05 maggio 2007

Come ti rapisco il dominio

Potrebbe essere che un giorno vi saltasse addosso la voglia, solo la voglia, tralasciando altri motivi tipo la qualità e quantità di banda a disposizione, la mancanza di aggiornamenti importanti ai server, bla bla bla, di prendere la vostra baracca PHP e burattini HTML, e spostarla presso un differente provider.

Potrebbe andare tutto a buon fine al primo colpo, potrebbe anche succedere quanto occorso a quel vecchio tignoso :D del Casper
nel momento in cui si è deciso a traslocare il suo casperize.com. Non è mai simpatico constatare che i propri diritti possano essere tranquillamente ignorati.

Etichette: ,

28 aprile 2007

Ingegneria sociale e sicurezza informatica: Ivan Scalise

Ivan Scalise è fra i maggiori esperti italiani di ingegneria sociale e protezione di dati sensibili a livello aziendale. Voce autorevole fra le non molte davvero credibili nel panorama nazionale, ha accettato di rilasciare un’approfondita intervista in cui cercheremo di analizzare, con la massima semplicità, particolari situazioni che potrebbero sfiorare, o colpire direttamente, ciascuno di noi. Proveremo inoltre ad offrire un quadro generale di molteplici aspetti del mondo dell’Information Technology, della sicurezza informatica, della protezione della nostra privacy.


Quanto davvero siamo al sicuro mentre navighiamo su internet, quando parliamo al telefono, quando camminiamo per strada? Di cosa ci si dovrebbe realmente preoccupare, e quali aspetti invece sarebbero da considerarsi come decisamente sopravvalutati? Risulterebbe infine più pericolosa una precisa, e magari conosciuta, minaccia informatica, oppure un abile e preparato interlocutore in grado di carpire informazioni anche solamente grazie ad una banale conversazione? Proveremo a fornire una valida e comprensibile risposta a tutte queste domande.


Per capire al meglio di cosa si occupi esattamente Ivan Scalise, consigliamo ovviamente un'accurata visita al sito ufficiale: Ivan Scalise - The Unconventional Security Specialist.



Veniamo a noi, Ivan: quindi, ingegneria sociale, in spiccioli l'arte di analizzare e scardinare le debolezze umane prima ancora di quelle tecnologiche. E' incredibilmente facile riuscire a farsi svelare volontariamente i dati personali e sensibili di molti soggetti semplicemente tentando di vendere un'enciclopedia per strada, o tramite un'intervista telefonica. A livello aziendale siamo messi un po' meglio? Vi è consapevolezza degli effettivi rischi?


Nella gente, cosiddetta comune, manca una cultura della privacy, poiché la vocina che si chiede: “ma che fine faranno i miei dati?” c'è, però la domanda, vuoi per la fretta, vuoi per il "tanto non importa", viene accantonata a favore dello zuccherino che ti offre l'interlocutore. Nelle aziende noi troviamo la stessa gente che fa la raccolta punti al supermercato, o che immette i propri dati personali su un sito per avere in cambio un gadget. Abbiamo quindi persone che sono portate a dare qualcosa, che considerano poco importante, in cambio di qualcos'altro, che risulta utile o simpatico. In genere le policy aziendali seguono degli standard che mettono in guardia il dipendente e che gli impongono di non dare per nessuna ragione alcune informazioni. Ma gli standard sono solo un qualcosa di prefissato e lineare che suggerisce, senza però andare a fondo, quali sono i particolari da non rivelare. Una policy potrà dirmi di non rivelare la password, ma non potrà mai elencare tutti i modi che un malintenzionato potrà usare per arrivare a quella password senza che me ne accorga. Quindi possiamo affermare che: sì, siamo messi un po' meglio, manca però la formazione. Dalla receptionist al presidente, in un'azienda, nessuno ha chiaro un concetto molto semplice: non è una questione di intelligenza.


Quando parliamo di attacchi di ingegneria sociale, parliamo di debolezze umane, come hai giustamente detto, e non di lesa maestà all'intelligenza. Tutti siamo più o meno curiosi, sentimentali, cordiali, educati, pigri, avventati ecc... La soluzione sta nel capire come e quando essere tutto ciò e accettare il fatto di essere vulnerabili a priori. Gli esperti di security sono i primi a inserire nel proprio pc oggetti di dubbia provenienza, come una chiavetta usb simpatica/strana o un cd "forse dimenticato da qualche dipendente". Eppure loro conoscono l'ingegneria sociale, ne hanno letto, si sono appassionati, magari hanno seguito anche uno dei tanti corsi che ne parlava... Ma basta un momento, una singola distrazione o un eccesso di superbia ("tanto io e la mia configurazione siamo a prova di bomba”) e puff hai aperto una falla senza accorgertene.

