Hitech e Scienza

A poco meno di due mesi dall’ultimo aggiornamento, il team di Mozilla mette mano a Firefox 3 correggendo undici vulnerabilità complessive: coerentemente con la politica da tempo adottata in materia, c’è quindi una nuova minor release da scaricare e installare. L’agente di aggiornamento automatico del browser Web open source è già all’opera: conviene seguirne i consigli.

Firefox 3.0.4, quarto update dal lancio di Firefox 3 lo scorso giugno, ovvia a sei problemi definiti “critici”: gli altri bug, in ordine decrescente di importanza, sono “ad alto rischio” (due), “a rischio moderato” (due) e “a basso rischio” (uno). La maggior parte di essi permette l’esecuzione di codice arbitrario a causa dell’errata gestione della memoria: in pratica, si tratta di buffer overflow. Tra i componenti di maggior spicco toccati dall’aggiornamento, il motore JavaScript e il motore di rendering. La danese Secunia, nel proprio database dedicato alle vulnerabilità, definisce “altamente critici” i bug di Firefox 3: segno che i problemi sono gravi, ma non ci sono exploit in libera uscita.

Anche il vecchio ramo di Firefox 2 viene riveduto e corretto: riceve le stesse cure di Firefox 3.0.4 (ad essere precisi, una patch in più) e approda alla versione 2.0.0.18. Non ci sono dubbi: si tratta dell’ultimo aggiornamento in assoluto, visto che il prossimo mese Mozilla ne sospenderà il supporto. Non senza avere ricordato agli utenti, per l’ultima volta, di passare a Firefox 3.

Cenerentola di giornata - e non è la prima volta che accade - Thunderbird, il client di posta che con Firefox condivide buona parte di codice. In attesa del canonico aggiornamento di versione, meglio disabilitare JavaScript, che è a rischio. Se non altro, è questione di poco tempo: attualmente, infatti, Thunderbird 2.0.0.18 è in beta, e quindi dovrebbe essere distribuito a breve.

Jailbreaking: il termine, molto popolare tra i possessori di un iPhone che vogliono averne il pieno controllo - ovviamente a proprio rischio e pericolo, e tra le ire di Apple - trova ora una traduzione pratica anche sui Googlefonini.

In altre parole, è possibile vedere anche nel T-Mobile G1 qualcosa in più di quanto Google abbia messo a disposizione dell’utente finale. Il che, all’apparenza, sembra stonare con la svolta in chiave open source che Open Handset Alliance (che in Big G trova lo sponsor principale) ha impresso ad Android. Come aprire qualcosa che dovrebbe essere già aperto? Semplice: Google ha bloccato parti del sistema operativo sottostante, basato su un kernel Linux, per ridurre i rischi di script o applicazioni minacciose. Ma, così facendo, ha tradito l’anima hacker - nel senso raymondiano del termine - di chi vuole il pieno controllo del dispositivo.

Per questo, un gruppo di hacker ha messo a punto una procedura di sblocco del Googlefonino, ampiamente dettagliata e sconsigliata ai deboli di cuore nonché ai cultori delle garanzie del produttore. Anche perché, come buona parte delle procedure di sblocco, un’azione maldestra può tradursi nell’immediata spedizione del T1 nel paradiso dei telefonini o - a scelta - nel buttare dalla finestra lo smartphone appena acquistato.

“Lo sblocco è possibile grazie a un bug di Android. - recita la nota ufficiale di Google - Ne siamo stati messi al corrente e stiamo preparando una fix. Stiamo lavorando con i nostri partner per distribuire l’aggiornamento e per mettere mano al codice interessato”. In altri termini, per chiudere la porta. Che, istruzioni alla mano, permette di fare veramente di tutto sul software del Googlefonino…

Patch in arrivo, quindi, con qualche domanda di fondo per Big G sulla conciliabilità e il bilanciamento tra codice aperto e software proprietario, quindi centralizzato e oscurabile a piacimento. Anche se, in fondo, il concetto di open source è talmente vasto da non fare necessariamente rima con software libero: e quindi non c’è da scandalizzarsi se da un progetto aperto possa nascere un prodotto chiuso, come la licenza Bsd insegna da anni.

