Content tagged Hafnium

Detenuti e tiranni
posted on 2021-03-12 00:26

C’è un seguito alla vicenda dell’attacco informatico che ha fatto strage di server negli Stati Uniti e nel mondo (sessantamila solo quelli ufficiali e chissà quanti ancora) grazie a falle storiche presenti in Microsoft Exchange e chiuse in emergenza solo pochi giorni fa.

Come succede di regola nella cibersicurezza, ora che il problema è stato arginato, un ricercatore ha pubblicato su GitHub una proof of concept dell’attacco: un esempio funzionante ma innocuo (per esempio, che lavora su un server configurato apposta per lasciarsi colpire e mostrare gli effetti dell’attacco stesso).

GitHub ha rimosso il codice.

La cosa ha fatto scalpore perché è inusuale; le proof of concept sono strumenti a disposizione dei ricercatori. I pirati che volevano usare l’exploit, come viene chiamato il software capace di portare a segno un attacco informatico, lo hanno già fatto e certamente hanno bisogno di conoscenze complessive ben superiori a quella del codice in sé.

Il problema è che l’attacco è stato devastante per i server Microsoft Exchange, non altri; e che GitHub è proprietà di Microsoft. È da escludere che la seconda abbia ordinato alla prima di censurare, mentre invece lo zelo spontaneo per compiacere il padrone è considerabile.

Uno dirà che GitHub, in quanto casa di innumerevoli sviluppatori e progetti di software libero, non possa piegarsi troppo ai voleri di Microsoft; se delude la comunità, è l’argomento standard, la comunità se ne va.

Il problema è che la comunità inizia a essere una comunità Microsoft, di gente che programma con l’ambiente Microsoft, pubblica il software in un repository di proprietà Microsoft, accende istanze di cloud Microsoft eccetera.

Infatti sono sorte voci in difesa del provvedimento; una delle motivazioni è che ci sono ancora cinquantamila server non aggiornati, vulnerabili all’attacco.

Il problema dunque non è più avere server non aggiornati, ma fare sì che possano restarlo senza conseguenze.

Questa cultura è tossica e difatti ancora a livello planetario non siamo riusciti a estirpare completamente Internet Explorer 6, come del resto vale per Flash.

I portatori di questa cultura detengono il software (lo fanno loro); detengono lo spazio di pubblicazione del software indipendente; detengono le menti di chi è stato assimilato e asseconda questa strategia.

La filosofia open source è abituata alla figura del benevolent dictator, il plenipotenziario che ha l’ultima parola sullo sviluppo del software. Questa dittatura è tuttavia molto più subdola e mira a sterilizzare l’open source, che deve diventare un parco giochi innocuo per gli interessi di Microsoft, pronto a sterzare dove serve quando serve grazie al controllo di tutti gli strumenti e di una comunità assuefatta a pensare a Microsoft tutte le volte che si parla di software libero.

Una comunità di detenuti allevata da un tiranno amorevole, morbido, simpatico, che ama tanto Linux, vende strumenti tanto comodi. E fa sparire il codice scomodo all’occorrenza.

Mentre approfondisco la faccenda dei commenti per il blog, chi vuole lasciare comunque un commento da qui può accedere liberamente alla pagina commenti di Muut per QuickLoox. Non è ancora (ri)collegata a questi post (è lo scopo di tutto l’esercizio). Però lo sarà.

In cambio di che
posted on 2021-03-07 00:05

Si parla su KrebsOnSecurity di almeno trentamila organizzazioni, per centinaia di milioni di utenze individuali, colpite dall’attacco di un gruppo di pirati informatici cinesi ai server di Exchange.

Dove l’attacco ha avuto successo, i pirati hanno installato una shell web che consente accesso indiscriminato ai server. Tra le organizzazioni vittime, leggo, si trovano ricercatori medici, studi legali, istituzioni scolastiche, fornitori dell’esercito, think tank e organizzazioni non governative.

KrebsOnSecurity parla degli Stati Uniti, ma l’attacco è avvenuto a livello globale e non ci sono dati relativi all’impatto che potrebbe avere avuto in tutto il mondo. Probabilmente bisogna aggiungere un ordine di grandezza alle cifre americane e magari neanche basta.

Il tutto grazie a quattro falle nella sicurezza che Microsoft ha chiuso con un aggiornamento di emergenza.

Exchange è un sistema di amministrazione della posta con una architettura bizantina e una complicazione intrinseca che, a livello di sofferenza, fa preferire piuttosto un’unghia incarnita.