Il fattore umano è come sempre l'anello debole della catena. Non sarebbe preferibile investire prima sulle persone e poi sulle tecnologie?


In effetti, fino alla contemporanea era dell'informazione e dell'informatizzazione, chi conduceva un'impresa si curava più della preparazione e delle capacità dei suoi dipendenti piuttosto che degli strumenti tecnologici che usava. Poi sono arrivate le prime epidemie di virus, il pericolo hacker, la caduta ingloriosa di tanti colossi come Yahoo o eBay, e le aziende sono corse subito ai ripari, affidando in toto la loro sicurezza ai Golia dell'informatica. Questi, ovviamente, guadagnano vendendo il proprio hardware e le proprie soluzioni software, quindi la cultura della sicurezza si è basata sui prodotti da acquistare e sulla conoscenza che i dipendenti avevano dei prodotti commercializzati. Non avrebbero mai potuto dirti che gran parte della security dipende da chi gestisce i sistemi (aldilà di quello utilizzato) perché altrimenti la corsa ai continui aggiornamenti si sarebbe fermata in fretta e non avrebbero più avuto senso frasi come: "il nostro è il software più sicuro al mondo" o "progettiamo soluzioni tecnologiche per la tua sicurezza". Purtroppo, da allora, le cose non sono cambiate granché. I Golia hanno comprato/corrotto i Davide con le partnership, le certificazioni, i premi, mentre, allo stesso tempo, distribuivano e facevano approvare best practice ad hoc o influivano sui media in modo da imbavagliare chi facesse notare le enormi idiozie che andavano predicando.


Ora capirai che se una certa cultura mi fa intendere che i sistemi sono unici e si proteggono da sé, io non mi curo molto del dipendente che piazzo su quel sistema o attorno ad esso. Da qui sorge la pessima abitudine di non ricercare continuamente figure eccelse e di non valorizzare il proprio personale. Molti dirigenti preferiscono chi sa fare un po' di tutto, piuttosto che un team di specialisti. Preferiscono i dipendenti che costano poco, magari anche riciclabili tramite contratti a progetto astratti o in outsourcing, piuttosto che dipendenti di qualità con cui instaurare un forte legame d'appartenenza. L'ambiente, l'aria che si respira in un'azienda è una questione che andrebbe trattata seriamente, mentre molti ci giocano o ci speculano sopra in maniera superficiale. Sono tanti i dipendenti ed i dirigenti che si sentono minacciati a causa di un clima d'odio e/o d'invidia che si crea attorno a loro. La sicurezza e il destino stesso di un'impresa, dipendono dalla validità dei dipendenti e da quanto questi vogliono bene a quell'impresa, da quanto si sentono confortati e a loro agio. Alcune multinazionali straniere curano questi aspetti, mentre noi ce ne infischiamo parecchio. Il bello è che sono aspetti che, le straniere, curano anche nelle filiali italiane e spesso gente come me viene chiamata proprio a verificare questo aspetto. In pratica è come se mi dicessero: "passa qualche giorno nella filiale X e guarda se stanno amministrando bene" ... "guarda se il nostro incaricato italiano cura i rapporti in modo adeguato" e in genere dopo la mia visita gli affiancano qualcuno proveniente dalla sede centrale.


Oggi sembra che manager ed imprenditori abbiano dimenticato l'importanza dei rapporti interpersonali e continuano a gettar soldi sull'ultima placebo security (come le chiamo io) che gli propone il vendor o trasformano la sede in una centrale biometrica. Così, mentre si sentiranno al sicuro, protetti dalle macchine, continuerà ad esserci un piccolo dipendente, con un piccolo contratto, con una grande voglia di fargliela pagare favorendo una concorrente.


Il panorama aziendale italiano, con particolare riferimento a Società che interagiscono direttamente con il pubblico, quindi istituti bancari, assicurazioni, semplici uffici comunali, potrebbe essere considerato mediamente sicuro ed organizzato, o sono ancora troppe le cose che non vanno al meglio?