Un pensionato diciottenne? Letto così su due piedi, ci sarebbe da gridare allo scandalo o al paradosso. Invece, se i diciotto anni non vengono letti sulla carta di identità di un essere umano ma su quella di un sistema operativo, beh, c’è da parlare di record di longevità.

Clessidra alla mano, è il caso di Windows 3.x: che - pur dichiarato morto nel 2001, quando Microsoft ne ha sospeso il supporto - ha finito la propria carriera con l’inizio di questo mese. Già, perché alle volte la storia si ripete: se il pronipote Windows Xp ha trovato una seconda giovinezza grazie ai netbook (e alle magagne, vere o presunte, di Vista, ma questo è un altro discorso), l’antenato è riuscito a volare alto, nel vero senso della parola.

Appunto: l’arzillo vecchietto - ai suoi tempi distribuito su un numero di floppy variabile tra sette e undici, a seconda delle versioni - si è rivelato insospettabilmente longevo grazie agli aerei di Qantas e Virgin, che lo hanno adottato per i propri dispositivi dedicati all’intrattenimento, ad alcuni bancomat e a sistemi di emissione biglietti. Applicazioni di nicchia, ovviamente, nelle quali il primo imperativo è quello di non sprecare neanche un megahertz del processore a disposizione.

Windows 3.0 è stato lanciato il 22 maggio 1990: non era ancora un sistema operativo a sé stante, ma un ambiente grafico (a 16 bit) che aveva bisogno di Ms-Dos (anch’esso a 16 bit) per funzionare. E, pur potendo girare sulle già allora vetuste Cpu Intel 8088/8086 e simili - che pure ora non sono certo morte! - dava il meglio di sé sulle Cpu a 32 bit, diciamo dall’80386 in su. In modalità protetta, permetteva la gestione nativa della memoria estesa, approdando a quel multitasking che Ms-Dos non forniva. L’anno dopo, Windows 3.1 aggiungeva le prime funzioni multimediali della storia, e la versione 3.11 - in pratica, un Service Pack ante litteram - veniva poi chiamata “for Workgroups” approdando alla rete con librerie talmente stabili che era prassi sostituirle con le Winsock di provenienza Trumpet. Altri tempi, come confermano i requisiti hardware minimi richiesti per un buon funzionamento della versione 3.0: 2 megabyte di memoria Ram, sette megabyte di spazio disco e una scheda grafica Cga o superiore.

Microsoft ha smesso di vendere licenze per Windows 3.x con l’inizio di novembre: la mossa era già stata comunicata con largo anticipo e, probabilmente, in pochi si sono strappati i capelli per la disperazione. Anche perché è possibile che il crine di coloro che hanno messo mano su questo ambiente grafico si sia inesorabilmente diradato con il tempo.

“E’ stato identificato un problema di sicurezza che potrebbe permettere a un attaccante autenticato da remoto di compromettere un sistema Windows e averne pieno controllo”: di bollettini del genere, Microsoft ne ha diramati parecchi, visto che il patching è un componente fondamentale di ogni software, a prescindere dal produttore o dalla destinazione funzionale dello stesso.

Singolare, invece, è che il problema trattato dalla nota di Microsoft Knowledge Base numero 958644 - e già la notazione fa intuire come si tratti qualcosa per addetti ai lavori - si riferisca a Windows 7. Calendario alla mano, è stato corretto addirittura prima che Windows 7, che ad ogni modo è sempre una pre-beta, fosse svelato alla Professional Developer Conference 2008 di Los Angeles. C’è forse qualcosa che non quadra?