Se lo scopo della sofferenza non è almeno la sicurezza, qual è? Dice bene John Gruber:

Microsoft Windows e Exchange sono sempre stati insicuri e probabilmente sempre lo saranno. È sorprendente quante minacce informatiche ampiamente pubblicizzate si possano ignorare evitando Windows ed Exchange.

La logica sfugge. C’è chi si affida a un software bacato, difficile da usare e da manutenere, insicuro, e per avere questo paga.

Che cosa riceve in cambio da Microsoft chi paga Exchange, a parte un server di posta inutilmente involuto e penalizzante? Perché, se non c’è un extra, un benefit, un vantaggio non evidente, tocca porsi domande.

Mentre approfondisco la faccenda dei commenti per il blog, chi vuole lasciare comunque un commento da qui può accedere liberamente alla pagina commenti di Muut per QuickLoox. Non è ancora (ri)collegata a questi post (è lo scopo di tutto l’esercizio). Però lo sarà.

This blog covers 1802, 1Password, 1Writer, 276E8VJSB, 50 Years of Text Games, 500ish, 512 Pixels, 7Bit, A15, AAC, AI, AR, Aapl, Accademia di Belle Arti, Acer, Adium, Adobe, Adventure, AirBnB, AirPods, AirPort Express, AirPort Extreme, AirTable, AirTag, Akko, Al Evans, Alac, All About Apple, All About Apple Museum, AlphaGo, Alphonse Eylenburg, Altroconsumo, Alyssa Rosenzweig, Amadine, Amazon, Amd, Anaconda, Anagrafe, AnandTech, Android, Andy Hertzfeld, Anteprima, Apollo, App Store, App Tracking Transparency, Apple, Apple //, Apple Arcade, Apple Distinguished School, Apple Frames, Apple Frames 2.0, Apple Gazette, Apple II, Apple Music, Apple Park, Apple Pencil, Apple Silicon, Apple Store, Apple TV+, Apple Watch, Apple Watch Series 7, AppleDaily, AppleInsider, AppleScript, Aqua, Aqueux, Arctic Adventure, Arm, Armstrong, Ars Technica, Arthur Clarke, Ascii, Asymco, Atom, Audacity, Audion, Austin Mann, Australia, AutoCad, Automator, Avventura nel castello, Axios, BBEdit, Backblaze, Badland+, Bandley Drive, Basecamp, Bashcrawl, Basic, Battle for Polytopia, Beeper, Bell Labs, Benjamin Clymer, Big Mac, Big Sur, Bill Gates, Bing, BirchTree Mac, BlastDoor, Borgo Valsugana, Braille, Bruno Munari, Bubble sort, Buzz Andersen, C, CERN, California State University, Canva, Cap’n Magneto, Carbon, Carbon Copy Cloner, Carlo Canepa, Cartoonito, Casa Graziana, Catalina, Cbs, Cessapalombo, Chaplin, Charlie Watts, Cheetah, Chiara, China Railway Shenyang, Chromebook, Cina, Claudio, Clive Sinclair, Clubhouse, Coca-cola, Coleslaw, Colle Giacone, Collegiacone, Comandi rapidi, Comdex, Come un ombrello su una macchina da cucire, Command and Conquer, Commodore 64, Common Lisp, Comune, CorpoNazione, Cortana, Cossignani, Covid, Covid-19, Coyote Cartography, Creative Cloud, Crema, Csam, Css, Csuccess, Cuore di Mela, Cupertino, Cupra Marittima, D&D, DaD, Dad, Dalian, Dan Peterson, Daring Fireball, De André, Debian, Dediu, DeepMind, Degasperi, Dell, Disney, DisplayPort, Disqus, DocC, Dock, Dolby Atmos, Dolphin, Doom, Dortmund, Dr. Drang, Drafts, Drm, DuckDuckGo, Dune 2000, Dungeons & Dragons, Dungeons and Dragons, Dvd, Edimburgo, Edinburgh Learns for Life, Editorial, Edoardo Volpi Kellermann, Edward Snowden, Elio e le Storie Tese, Epic, EpocCam, Epson, Erc, Erica Sadun, Erin Casali, Ethernet, Etherpad, Euro 2020, Europei, Eurovision, Everyone Can Code, Everyone Can