La sicurezza di un impero parte dal basso e, nelle aziende di qualsiasi tipo e grandezza, il basso è sempre il luogo più scoperto e vulnerabile. Come spiegato poc'anzi, c'è una scarsa attenzione verso il personale, e gli stessi metodi di assunzione paiono indisciplinati. In tutti i settori si sono diffusi maree di lavoratori temporanei e centinaia di piccole s.r.l. che, se interpellate, propongono stock di lavoratori subito pronti ad un nuovo impiego e selezionati direttamente dalle stesse s.r.l. Quindi abbiamo figure come il sistemista-programmatore-webmaster o la maestra-centralinista-designer che lavorano a progetti a cui non dovrebbero nemmeno avvicinarsi o che un mese lavorano all'impresa X e il mese dopo lavorano per la diretta concorrente. Come se non bastasse, c'è anche chi si serve di "apprendisti" prestati dalla Vattelapesca s.r.l. Cioè gente che segue dei corsi di Office, di Linux, di Quelchevuoitu e fa apprendistato in grandi aziende o in amministrazioni pubbliche. Ritroviamo apprendisti e lavoratori temporanei persino nelle sale di monitoraggio delle sedi bancarie. Eh si, hai capito bene, la sicurezza del tuo conto in banca e delle tue transazioni non dipendono da un super esperto col mantello rosso, ma da un ragazzo un po' arruffato che, sbattuto qua e là da anni, ora si ritrova in quella posizione per qualche mese. E non parliamo poi di appalti, subappalti e raccomandazioni (referenze, pardon) varie presenti nel settore pubblico. O, ancora, dei messi che portano qua e là documenti riservatissimi, magari delle procure, come ad esempio i fax che comunicano trasmissioni di tabulati telefonici o informazioni sulle indagini in corso. O ancora dei call-center "in affitto", che oltre a rappresentare una facile via, agli occhi di un esterno, per guadagnarsi l'accesso diretto a database riservati, sono una miniera di informazioni a disposizione di ragazzi che guadagnano meno di 600 euro al mese. Se tu avessi un accesso privilegiato ad un database e se qualcuno ti sganciasse 50 euro ad informazione, tenendo conto che sei un precario che fa i salti mortali tra affitto e bollette, non li accetteresti?


Qualcuno sa spiegarmi dove sta la sicurezza quando si adottano questi metodi? Come può una persona insoddisfatta, o assunta temporaneamente, o prestata, soddisfare quei requisiti che servono a non turbare i fragili equilibri della sicurezza interna all'azienda? Allo stato attuale, è possibile violare una qualsiasi azienda, pubblica o privata, italiana, in maniera più o meno semplice, ma pur sempre semplice. Questo vuol dire che nessuno dei dati dei lettori è potenzialmente al sicuro.


Il mio non è sterile allarmismo, anche perché alla fine si campa lo stesso, ma un invito a richiedere una maggiore sicurezza alle vostre banche, ai vostri comuni, ai vostri ospedali ecc... Bisognerebbe interessarsi ed essere informati, perché i servizi vengono pagati da tutti noi, quindi il minimo che ci si aspetta è che siano efficienti, sicuri e gestiti da personale all'altezza del proprio compito.


Il cyber crime, in tutti i suoi molteplici aspetti, può essere ritenuto il business criminale più in ascesa del momento e con i più elevati margini di futura diffusione?


La diffusione dei crimini perpetuati attraverso la rete si basa su una serie di fattori:


1. Il numero sempre crescente di navigatori novizi, quindi l'aumento delle potenziali vittime o vettori.

2. Il crescente bisogno di far soldi in qualche modo e subito.

3. La diffusione del know-how tecnico, anche di livello medio-alto, preconfezionato.

4. L'estrema facilità con cui è possibile formare gruppi e reclutare nuovi adepti da plasmare secondo le proprie esigenze.

5. La radicata illusione di non poter essere scoperti.

6. L'assenza di atti violenti.


Quindi diciamo che i fattori sono gli stessi che accomunano tante altre tipologie di crimini, con la differenza che un cyber criminale può riuscire a colpire centinaia di migliaia di sistemi grazie ad un unico fendente, oppure rubare qualche migliaio di numeri e codici di carte di credito in meno di un'ora. In più ha uno scudo psicologico, quella barriera che si chiama monitor, barriera che gli fa credere di non essere rintracciabile (ovviamente anche grazie ad altre precauzioni) e che quindi lo sprona a continuare fino a quando egli non viene beccato (se operano nello stesso Stato, vengono beccati sempre). Poi c'è il mercato nero del malware, che penso debba essere distinto tra quello che appare sui giornali, in parte alimentato da alcuni programmatori di antivirus (non ho detto aziende), con prezzi per tutte le tasche, e quello più nascosto che alimenta il sottobosco dello spionaggio industriale, governativo e terroristico. Ed è proprio quest'ultimo che meriterebbe una maggiore attenzione, visto che non è solo mercato nero ma sconfina in una vera e propria criminalità organizzata, diffusa tramite celle operanti in Paesi diversi, con tanto di ricatti, estorsioni, riciclaggio, spionaggio, traffici illegali e via dicendo...


Entrambi i business crescono e continueranno a crescere in maniera esponenziale, non c'è un unico farmaco per bloccare tutti i mali, poiché tra le motivazioni c'è anche quel senso di malessere diffuso che coinvolge chi criminale non è o chi non si sente tale. Può sembrare una visione pessimistica, lo so, ma ho semplicemente detto che il cyber crime non può cessare di esistere, cosa diversa dal dire che non ci si possa proteggere adeguatamente. Perché proteggersi adeguatamente è possibile, l'importante è capire da chi.


