per cancellare gli account che violano le nostre policy in materia. Siamo a conoscenza del problema su Google Docs e abbiamo già preparato miglioramenti per minimizzare l’impatto del problema”. Il sistema sulla carta più semplice potrebbe essere quello del blocco dei redirect, mentre un approccio più sofisticato è suggerito dallo stesso Cox.

“Si potrebbe confrontare l’indirizzo cui corrisponde in reindirizzamento con una blacklist quale la Spamhaus Block List. Servizi specifici quali Tiny Url completerebbero poi l’opera, bloccando gli indirizzi che puntano a domini nella lista nera, eliminando il problema”. Qualcuno ha già preso nota a Mountain View?

La compromissione di alcuni account, tra cui alcuni di illustri personaggi, porta a interrogarsi sulla sicurezza di Twitter. E a fornire qualche spunto per una miglior sicurezza, specie in chiave business

Un episodio successo ad alcuni illustri utenti di Twitter, la popolare piattaforma di microblogging, ripropone il dilemma - di difficile soluzione, in verità - sull’uso di strumenti e servizi concepiti per il grande pubblico e sistematicamente sfruttati in contesti critici.

Vari account Twitter sono stati compromessi negli ultimi giorni: tra le vittime illustri, il neopresidente a stelle e strisce Barack Obama, la popstar Britney Spears e i network televisivi Fox News e CNN. Lo stupore degli analisti è che ciò non sia avvenuto prima: la piattaforma è molto popolare, e quindi un ottimo bersaglio per attaccanti di vario tipo, phisher in testa.

Secondo gli analisti di Idc, “è chiaro che il numero di utenti di Twitter che si collegano dalla postazione aziendale è molto elevato: il che pone interrogativi di sicurezza importanti. [Quanto accaduto, ndR] deve ricordare che si ha a che fare con un mezzo meno protetto di quanto si possa pensare”. Insomma, ci volevano nomi eclatanti - fatto confermato all’inizio della settimana da Twitter stessa - per portare alla ribalta una situazione che non aspettava altro che farlo.

L’attacco è stato condotto in maniera convenzionale: è bastato un buon numero di e-mail orientate al phishing per compromettere un consistente di account, compresi i nomi illustri di cui sopra. Da Biz Stone, il cofondatore di Twitter, un commento inequivocabile: “Si tratta di un rischio legato alla sicurezza molto serio: stiamo compiendo un’analisi approfondita sui punti d’accesso a Twitter e intendiamo fortificare proprio questo aspetto”. Per ora nessuna illazione: ma potrebbe essere un buono spunto per vedere le prime autenticazioni a social network attraverso token dedicati.

Il concetto alla base di Twitter - il minimalismo, fondamentalmente - è per l’azienda una sorta di panacea: è una finestra sul mondo da cui comunicare con estrema sintesi situazioni e linee guida. O, al limite, condensare in pochi caratteri quello che un tempo era la pausa-sigaretta. Insomma, è pratico ed efficiente, ma alcuni aspetti (su tutti l’autenticazione) non sono a prova di bomba, specie se visti in ottica corporate. La soluzione è aperta, e passa per la risposta in chiave tecnologico-comportamentale a una domanda di fondo: filtraggio a monte e migliori strumenti antiphishing (in testa a Twitter, ovviamente) o filtraggio a valle, magari con appliance dedicati, e policy d’uso meglio definite da parte dell’azienda?

Se Redmond piange, Mountain View non ride: mentre Microsoft sta mettendo mano con una patch imprevista alle magagne di Internet Explorer, anche Mozilla - già, Mozilla Foundation è concittadina di Google - sta distribuendo in queste ore aggiornamenti per Firefox.

Per il popolare browser Web open source, le vulnerabilità sono otto: il team di sviluppo ne definisce “critiche” tre. Nell’analisi di Secunia, i bug sono “altamente critici“, segno che c’è possibilità di esecuzione di codice arbitraria, ma nessun exploit in libera uscita.