Create, Excel, Exchange, Expanded Protection for Children, ExtremeTech, Eyepatch Wolf, F24, Fabio, Fabio Massimo Biecher, FaceID, Facebook, Fai, Federico Viticci, Feedly, Finder, Fitbit, Flac, Flappy Birds, Flash, Flavio, Flurry Analytics, Focus, Folletto, Fondazione, Fondo Ambiente Italiano, Ford, Forrester, Fortnite, Franco Battiato, Frederic Filloux, Frix, FrontPage, Fsf, Fëarandil, G3, GQ, Gagarin, Geekbench, Geneforge 1 - Mutagen, Giacomo Tufano, Gianni Catalfamo, Giardino delle Farfalle, Giorgio Dell’Arti, GitHub, Gizmodo, Gnu, Go, Google, Google Documenti, Google Play, Google Remote Desktop, Google Tensor, Gorizia, Gplv3, Guardian, HP, HP Smart, Hafnium, Halide, Happy Scribe, Harry McCracken, Hdmi, Hearthstone, Hemlock, Hewlett-Packard, Hey, High Sierra, Hii, Hodinkee, HomePod Mini, Horace Dediu, Hp, Html, Huawei, Huffington Post, Il ritorno del Re, Il vitello dai piedi di balsa, IlTofa, Imgr, Immuni, Incunabolo, Ingmar Bergman, Insegnanti 2.0, Inside Macintosh, Instagram, Intel, Intense Minimalism, Internet, Internet Explorer, Internet Relay Chat, Invalsi, Irc, Isaac Asimov, It is better to be a pirate than join the Navy, Ivacy, J. Geils Band, JEdit, Jacob Kaplan-Moss, Jamf, Jason Snell, Java, JavaScript, Jeff Bezos, Jeff Vogel, Jekyll, Joanna Stern, John D. Cook, John Gruber, John Gruber Daring Fireball, John Perry Barlow, John Voorhees, Jon Prosser, Jonathan Ive, Jägermeister, Kagi, Kandji, Kansas City Chiefs, Ken Thompson, Keyboard Maestro, Keynote, Kickstarter, Krebs, LG, La classe capovolta, LaTeX, LambdaMOO, Larry Wall, Las Vegas, LaserWriter, LibreItalia, LibreOffice, Libreitalia, Lidar, Lidia, Lightning, Lightroom, Liguria, Linus Torvalds, Linux, Lisp, Live Text, Lords of Midnight, Love Is the Seventh Wave, LoveFrom, Luca Accomazzi, Luca Bonissi, Luca Maestri, Lucy Edwards, Lux, M.G. Siegler, M1, M118dw, Mac, Mac OS, Mac OS X, Mac mini, MacBook Air, MacBook Pro, MacDailyNews, MacJournals, MacMomo, MacRumors, MacSparky, MacStories, Macintosh, Macintosh Plus, Macworld, Macworld Italia, Mail, Mailchimp, Mappe, MarK Twain, Marc Newson, Marco, Mario, Mark Gurman, Markdown, MarsEdit, Martin Peers, Marvin Minsky, Matt Birchler, Matteo, Matthew Cassinelli, Mavericks, Max Weinberg, McSweeney, Mediaworld, Medium, Meet, Memoji, MessagePad, Micr0soft, MicroUSB, Microsoft, Mike Bombich, Mike D’Antoni, Ming-chi Kuo, Minority Report, Miro, Mission Control, Mission Impossible, Mit Technology Review, Model One Digital+, Model T, Mojave, Monday Note, Monterey, Monti Sibillini, Mosaic, Motorola, Mount Sinai, Mp3, Msx, MultiMarkdown, Muse, Museo Malacologico Piceno, Muut, Nanchino, Napoli, Nasa, Ncmec, NeXT, Neil Young, NetHack, NetHack Challenge, NetNewsWire, Netscape, New York Times, Newton, Newton Press, Nicola D’Agostino, Nive, Noam Chomsky, Nokia, Notebook, Notifiche, Notre-Dame, NovaChat, Numbers, OBS Camera, OBS Studio, OS X, Object Capture, Obsidian, Octopress, Office, OldOS, Olimpia, Olimpiadi, OpenDocument, OpenDocument Reader, OpenRA, OpenZFS, Ordine dei Giornalisti, Orwell, P3, PageMaker, Pages, Pandoc, Panic, Panini, Pantone, Paola Barale, Paolo, Paolo Attivissimo, Paolo Pendenza, Parallels, Patreon, Patrick Mahomes, Pc Magazine, Pdf, Penn, People, Perl, Perseverance, Pfizer, Philip Elmer-DeWitt, Philips, Photoshop, Pixar, Pixar