Il criminale informatico è in certi casi più preparato di chi sarebbe preposto a dargli la caccia, o si tratta semplicemente di una forma di sottovalutazione del problema da parte di chi dovrebbe vigilare?


Né l'uno, né l'altro. La preparazione della maggior parte dei criminali informatici oggi è abbastanza carente, perché la voglia di apprendere, presente fino ad un decennio fa, ha lasciato il posto alla voglia di strafare, la voglia di agire subito. Quindi in questi anni, per la prima volta, gli informatici col distintivo e gli informatici al soldo delle corporate sono in grado di contrastare agevolmente quelli con la bandana. Per esempio, conosco forenser ed ethical (ma sarebbe meglio dire legal, poiché di ethical non c'è nulla... uhmm spesso c'è anche poco di legal, ad essere pignoli), mediocri, che riescono agevolmente a rintracciare quei pirati che si rendono protagonisti di atti vandalici, di truffe online o di piccole azioni di spionaggio.


Le difficoltà delle Forze dell'Ordine sono fondamentalmente due: essere in minoranza ed avere dei limiti investigativi. Difatti i casi di crimini informatici sono sempre di più, mentre i membri dei nuclei destinati a combatterli sono un numero molto ridotto. Inoltre l'organizzarsi attraverso cellule presenti in più nazioni consente di disseminare le prove. Per cui il cyber poliziotto non si trova più di fronte al pirata di Milano che attacca i server di un'azienda di Palermo, ma ha a che fare con una figura che dall'Italia invia l'ordine alla cellula in Estonia di attaccare un sito americano i cui server si trovano in Tunisia. Capirai che tra rogatorie internazionali e mancanze di permessi in quei Paesi che non vedono la pirateria informatica come un crimine, passano mesi e le tracce cominciano inesorabilmente a dissolversi.


Le Forze dell'Ordine dovrebbero essere messe in condizione di poter fare degli interventi lampo in modo che queste tracce non facciano in tempo a dissolversi. Allo stesso tempo però non si può proteggere la privacy facendola violare da uno stato di polizia. E' troppo semplice poter accedere a qualsiasi dato e poter controllare tutto di tutti a priori o per ogni singolo sospetto. La vita privata dei cittadini si chiama così proprio perché privata e dei cittadini. Quindi penso che ogni singolo provvedimento intrapreso per proteggerla, debba essere vagliato e approvato dal cittadino stesso. Anche perché il criminale sa perfettamente come raggirare questo tipo di controlli e si finisce per spiare solo persone (e aziende) oneste.


Per tornare alla domanda, le nostre autorità necessitano di attrezzature costantemente aggiornate, un miglior addestramento ed una parziale riorganizzazione interna. Poi, certo, se iniziassero a chiudere un occhio sulle ragazzate per concentrarsi meglio sui criminali veri, sarebbe già un bel passo in avanti, per non dire balzo.


Ti occupi principalmente di protezione e prevenzione. Ti è mai accaduto di dover intervenire quando i buoi erano già fuggiti a chilometri dal recinto?


Sì, ma purtroppo, in questi casi, la mia esperienza non è mai stata richiesta a caldo, ovvero quando i buoi erano nelle immediate vicinanze. Nel momento in cui l'azienda si rende conto di aver subito un danneggiamento o di essersi fatta sfuggire qualche informazione riservata, per risparmiare e andare sul sicuro, fa due cose:


1. Chiama una società di sicurezza informatica, che magari propone la soluzione di marca.

2. Ingaggia un investigatore privato.


Ti ricordo che nel mio lavoro la sicurezza informatica mi sfiora di striscio, come sfiora di striscio ciò di cui mi occupo, ma sai com'è... vanno sul sicuro, come anticipato. A questo punto i lavori durano una o più settimane, ma anche mesi se ci si affida completamente all'agenzia investigativa. Finiti i lavori, si presentano nuovamente diversi scenari:


1. Erano dilettanti e sono stati scoperti.

2. Erano professionisti, non sono stati scoperti, ma si finge il contrario e si inventa un caso ad hoc (cosa molto semplice per una società di sicurezza informatica non monitorata).

3. Erano professionisti ma niente da fare, si consiglia di rivolgersi altrove.


A seguito degli scenari 2 e 3, l'azienda o si mette l'anima in pace o continua imperterrita a ripetere la procedura. Intanto sempre più gente inquinerà le prove, sempre più dipendenti inizieranno ad essere poco collaborativi, molto denaro verrà sprecato e l'azienda continuerà ad essere esposta a rischi simili.