Due dei problemi critici di Firefox aprono le porte ad attacchi basati su cross-site scripting, ovvero all’esecuzione di script e comandi fuori dall’ambito di specifiche pagine Web. Il terzo bug si riferisce al motore di rendering di Firefox, che è passibile di buffer overflow in conseguenza di codice JavaScript maligno. 

Obbligato, quindi, il salto di versione (Mozilla non distribuisce patch singole): Firefox 3 approda alla release 3.0.5 e Firefox 2 alla 2.0.0.19. Per quest’ultimo si arriva al capolinea: lo sottolinea Mozilla nelle note di rilascio, senza però fare i conti con i problemi dell’ultima ora: al momento in cui scriviamo, pare che sia pronta una patch della patch per il vetusto Firefox 2. Che, per inciso, nella sua ultima veste perde il filtro antiphishing: troppo anziano il protocollo usato per importare la blacklist fornita da Google, meglio eliminarlo e invitare all’aggiornamento a Firefox 3.

Habemus Chrome: certo, se ad uscire dalla beta fosse il gemello open source del browser Web di Mountain View, la frase ad effetto - habemus Chromium - sarebbe servita su un piatto d’argento, ma anche così la notizia è di quelle che non passano inosservate.

Big G ha scelto la via del blog ufficiale per darla - e fin qui niente di strano - ma con un profilo diverso da quello adottato all’esordio di Chrome. A settembre, il browser Web ha debuttato in sordina, quasi con una mossa a sorpresa; ora, “con più di dieci milioni di utenti attivi al mondo in tutti e sette i continenti, GoogleChrome sta rendendo più semplice che mai eseguire ricerche e navigare sul Web”. Le cose sono cambiate radicalmente: “Oggi, dopo cento giorni di lavoro per migliorare stabilità e prestazioni del browser, siamo pronti a rimuovere l’etichetta di beta“.

E’ attorno all’ultimo termine - beta, appunto - che ruota la questione: se Big G non fa ancora uscire dal limbo dell’instabilità dichiarata (a dispetto dell’evidenza, si può dire) Gmail o Google Docs e compie questa mossa con Chrome, significa che in quel di Mountain View il browser ha una priorità molto alta. O che, semplicemente, competere con i vari Explorer o Firefox con un prodotto non definitivo è un biglietto da visita non qualificante.

Nel frattempo, Google ha corretto in corsa alcuni aspetti di Chrome: stabilità e performance “specie per quanto riguarda audio e video”, velocità “con aggiornamenti al motore JavaScript V8″ (ma è di ieri la notizia secondo cui Firefox 3.1 beta 2 risulta più veloce: con le nuove release di Chrome la corsa all’ultimo benchmark cambierà direzione?), gestione dei segnalibri e controlli legati alla privacy (con un cambio di licenza poco menzionato ma molto significativo affrontato a inizio settembre).

Con le estensioni in rampa di lancio e la rimozione della scomoda etichetta di beta, Chrome è pronto per nuove sfide. E per ricevere “nuove funzioni, oltre al supporto per Mac e Linux”. Also sprach Google. Ora sta agli utenti ascoltarlo appieno.

Povero Firefox! Il sempre più diffuso browser Web sembra pagare il prezzo della propria notorietà sotto forma di un malware, apparentemente ben disegnato, che lo prende di mira risparmiando a mo’ di legge del contrappasso il malcapitato InternetExplorer.

E’ stata BitDefender a scoprire Trojan.PWS.ChromeInject.A. Il nome è sicuramente lungo, ma sufficientemente esplicativo: il malware si annida nella cartella degli add-on di Firefox, e viene eseguito all’avvio del browser. Uno script JavaScript identifica più di un centinaio di servizi di Internetbanking, cercando di carpire attraverso un cavallo di Troia le possibili credenziali degli utenti. Tra i siti Web tracciati, spiccano Paypal e Bank of America, oltre a un buon numero di banche italiane e servizi finanziari: dalle Poste a Banca Intesa, da Credem a Cariparma, dalla Popolare di Sondrio a Banca Mediolanum e Fineco o Carige, sono in molti ad essere sotto tiro. Il comportamento del malware - che punta al password stealing, ovvero al furto delle password - giustifica l’acronimo PWS sopra citato.