Theory, Pixel 6, Pixel 6 Pro, Pixel Envy, Pixelmator Pro, Plan 9, Play Store, PlayStation, Playdate, Polympics, Polytopia, Power Macintosh 7200/90, PowerBook, PowerBook 100, PowerBook Duo, PowerPC, PowerPoint, Preferenze di Sistema, Pro Display Xdr, Procter & Gamble, Programmatori per caso, Project Zero, Psion, Psion Chess, Python, Ql, Qualcomm, Queen, Queensland, Quick Notes, QuickLoox, R360, Radio.Garden, Rai, RaiPlay, RaiPlay Yoyo, Raspberry Pi, Raymond, Raz Degan, Recenti, Red Alert, Reddit, Redmond, Richard Stallman, Roll20, Rolling Stones, Rs-232, Rss, Runescape, Ryzen, Sabino Maggi, Safari, Salesforce, Samsung, Sars, Sascha Segan, Savona, Scheme, Schoolwork, Scott Forstall, Screen Time, Screens, Scripting, Scuola, Semianalysis, SharePlay, Shazam, Shortcuts, Shortcuts Catalog, Siegler, Sierra, Silverlight, Simone Aliprandi, Six Colors, SkilledObject, Slack, SnapChat, Sony, South African Revenue Service, Spaces, Spatial Audio, Spid, Spiderweb Software, Sputnik, St. Therese Catholic Primary School, Stadia, Start Me Up, Stefano, Stephen Hackett, Stephen Kleene, Steve Jobs, Steve Wozniak, Steven Sinofsky, Stevie Wonder, Stewart Copeland, Storie di Apple, Sudafrica, Super Bowl, Super Mario, Super Mario Bros, Swift, Swift Playgrounds, SwiftUI, Taio, Tampa Bay Buccaneers, Teams, Tech Reflect, Teller, Tempi moderni, Terminale, Tesla, TextEdit, Textastic, The Briefing, The Eclectic Light Company, The Hobbit, The Information, The Internet Tidal Wave, The Motley Fool, The Verge, Think Different, Thoughts on Flash, Thunderbolt, TikTok, Tim Berners-Lee, Tim Cook, Tiobe, Tivoli, Tivoli Audio Art, Toca Boca, Toca Lab: Plants, Tokyo, Tom Brady, Tom Taschke, Tommaso, Torino, Torrent, Toshiba, Travis Holm, Trillian, Trilogia Galattica, Tweetbot, Twitter, TypeScript, U1, USB, USB-C, Unicode, Universal Binary, Unix, Usb-C, Utf-8, Vaccino, Vesa, Vestager, Viktoria Leontieva, Visual Basic, Visual Studio, Visual Studio Code, Vnc, Vpn, VxWorks, WWDC, Walkman, Wendy Molyneux, West Coast, WhatsApp, Wimbledon, Windows, Windows 11, Windows Phone, Wired, Wishraiser, Word, WordPress, World of Warcraft, WorldWideWeb, Wwdc, X-window, Xcode, Xdr, Xevious, Xi, YayText, Yoda, Yoko Shimomura, YouTube, ZX Spectrum, Zoom, Zork, Zune, adware, analogico, azioni, board, business, cartelle smart, cetonia dorata, cookie, coronavirus, curricolo, cybersecurity, desktop publishing, digitale, ePub, emacs, emoji, ffmpeg, hyper key, i3, iBooks Author, iCloud, iMac, iMessage, iMore, iMovie, iOS, iOS 14, iOS 14.5, iOS 14.5.1, iOS 15, iPad, iPad Air, iPad Pro, iPad mini, iPadOS, iPadOS 15, iPadOS macOS, iPhome, iPhome 13, iPhone, iPhone 12 mini, iPhone 13, iPhone 13 Pro, iPhone 14, iPhone 6, iPhone 6s, iPhone SE, iPod, iTunes, iWork, intelligenza artificiale, ipertesto, isso, jailbreak, lossless, mChapters, macOS, macOS 11.4, malware, npm, open source, port forwarding, privacy, programmazione, regex, remote working, rsync, sandbox, scuola, setteBit, software, soup, streaming, tag, uptime, walled garden, watchOS, wiki, x86, zip, Arcade, tv, watch, watch SE

View content from 2021-10, 2021-09, 2021-08, 2021-07, 2021-06, 2021-05, 2021-04, 2021-03, 2021-02, 2021-01, 2018-06, 2014-02


Unless otherwise credited all material Creative Commons License by lux