Arrivati a questo punto, se la fuga di informazioni rischia di danneggiare gravemente l'azienda, questa decide di ingaggiare un professionista, specializzato nel campo del controspionaggio e dell' ingegneria sociale, che cercherà di recuperare il recuperabile senza promettere miracoli. Oppure si rivolge alle Forze dell'Ordine e la cosa finirà regolarmente sui giornali. L'aspetto più negativo di tali vicende è che, dopo questo tipo di incidenti, la strategia delle aziende non cambia: "staremo più attenti", dicono... "arrivederci", rispondo :)


Quanto conta, nella tua professione, essere creativi, indipendenti, flessibili?


Sono esigenze che stanno al cardine della professione stessa. Il bello, e per certi versi brutto, di questo lavoro è che si fa solo ed esclusivamente con la testa. Non devono esserci preoccupazioni, imposizioni, limiti o quant'altro. Non è come portare avanti un classico progetto o un'azienda, non è come nessun'altra professione. Non voglio insinuare che sia più difficile di altre, è solo molto diversa dalle altre. Quando devi organizzare una protezione a 360° non puoi trascurare alcun dettaglio e, allo stesso tempo, devi essere fonte continua di nuove idee e nuove soluzioni. La mente deve essere sgombra, hai solo quell'incarico per la testa e te lo porti appresso a tutte le ore. Non si hanno orari d'ufficio prestabiliti, né località di lavoro prefissate (anche per questioni di riservatezza).


L'indipendenza gioca poi un ruolo di primo piano che purtroppo non tutte le aziende valutano correttamente. Essere indipendenti vuol dire fare scelte mirate al benessere e alla salvaguardia del cliente e di nessun altro. Non porti orpelli corporativi o meccanismi di partnership, sei più obiettivo e non subisci pressioni esterne. Potremmo sintetizzare così: un lavoro non convenzionale per soluzioni non convenzionali.


Sicurezza e riservatezza di dati personali e sensibili custoditi nei nostri PC: si parla sempre e solo di falle nei browser, virus e cavalli di troia in grado di carpire informazioni e inviarle in remoto, siti web ostili... Quanti usano la data di nascita come password per l'home banking? Superficialità e scarsa conoscenza dei rischi?


Si pensa sempre al pirata come una persona riconoscibile, lontana dal nostro ambiente e interessata ad ingenti somme di denaro, non certo a quel poco che la maggior parte della popolazione ha sul conto. Ed è proprio questa errata percezione del rischio a causare problemi. I ladri comuni rischiano il carcere rubando pensioni minime e organizzando truffe che sottraggono ad ogni singolo truffato un 50/100 euro. Per non parlare delle vecchie truffe bancarie, in cui dipendenti infedeli sottraevano ad ogni conto solo pochi spiccioli, che se messi insieme diventavano una somma ingente. Lo stesso avviene oggi sul web, e possiamo vederlo anche sui siti di aste online, dove quotidianamente nascono, sui forum, lamentele di gente truffata anche solo per 20 euro. O, ancora, posso tirare in ballo i centinaia di casi in cui vengono sequestrati i PG di MMORPG o i loro averi, così da chiedere un vero e proprio riscatto per riavere tutto indietro.


Quindi se tu usi delle password semplici, o se hai PC e connessione senza alcuna protezione, cosa ti fa credere che il vicino, il conoscente o il collega di lavoro non provino ad entrare nel tuo conto per ingrassare il proprio? Perché, quando inviti gente a casa, non lasci 500 euro in bella vista? Perché evidentemente sai bene che la tentazione è forte. Ecco, la stessa percezione che non ci fa lasciare incustoditi dei soldi in casa, dovrebbe spingerci a badare di più anche ai conti, alle transazioni online e ai metodi che usiamo per proteggerci.

Fino a che punto sono mediamente sicuri i browser? Quante vulnerabilità, per quanto possano essere definite critiche, sono poi realmente riscontrabili all'atto pratico nel corso della normale navigazione nel Web ed utilizzo della posta elettronica?


Dipende dall'utilizzo che se ne fa, il browser sicuro non esiste e le molte vulnerabilità colpiscono in maniera random, quindi se non si vuole essere tra i fortunati estratti è meglio prendere sul serio ogni vulnerabilità critica. Fino a qualche tempo fa avrei risposto che l'idea migliore sarebbe stata quella di non utilizzare browser diffusi e di visualizzare la posta direttamente sul browser, ma ormai è obsoleto anche questo suggerimento. Purtroppo essere sicuri vuol dire adottare delle restrizioni, è inevitabile. Tutti vorremmo godere a pieno delle potenzialità di un browser o di un software di posta elettronica e adoperarsi ogni giorno affinché il pc sia protetto è una rottura di scatole per chiunque... Ma va fatto.