No, tutto sommato no: leggendo con attenzione la nota, balza all’occhio che la patch si riferisce alla vulnerabilità descritta nel bollettino MS08-067: per fissare le idee, l’ormai famosa correzione fuori programma della scorsa settimana, rilasciata in fretta e furia a causa di un bug della componente Server di varie versioni di Windows, sfruttabile a proprio vantaggio con una richiesta Rpc appositamente creata e, per dirla con la terminologia di Microsoft, pericolosa in quanto wormable.

Quindi, anche Windows 7 è vulnerabile. Tutto sommato, normale - anzi fisiologico, verrebbe da dire - per un software che non è ancora nato. Magari, risulta un po’ strano correggerlo nella culla. Ma anche qui arriva la spiegazione di Microsoft: “Il codice di Windows 7 distribuito alla Professional Developer Conference è stato approntato prima del rilascio dell’aggiornamento, e quindi non contiene la patch [...] Ad ogni modo, se si installa la pre-beta, Windows Update propone l’installazione della patch, esattamente come ogni altro Windows”. Eccesso di prudenza? No, per una volta sembra molto più azzeccato parlare di uno zelo che fa ben sperare per il futuro.

Messaggistica su smartphone e Pda? Rischiosa. Non si tratta certo di una novità, quanto piuttosto di un tema che viene periodicamente riproposto: merita di essere ripreso in virtù di alcuni aspetti legati all’evoluzione dei dispositivi in questione.

L’approdo di una banda sempre più larga a terminali sempre più capaci di gestirla, unita alla comparsa di display più ampi che in passato, può giustificare una simile affermazione; per ora, almeno nella realtà italiana, l’uso di Sms, Mms e messaggistica dal posto di lavoro sembra più legato a una questione di produttività che di sicurezza. Eppure…

Eppure, il data leak potrebbe essere in agguato, così come l’approdo sugli smartphone di codici maligni. Ipotesi per ora più suggestiva che veritiera, ma tale da spingere una startup newyorchese, TextGuard, a lanciare sul mercato l’omonima applicazione, che promette di bloccare e analizzare il traffico di dispositivi Blackberry e Windows Mobile (e la mancanza di Symbian Os balza subito all’occhio, peraltro). “I telefoni cellulari - ha commentato Todd Cohan, Presidente di TextGuard - sono ormai diventati bersaglio di spam e messaggi di natura maligna, e pensiamo vi sia un gran bisogno di proteggerli”.

Per gli utenti aziendali, è sufficiente - e qui, presumibilmente, si toccano tematiche legate alla privacy - immettere il numero del cellulare da tenere sotto controllo per “analizzare e bloccare i messaggi, archiviarli, e proteggere da malware e spyware i dispositivi mobili”. Che, ad onor del vero, sono stati toccati in maniera marginale dagli ultimi due aspetti nell’ultimo lustro. TextGuard,  per ora in beta e disponibile come trial, sarà offerto come servizio al prezzo di 11,95 dollari al mese: può filtrare i messaggi per oggetto e parole chiave, sia in entrata che in uscita, salvandoli in maniera selettiva su un server remoto.

Sulla carta l’idea di TextGuard appare plausibile, ma - per almeno per quanto riguarda il possibile furto dei dati - è ben più probabile rivelare dati sensibili smarrendo il proprio smartphone che in seguito a un attacco informatico. Per ora, quindi, è prevedibile che la proposta di TextGuard possa essere molto di nicchia: magari un completamento ai filtri antispam sui mailserver che erogano posta in modalità push.

ThinkFree, azienda specializzata in “soluzioni per la produttività d’ufficio di prossima generazione” ha lanciato un’ulteriore variante sul tema office. Non l’ennesima, ma neanche la prima: segno che il comparto è di interesse, e che le alternative a Microsoft aumentano. Nel caso specifico, la novità è una sorta di ritorno al passato: non si parla di cloud computing e di office online, ma di qualcosa che nasce specificamente per un dispositivo diverso, per dimensioni e potenza computazionale, dai notebook tradizionali.