L’opera viene completata con l’invio degli eventuali dati rubati a server ubicati in Russia. Il malware viene diffuso con attacchi di tipo drive-by download: gli utenti vengono indirizzati su siti Web maligni che forzano l’installazione del codice sfruttando exploit noti. Il malware si registra in Firefox fingendo di essere Greasemonkey, un add-on che serve ad aggiungere funzioni mediante script JavaScript alle pagine Web visualizzate con Firefox. Va detto, comunque, che ogni estensione di Firefox deve essere approvata esplicitamente prima di essere installata, il che dovrebbe frenare la diffusione su ampia scala del malware.

Non è la prima volta che gli add-on di Firefox sono soggetti ad attacchi: a maggio, il langpack vietnamita è stato sfruttato per diffondere pubblicità non richieste, e da allora Mozilla è solita analizzare periodicamente i propri repository ufficiali con scanner antivirus aggiornati. Cosa che, nel contesto specifico, dovrebbe mettere al riparo gli utenti Firefox da sgradite sorprese (e da prelievi indesiderati).

Fine di un’era? Probabilmente no, ma sapere che Apple raccomanda l’uso di un antivirus per proteggere i sistemi Mac fa un certo effetto: il sistema operativo adottato dalle macchine made in Cupertino è parente - almeno, risalendo alle origini - di FreeBsd, ovvero uno degli Unix ritenuti più stabili e sicuri nella sua storia.

Eppure, non si tratta di un fulmine a ciel sereno: Mac OS X ha vissuto un periodo di forte crescita, iniziando a subire le crescenti attenzioni dei VXers (così, in gergo, sono chiamati i virus writer), ovvero coloro che per professione causano danni agli utenti informatici. Attacchi via Web ed exploit per specifiche vulnerabilità, quindi, non sembrano più appartenere al mondo Windows, ma anche alla Mela. Va da sé che i primi rappresentano ancora l’indiscussa maggioranza - e, per completare il quadro, giova sottolineare che sono veramente pochi i sistemi operativi per i quali non sia mai comparso codice maligno - ma, per quanto riguarda Apple, si è già usciti dall’ipotesi accademica per approdare alla realtà quotidiana.

L’idea che uno scanner software per verificare la sicurezza dei Mac si è fatta strada sul sito Web di Apple dedicato al supporto: Intego VirusBarrier X5 e Norton Anti-Virus 11 di casa Symantec sono disponibili via Apple Store, e McAfee VirusScan for Mac chiude il terzetto. Appunto: solo tre prodotti menzionati a fronte delle decine di antivirus per Windows, ma chiamati in causa per la prima volta da Apple.

“Apple incoraggia l’uso su ampia scala di più antivirus, cosicché chi produce codice maligno debba aggirare più di un’applicazione, rendendo in questo modo il processo più difficile”, si legge nel bollettino. Il che, peraltro, fa sorgere qualche interrogativo sul fronte della spesa (non sono menzionati antivirus gratuiti), sulle possibili incompatibilità delle applicazioni stesse (mai provato sotto Windows a fare convivere due o più antivirus?) e sul degrado delle performance del sistema (va bene che la gestione della memoria di Mac è efficiente, diciamo in stile-Unix, ma tra questa, il carico della Cpu e il continuo accesso al disco richiesto da un’analisi approfondita, rimane poco da aspettarsi in termini velocistici).

Ad ogni modo, il dado è tratto. Non resta che vedere se e quanto l’appello di Apple sul fronte antivirus verrà recepito dagli utenti.

Ottocentosettantatré milioni di dollari: a tanto ammonta il risarcimento dei danni attribuito a Facebook da un tribunale federale statunitense per i messaggi indesiderati - nello specifico, prodotti di natura sessuale - inviati da uno spammer professionista ai propri utenti.

Calcolatrice alla mano, si tratta di 683 milioni di euro: abbastanza per fare impallidire i 230 milioni di dollari che Sanford Wallace, autoproclamato Re dello Spam, deve versare nelle casse di MySpace per lo stesso motivo. Il giudice californiano Jeremy Fogel ha equamente ripartito i danni procurati da Adam Guerbuez e dalla sua Atlantis Blue Capital a Facebook: poco più di 400 milioni di dollari cui fa il paio una somma analoga per danni aggravati.