Qualsiasi pagina Web è da considerarsi potenzialmente violabile anche da un dilettante che si applica, oppure è realmente necessaria una vasta competenza specifica? Il piccolo sito amatoriale standard, ospitato in una tipica webfarm, che garanzie di robustezza può offrire, indipendentemente dal fatto di non essere considerato un bersaglio appetibile?


Bisogna vedere com'è realizzato il sito. Se è un sito in HTML, senza l'ombra di un qualsiasi script, a grandi linee, cede solo con un DoS o per colpa di una password d'accesso troppo semplice. Per chi invece adotta linguaggi avanzati, script, forum, chat etc... è inevitabile trovarsi prima o poi il sito defacciato, anche perché magari il proprietario ha altro da fare piuttosto che curarsi delle potenziali vulnerabilità legate al suo sito o delle 0 day.


Il lamerozzo della Domenica che si mettesse a dar fastidio al prossimo, in concreto, che danno potrebbe causare e quali conseguenze rischierebbe di dover affrontare?


Anche qui dipende. Se il prossimo non ha spacciato tutta la sua vita (vera) in giro per il web e se mantiene un profilo di sicurezza medio, nessun danno. Altrimenti si va' dalla lite col partner a quella col datore di lavoro, dalla sbirciatina alle email a quella sui conti. Qualora poi il prossimo si mettesse d'impegno, il lamerozzo della Domenica passerebbe tanti guai e se ci sono altri che hanno dato una mano si potrebbe persino parlare di associazione a delinquere. Che per quanto possa far ridere come ipotesi di reato, quando arriva l'avviso della procura si smette subito.


Virus ed affini anni addietro erano compilati con codici devastanti (probabilmente letali anche per debolezze intrinseche degli ambienti operativi) giusto per far danno e magari diffusi solo per dimostrare quanto si fosse bravi programmatori, oggi pare si prediligano elementi virali quasi silenti, studiati proprio per violare la privacy e magari ricavare i dati della nostra carta di credito. Si stava meglio quando si stava peggio?


Se ti costringo a formattare immediatamente o se ti costringo a continui riavvii del sistema perché cerco di friggerti la CPU, cosa ottengo in cambio? Nulla. Se invece inizio a conoscerti posso rivendermi le informazioni sulle tue abitudini. Se m'impossesso di tutta la tua lista dei contatti, posso rivendere anche quelli, idem se riesco ad avere una lista delle tue user id e password o i dati delle carte di credito. Quella privacy per dati che sembrano senza valore, per alcuni vale molto e intere associazioni si muovono al solo scopo di raccogliere grandi quantità di dati simili.


Nessuno fa niente per niente, compresi i danni. Persino gli attacchi mirati a sviluppare dei DDoS non sono motivati soltanto da motivi etico-politici bensì servono a far emergere o riaffermare una crew. Così come gli etici non si limitano più alle e-mail che avvisano l'amministratore della presenza di una determinata falla, ma vogliono fregi e ringraziamenti (magari anche un compensino), altrimenti partono diffamazioni e sinistri. Non esistono più quei gruppi che si adoperavano realmente per la sicurezza in rete, oggi tutti vogliono qualcosa, preferibilmente soldi.


A livello business di alto profilo, ci si può imbattere in codici studiati ad hoc per forzare o ridurre in ginocchio un dato ambiente operativo, magari mission critical?


Certo, è per questo che investire continuamente ingenti somme di denaro in scudi tecnologici non ha senso se non si è prima investito il doppio per preparare e impreziosire il personale. I muri che tengono al riparo le informazioni più preziose, quelle che valgono la spesa affrontata per un codice malevolo da adoperare per l'occasione, non sono solo tecnologici ma anche e soprattutto umani. Nello spionaggio industriale, quello serio, non esistono sistemi impenetrabili. Le aziende dovrebbero capire che l'80% delle risorse che impegnano per stare al sicuro, lo sprecano per mettersi al riparo da figure di profilo basso e medio-basso. Basterebbe 1/5 di quanto spendono oggi in misure tecnologiche (es. firewall hardware israeliano) e servizi correlati (un bel penetration test di quelli costosi, magari pure automatico anziché manuale) per mettersi al sicuro da queste figure.


Senza dimenticare che la quasi totalità delle aziende non si cura dell'hardware, ovvero non sa cosa c'è realmente nell'hardware che compra. Vi sono diverse vulnerabilità che permettono di penetrare un sistema senza intaccare il sistema operativo o un'applicazione, e per come si stanno evolvendo, parallelamente, hardware e software, presto sarà molto più semplice dialogare direttamente con la macchina. Ma questo è uno dei tanti aspetti di cui si curano solo i criminali.