ThinkFree Netbook Edition - questo è il nome ufficiale - nasce per i netbook di ultima generazione con Cpu Intel Atom (per fare alcuni nomi, i soliti noti Asus Eee Pc, Acer Aspire One, Msi Wind o Dell Mini Inspirion) o equivalente (quale la soluzione Via C7 di casa Hp): offre un elaboratore di testi, un foglio elettronico e un software per le presentazioni. Fin qui, nulla di rivoluzionario, si direbbe.

A ben vedere, qualche spunto di interesse c’è, e non da poco. Oltre a    lla compatibilità promessa con i formati Office 2007, che può interessare più di qualcuno, il software nasce per display con risoluzione da 1024×600 pixel, tipica dei netbook, e pare che si adatti bene anche all’800×480 dei primi dispositivi. Insomma, non più scrolling selvaggio o zoom a iosa: anche se giova ricordare che si tratta di scrolling verticale, visto che per anni un desktop da 1024×768 pixel ha rappresentato lo standard.

ThinkFree Netbook Edition forma un buon tandem con MyOffice, il sistema di storage remoto e di collaborazione (gratuito fino a un ammontare di 1 Gbyte, e con un upload massimo di 10 Mbyte per documento) offerto da ThinkFree: concettualmente più legato a ciò che porta sul Web Microsoft Office - Live Workspace, quindi - che a ciò che porta sul desktop le applicazioni Web di Google.

La suite di ThinkFree non sarà gratuita: può esserlo tuttavia fino al 31 ottobre, compilando un questionario online che richiede pochi minuti, a patto di cavarsela dignitosamente con la lingua inglese. Già, perché il programma non prevede per ora altra nazionalizzazione che questa. Ed è davvero un peccato - ma anche la linea di demarcazione tra un progetto di un produttore di grandi dimensioni o un progetto open source di ampio respiro - perché l’intuizione dell’azienda non è banale. Potrebbe però essere una mera questione di tempo: una versione italiana di MyOffice c’è già, e funziona in maniera egregia.

Con qualche aggiustamento, insomma, ThinkFree Netbook Edition potrebbe rappresentare qualcosa di più di un’alternativa riservata a pochi rispetto ai vari Microsoft Office, Sun StarOffice (preinstallato su vari modelli di Asus Eee Pc) e il cugino open source OpenOffice, recentemente approdato alla versione 3; tra le applicazioni orientate al Web, oltre al già citato Google Docs, Zoho e Zooos, la versione online di OpenOffice.

Aviv Raff all’attacco di Apple: il noto cacciatore di bug israeliano punta il dito su Mail, il software del Melafonino per gestire la posta elettronica. L’oggetto del contendere è un “grossolano errore di design” che espone l’indirizzo e-mail a spammer e phisher.

Il ricercatore ha reso pubblica la vulnerabilità (o meglio, due bug complessivi) a due mesi di distanza dalle prime segnalazioni effettuate ad Apple, e riportate da diversi magazine: il rischio principale era legato a possibili azioni di phishing. Da allora, Apple ha aggiornato più volte l’applicazione, ma senza correggere quanto scoperto da Raff. Che si è spazientito e ha adottato una responsible, come certo avrebbero preferito in quel di Cupertino.

Il primo bug è insito nel design di Mail: diversamente dalla maggioranza dei client di posta, il programma esegue il download automatico delle immagini contenute nei messaggi con formattazione Html: si tratta di un problema di non secondaria importanza, perché priorio in base all’apertura o meno delle immagini, spammer e phisher riescono a distinguere tra indirizzi e-mail inattivi o meno. Si lamenta Raff nel proprio blog: “Sull’iPhone, Mail scarica in automatico tutte le immagini, e non c’è modo di disattivare questa funzione! [...] Quindi, il mio unico suggerimento è quello di evitare l’uso di Mail fino a quando sarà rilasciata una correzione”.