Ma si tratta di una somma destinata a rimanere più sulla carta che ad entrare nelle casse di Facebook. “Non c’è dubbio che quel tipo non valga 873 milioni di dollari. - ha commentato Sam O’Rourke, uno dei principali consulenti del social network californiano - Ma è nostra intenzione perseguirlo fino all’ultimo, anche se si dovesse trattare di incassare qualche centinaio di dollari. Abbiamo intenzione di proteggere i nostri utenti da questo tipo di violazioni nella maniera più decisa possibile”.

Di fatto, quella di Facebook è una vittoria platonica, che tuttavia rappresenta un segnale molto forte: stando all’ufficio legale del social network fondato da Mark_Zuckerberg, quello appena comminato è il risarcimanto-record dall’introduzione del Can-Spam Act, uno dei capisaldi antispam a stelle e strisce in procinto di compiere il quinto anno di vita. “Facebook ha intentato causa - ha spiegato O’Rourke - a Guerbuez verso metà agosto, dopo che l’analisi del traffico di rete ha svelato un’impennata di messaggi non sollecitati a marzo e aprile. Guerbuez è uno spammer molto noto nell’ambiente”.

Beh, magari non il Re dello Spam - almeno, così non si è ancora autoproclamato - ma di sicuro un buon professionista dell’illecito, diciamo un piccolo principe della materia: basta dare un’occhiata a un numero del 2003 del Montreal Mirror per rendersene conto. Nell’affaire-Facebook, l’imputato, contumace all’inizio di settembre, si è presentato a deporre in aula pochi giorni fa, risultando evidentemente poco convincente. Così come dimostra buona parte degli atti, disponibile online.

Dura presa di posizione dell’Icann (Internet Corporation for Assigned Names and Numbers, ovvero l’ente internazionale che sorveglia e regola tutto quanto concerne l’assegnazione dei domini in rete) contro i provider che chiudono un occhio - se non due, divenendo parte in causa - sulle attività di spammer e criminali informatici.

Il primo a cadere nella rete è stata McColo Corporation, da tempo uno dei più chiacchierati: l’azienda californiana si è vista letteralmente tagliare i fili da Icann grazie all’attività investigatoria di Security Fix. Che altro non che un blog: sì, ma del Washington Post. E che quindi è stato ascoltato a dovere, dopo avere raccolto per più di quattro mesi prove “incontrovertibili” sull’attività dell’azienda. Oltre ad essere un florido distributore di spam, McColo si dedicava - così pare - ad arrotondamenti basati su pornografia minorile: difficile sentirne la mancanza online.

Stessa sorte per EstDomains: il registrar con il vizietto di ospitare innumerevoli domini Internet collegati ad azioni di spamming e di phishing, sarà oscurato il prossimo 24 novembre. Se il fatto che EstDomains è il cinquantatreesimo registrar al mondo per dimensioni non impressiona, risulta ben più eloquente il numero dei domini registrati: 281.000, in buona parte orientati ad attività illegali. Nei cinque giorni prima del provvedimento preso dall’Icann, il 40% dei domini attivi registrati da EstDomains compariva nell’Uniform Resource Identifier Blacklist, il database utilizzato per identificare gli spammer passibili di blocco.

EstDomains, quindi, sarà cancellata da Internet: e non è certo la prima. L’azione di Icann si è rafforzata negli ultimi mesi, e la stessa sorte del registrar californiano è già toccata ad Atrivo/Intercage. Della quale, peraltro, EstDomains era uno dei maggiori clienti. La sorte dei domini registrati non è ancora stata decisa: saranno chiusi o riassegnati ad un altro provider? Quello che è certo è che lo spam, almeno nell’immediato, calerà. “Ma non durerà a lungo - sottolinea un blog di Symantec - e se è vero che questa battaglia è vinta, la guerra contro lo spam non è finita”.