L'approccio dell'utente-base verso il mondo dell'IT è molto spesso timoroso e mutilante rispetto alle immense possibilità offerte. Per guidare l'automobile è necessaria la patente, e peraltro di impreparati alla guida ve ne sono comunque molti, per usare un PC e navigare nel Web non serve nulla (tralasciamo quella pittoresca cosetta che risponde al nome di Patente Europea per il Computer), salvo aver voglia di farlo. Bene o male chi si potrebbe ritenere un gradino sopra la media, si è fatto da solo. A quando delle solide basi per l'insegnamento di una corretta cultura informatica nel nostro Paese? Forse fra 20 anni?


E' da un pezzo che s'insegnano le lingue straniere a scuola, eppure tutt'oggi si continua ad impararle soprattutto grazie a viaggi all'estero o grazie ad internet. Anzi, fino a qualche anno fa eri anche obbligato a studiare da autodidatta dato che software e videogiochi erano soprattutto in inglese. L'informatica è recente, l'età media dei ministri che potrebbero creare un programma adatto supera i 55 anni, diciamo che si, il tuo calcolo è esatto, tra 20 anni forse s'insegnerà qualcosa di valido e, tra altri 10, ne vedremo i frutti. Insomma è come preparare il viaggio su un altro pianeta, forse tra 30 anni ci si mette piede.


La mia non è solo una battuta, c'è davvero una carenza di programmi adatti ad un valido insegnamento dell'uso del PC nelle scuole (e non solo di questo sic). Eppure la nostra è l'era dell'informatizzazione, l'era del web e della prossima interoperabilità tra un numero infinito di mezzi. Non ci sarebbe solo bisogno di un'educazione che riguardi il corretto uso del PC ma anche di un'educazione che parli della cultura che in pochi anni ci ha portati a dover digitare www per non essere fuori dal mondo. E pensare che solo una decina di anni orsono era chi parlava insistentemente di internet ad essere visto come un alienato... :)


Non nascondiamoci: per certi versi noi italiani siamo una popolazione che si porta dietro un bagaglio culturale assai modesto, con tutti gli annessi e connessi, e probabilmente impreparati a sfruttare appieno le vaste possibilità attuali. Anche in questo caso, come vedi il futuro?


La colpa non è di un Paese che sta andando alla malora ma dell'età media degli abitanti del nostro Paese. Siamo tra i più vecchi al mondo, ed è normale che un Paese popolato e gestito da gente di una certa età si ritrovi a non essere competitivo quando si parla di informatica e nuove tecnologie. Fino agli anni '90 abbiamo sfornato diverse innovazioni, poi ci siamo fermati a quegli anni lì, le innovazioni made in Italy sono diventate sempre meno, mentre gli altri Paesi avanzano. Abbiamo (s)venduto tutte quelle aziende che facevano innovazione, ci siamo permessi di far volare all'estero i migliori creativi, lì dove c'erano italiani che gestivano le tecnologie ora ci sono stranieri. E' ovvio che se non mantieni le menti più geniali e se permetti agli altri Paesi di venire qui a ciucciarti le risorse, poi questi si evolvono e tu da padrone diventi garzone.


Per il futuro, non lo so, non ho la sfera di cristallo. Certo non sarebbe bello trovare i giovani saccenti e avventati di oggi ai posti di comando tra qualche decennio. L'innovazione ha bisogno di spinte quanto di attente valutazioni. In questi ultimi anni, per esempio, si parla dell'uso del VoIP nei ministeri. E' un esempio di innovazione avventata perché chiunque abbia studiato il funzionamento del VoIP ne ha conosciuto i limiti strutturali e lo sconsiglierebbe per applicazioni di alto livello. Sai, ad ogni sbaglio ormai si risponde: "è il mercato" e allora sembra sia arrivato il momento di valutare i nostri esperti di mercato, perché non è normale conoscerlo tanto bene per poi interpretare sempre il ruolo di chi raccoglie la saponetta nelle docce.


Proprio parlando di ciò che eventualmente ci riserverebbe il domani, i sistemi operativi odierni, sempre più tecnologicamente avanzati e sempre meno complicati da utilizzare, potrebbero essere il futuro cardine di una società basata sul controllo globale, un Grande Fratello alla Orwell in piena regola? Carnivore, Magic Lantern, Palladium, Echelon, cosa c'è di vero?


Qui ritroviamo il discorso sulla cultura a cui facevo riferimento. Se i cittadini apprendono che la privacy è qualcosa di serio e che è importante dare segnali da ribelli digitali, si potrà iniziare a sabotare pacificamente ogni tipo di controllo. Qualsiasi software o tecnologia non potrà mai competere con la fantasia di un essere umano, quindi sarà sempre raggirabile a priori.