Il secondo bug è quello già accennato sopra: riguarda Mail e Safari, e apre le porte al furto di identità. Le applicazioni, per evidenti esigenze di visualizzazione (il display del Melafonino è sì ampio, ma non certo immenso), troncano le Url eccessivamente lunghe. Il risultato è, come Raff dimostra con uno screenshot, che un attacco basato su un indirizzo Web molto lungo ha buone possibilità di riuscita, visto che l’utente non è in grado di visualizzarlo per intero. “Il problema è che un attaccante può impostare un sottodominio da ventiquattro lettere o più che, una volta tagliato, sembrerà risultare legittimo”.

Da parte di Raff, una spiegazione concettualmente chiara e la disclosure di due bug potenzialmente dannosi; da Apple, il silenzio. Almeno fino al prossimo aggiornamento software.

Se non fosse che si parla di uno strumento atto ad offendere, è innegabile che l’ultima versione di Neosploit abbia dato una prova di efficienza non da poco: in mano a ignoti attaccanti, è stata utilizzata per diffondere codice maligno su qualcosa come ottantamila siti Web legittimi. Una tempesta in un bicchiere d’acqua? Forse. Ma è meglio parlare di un campanello d’allarme da non sottovalutare.

“Le vittime dell’attacco comprendono governi, aziende incluse in Fortune 500, e perfino un produttore di armi. - spiega Ian Amit, Director of Security Research dell’israeliana Aladdin - Le stesse Poste statunitensi hanno dovuto rimediare ai danni subiti”.

Amit ha scoperto l’assalto - decisamente su ampia scala - mentre analizzava la versione 3.1 di Neosploit, uno degli kit chiavi in mano per attacchi informatici più diffusi e utilizzati. “Durante l’analisi, ho scoperto credenziali di accesso già pronte per 200.000 server remoti” ha dichiarato Amit. Le informazioni erano raccolte su un server remoto gestito dagli attaccanti di turno, evidentemente reso pubblico per gli utenti di Neosploit.

Dopo un’attenta analisi dei log, Amit ha tirato le somme: “Almeno tre gruppi organizzati hanno contribuito a stilare la lista. Gli attaccanti hanno inviato codice maligno ad almeno 80.000 siti Web, puntando a infettarne i visitatori con attacchi di tipo drive-by download. Questi ultimi hanno riguardato aziende di 86 nazioni“.

Numeri in grado di impressionare, senza dubbio: “Delle 200.000 credenziali, circa 107.000 sono state convalidate dal server criminale. Di esse, quasi 82.000 sono state utilizzate per modificare contenuti erogati via Web, allo scopo di attaccare i visitatori dei siti Web compromessi”. Tra cui quello della Bbc: con buona probabilità il sito Web con il maggiore potenziale d’infezione tra quelli sotto tiro.

“E’ solo per pura fortuna che le credenziali non fossero associate ad alcun materiale online: - ha commentato Amit, riferendosi al media britannico - in caso contrario gli utenti si sarebbero infettati semplicemente consultandone i contenuti”.

Ad ogni modo, non si vive solo di drive-by download: anche la Sql Injection è un metodo d’attacco molto diffuso. Che di recente ha preso di mira realtà eterogenee: dalla amministrazione locale di San Francisco alla filiale messicana di Bmw, fino a BusinessWeek.com. Perché non c’è solo Neosploit in circolazione: anche Asprox fa la sua parte. A conferma che l’attacco all’utente di siti Web legittimi, passando per la compromissione di questi ultimi, è una tendenza in pericolosa crescita.

Che su eBay, la più usata casa d’aste online al mondo, sia possibile acquistare di tutto è ormai risaputo, ma portarsi a casa una fotocamera a diciassette sterline - al cambio, poco più di venti euro - trovandosi una bella serie di fotografie riservate non è cosa di tutti i giorni.

