Fiori di Sarracenia

Posted on May 19, 2008 by claudio

No, non è l’ultima trovata per la sicurezza domestica: per quanto diventi grande, una pianta carnivora non cresce mai abbastanza 😉 Semplicemente, come tanti ho comprato un paio di piante carnivore da far vedere ai miei figli, e visto che hanno fatto dei fiori davvero belli e strani ho pensato di pubblicare le foto. Delle piante che avevo comprato, la Dionaea muscipula (quella con due lobi che si chiudono per intrappolare la mosca) è morta subito, perché i bimbi non hanno resistito a farle chiudere continuamente le trappole fino a che non è stata più in grado di catturare insetti. La Drosera è morta prima che capissi il trucco per farle vivere bene. Sono sopravvissute quindi una Nephentes e la Sarracenia. Una volta capito il trucco, è veramente facile farle vivere, richiedono meno cure di tante altre piante. Il trucco è: metterle nella torba (torba vera, non qualche altro terriccio), possibilmente in una torbiera realizzata secondo uno dei tanti tutorial che si trovano su Internet, usare acqua piovana o acqua distillata, non usare alcun tipo di concime né dare da mangiare “a forza” alle piante ( è incredibile quanti insetti riescono a “mangiare” da sole) e lasciarle all’aperto al sole. Quantomeno, io non ho fatto altro. Purtroppo, questo inverno l’unica settimana di freddo vero (parlo del clima di Pisa) è stata una in cui non sono stato a casa, e quando sono tornato la Nephentes era morta. La Sarracenia invece a quanto pare ha apprezzato il “riposo invernale” molto realistico ed ha prodotto questi due bellissimi fiori, dalla forma veramente unica e dai colori splendidi.

Posted in Varie | Tagged , , , | 1 Comment

Nascondere i dati alla frontiera…

Posted on May 18, 2008 by claudio

Nessuna notizia nuova. Riprendo solo un articolo di Schneier riguardo alla possibilità che alla frontiera di molti paesi il portatile venga esaminato o anche sequestrato per esaminare i dati. L’articolo spiega come proteggere (cancellare o cifrare) i propri dati riservati. In particolare, cito questo passaggio:

Some companies now give their employees forensically clean laptops for travel, and have them download any sensitive data over a virtual private network once they’ve entered the country. They send any work back the same way, and delete everything again before crossing the border to go home. This is a good idea if you can do it.

In pratica, si passa la frontiera con un  portatile pulito, poi si scaricano i dati attraverso una connessione cifrata, si utilizzano, si rimandano in sede attraverso un’altra connessione cifrata e si ripulisce nuovamente il portatile prima di ripassare la frontiera. Non è complicato, lo può fare chiunque, i tool sono disponibili e semplici da utilizzare (alcuni sono citati nell’articolo).  Magari l’uso che ne potrebbe fare l’utente medio potrebbe lasciare qualche traccia ritrovabile con un’analisi approfondita, ma non è l’analisi alla quale verrebbe sottoposto il viaggiatore medio. Quindi utenti, esperti e aziende si organizzano pubblicamente per aggirare questo tipo di controlli, e si mostra come sia semplice renderli inefficaci. Ma allora, chi impone questi controlli non ha il dubbio di stare facendo qualcosa di inutile come contrasto alla criminalità e dannoso alle attività produttive legittime? Non si tratta semplicemente di un parossismo di mania di controllo? Vediamola da un altro punto di vista: se tutti sanno che i portatili vengono esaminati, tutti (terroristi compresi) ripuliscono i propri portatili. Se invece non c’è una regola di questo tipo, allora si può sperare che il delinquente o terrorista possa lasciare i propri dati sul portatile quando attraversa la frontiera, e quindi quando si individua un vero sospetto (attraverso vere indagini e non discutibili metodi di screening di massa) magari gli si può trovare addosso qualcosa di interessante… a meno che non interessi trovare esclusivamente i terroristi irrimediabilmente stupidi.

Posted in Sicurezza | Tagged , , , | Comments Off on Nascondere i dati alla frontiera…

Automatic Patch-Based Exploit Generation

Posted on May 18, 2008 by claudio

Da tempo si sa che un modo per individuare vulnerabilità è quello di fare il reverse engineering delle patch. Chiaramente si trovano le vulnerabilità delle versioni obsolete, ma dato che gli aggiornamenti non vengono fatti né istantaneamente né su tutti i sistemi, si tratta di una tecnica che porta i suoi frutti. Finora si è trattato di una tecnica utilizzata manualmente, principalmente quando sono disponibili i sorgenti e che richiedeva una certa competenza, ma questo paper sposta il problema ad un altro livello, in cui strumenti automatizzati possono rendere anche questa attività alla portata di chiunque. Cito: In this paper, we propose techniques for automatic patch-based exploit generation, and show that our techniques can automatically generate exploits for vulnerable programs based upon patches provided via Windows Update. In many cases we are able to automatically generate exploits within minutes or less. Questo tipo di ricerca può potenzialmente mettere fine alla sicurezza basata essenzialmente sulle patch, giustificata dai motivi più vari, costringendo ad adottare dei principi di sicurezza basata sull’architettura e su corrette tecniche di progettazione, come si fa in tante altre discipline.

Posted in Sicurezza | Tagged , , | Comments Off on Automatic Patch-Based Exploit Generation