Nulla di boccaccesco, ad ogni modo: a diventare pubblici non sono i vizi privati di qualche utente distratto, ma semplicemente dati e materiale vario appartenente al MI6, Military Intelligence sezione 6. In parole povere, ai servizi segreti di Sua Maestà britannica, che evidentemente proprio segreti non sono…

Un ventottenne inglese, infatti, ha scoperto che nella scheda di memoria in dotazione alla Nikon Coolpix appena acquistata c’erano - in ordine sparso - impronte digitali e nomi di sospetti, informazioni di varia natura sulla rete informatica del servizio segreto, nonché immagini di missili e lanciarazzi. Dulcis in fundo, un bel po’ di materiale sul quarantaseienne Abdul al-Hadi al-Iraqi, terrorista affiliato ad Al Qaeda: che non ha potuto protestare per la violazione della privacy subita, in quanto ospite dal 2007 del carcere di massima sicurezza di Guantanamo.

Secondo il quotidiano Telegraph, l’uomo avrebbe compiuto il proprio dovere di onesto cittadino, mettendo al corrente la polizia della scoperta e ricevendo a mo’ di ringraziamento la visita a domicilio di alcuni reparti speciali per ricostruire l’accaduto.

Va da sé che da ricostruire c’era ben poco: se non il morale (e l’identità) di un impiegato - dei servizi segreti, non del catasto! - così distratto da vendere su eBay una macchina fotografica senza averne cancellato il contenuto, e la reputazione di un servizio di intelligence da qualche tempo nell’occhio del ciclone. Non molto tempo fa, infatti, una spia del servizio segreto di Sua Maestà britannica ha dimenticato su un treno di pendolari un fascicolo zeppo di valutazioni su Al Qaeda e sulle forze di sicurezza in Iraq: ora lo aspetta un processo per violazione delle norme sui segreti di Stato.

E se a qualche pronipote di James Bond, in qual di Vauxhall Cross, sta andando di traverso il Martini (ovviamente “agitato, non mescolato”), qualcuno che non c’è più avrebbe aggrottato le sopracciglia parlando di “bazzecole, quisquilie e pinzellacchere”. Nonché, da oggi, di file non cancellati.

Con un annuncio sul blog di Mozilla, Firefox compie un salto di release in nome della sicurezza e della funzionalità: il nuovo ramo Firefox 3 approda alla versione 3.0.2 e il vecchio Firefox 2 alla 2.0.0.17. Il team di sviluppo di Firefox, come da prassi, ha anche prodotto note di rilascio molto dettagliate per entrambe le versioni.

Se si opta per l’aggiornamento manuale, o se è la prima volta che si scarica il browser, Firefox 3.0.2 è disponibile a questo indirizzo; Firefox 2.0.0.17 trova invece posto tra gli oldies di casa Mozilla. Non è un mistero che Firefox 2 - che smetterà di essere supportato a fine anno - non è più una prima scelta per Mozilla, che raccomanda: “A tutti gli utenti di Firefox 2.0.0.x consigliamo di aggiornare a Firefox 3.0.2 [...]“.

In alternativa, l’agente di aggiornamento automatico propone l’aggiornamento “entro 24 o 48 ore”: in altri termini, già adesso gli utenti Windows e Mac stanno ricevendo i primi inviti all’update. Sul fronte Linux, come di consueto, è preferibile affidarsi alla versione specifica per distribuzione approntata dai vari vendor. Che peraltro hanno già preparato diversi binari precompilati, Ubuntu in testa.

I problemi di sicurezza corretti dalla nuova release di Firefox 3 sono molteplici e, secondo la danese Secunia, “altamente critici“: il loro sfruttamento - anche se è corretto ricordare che non vi sono exploit attualmente attivi - può portare al Denial of Service, all’esecuzione di codice e all’esposizione di dati sensibili. Tre dei bug corretti sono relativi al motore JavaScript: meglio aggiornare, quindi, e non pensarci più.