Il Grande Fratello c'è già, si può discutere sul suo utilizzo, ma non se ne può negare l'esistenza. Le masse sono già condizionate dai media e chi non si sente condizionato è comunque influenzato da media e personaggi, minori, strutturati apposta per contenere i potenziali dissidenti. Le telecamere sono ovunque. Stiamo perdendo il controllo sulle funzioni dell'hardware di tutti gli apparecchi che abbiamo in casa, sempre più connessi e meno monitorabili. Gli acquisti sono schedati, le operazioni bancarie altrettanto, le telefonate, i messaggini, i nostri movimenti se abbiamo con noi un cellulare o un dispositivo GPS, il nostro posto in treno o in aereo. Se vai negli USA ci manca poco che non ti marchino a fuoco e, se hai avuto la sventura di sedere in aereo accanto ad un presunto terrorista (o all'amico dell'amico dello zio di un presunto terrorista), finisci nella lista nera senza saperlo e senza avere la possibilità di uscirne. La tracciabilità degli utenti e di tutto ciò che fanno sarà sempre più in mano all'utenza stessa. I mezzi per tracciarti ti serviranno in qualche modo, li troverai utili, ragionerai nei limiti dell' ora e subito ogni qual volta ti renderai conto che accedendo ad un dato sistema o usando un dato programma la tua privacy sarà annullata. "Ora mi serve e lo faccio, poi chiudo per sempre", siamo drogati dalle comodità e questo chi ha interesse a monitorare le masse lo sa bene. Non serviranno più leggi liberticide, basterà un po' di semplice e sana ingegneria sociale. Ricordi il discorso di prima? Io ti do' una cosina simpatica e/o utile e tu la userai, perché è la tua natura a spingerti a provare.


Ritornando al discorso che riguarda i governi, in Italia si sta sperimentando il misterioso OSEMINTI, con Francia e Spagna. Una relazione del nostro Governo riguardo questo progetto non c'è stata... Perché? Perché queste cose dobbiamo saperle sempre dagli altri? (in questo caso dalla Spagna)


Sia per quanto riguarda la sicurezza dei prodotti, sia a livello qualitativo: opensource o software proprietario?


In generale quello che più aggrada a chi deve utilizzarlo. Il prodotto che è più familiare. Utenti e lavoratori, nella quotidianità, sono pigri, quindi un prodotto nuovo ridurrebbe la produttività o complicherebbe la risoluzione di eventuali problemi. La futura interoperabilità porterà tutti sull'open, quindi mi sembra inutile approfondire il discorso al solo scopo di entrare in polemica con qualcuno.


Anitvirus, antitrojan, antispyware: servono a qualcosa? Possono far comodo all'utente alle prime armi, che già litiga con il Blocco Note di Windows, figuriamoci quando si tratta di configurare un programma di protezione, o forse servono solo a chi il PC lo sa usare bene ed è in grado di difendersi a priori, e quindi in realtà vanno a perdere la loro ipotetica utilità?


Anche chi litiga col Blocco Note dovrebbe sforzarsi e installare almeno 3-4 software di scansione e protezione da malware. Esistono centinaia di programmi simili per ogni esigenza e per ogni tipo di utente, dal novizio a quello più smaliziato. Quando hai un'auto, ti annoia dover fare benzina, cambiare l'olio, controllare le gomme, l'acqua ecc... Però sai che devi farlo. Lo stesso vale per il PC. Capisco che il tempo non è mai abbastanza, che ci sono altri interessi ecc... Ma se non s'inizia da subito a perdere un po' di tempo su queste cose, tra meno di 5 anni molti non saranno in condizione nemmeno di fare o ricevere telefonate. Perché il fattore della gestione della sicurezza sarà (anzi lo è già) anche lì, come nei lettori mp3, nelle console, nelle tv, ovunque. Non bisogna essere dei nerd per gestire la sicurezza di un personal computer, basta applicarsi qualche minuto al giorno.


I produttori, d'altro canto, potrebbero creare dei sistemi ad hoc per chi non ha voglia o non ha tempo di dedicarsi a queste faccende. Ma alla fine sarebbero dei giocattoli e quanti lavorerebbero su un giocattolo?

La maggioranza delle infezioni virali di ampia diffusione si propaga in linea di massima entro 48 ore dal primo caso, cioè nel tempo che intercorre fra paziente zero, iniziale propagazione dell'epidemia, reazione dei produttori di antivirus e rilascio di relative firme di definizione, aggiornamento di tali firme da parte dell'utente. E intanto la frittata è fatta: l'antivirus può esporre ad un falso senso di protezione, arriva via email un file chiamato cliccamiquisonotuttanuda.jpeg.exe, l'antivirus dice che è tutto ok, lo sprovveduto di turno fa click click, e buonanotte. Soluzioni? Imparare ad usare meglio il cervello?


Ma no, non me la sento di offendere chi ci casca. Man mano che gli anni passano le tecniche di phishing si fanno sempre più raffinate. Controllare l'e-mail è un'operazione di routine, quindi tutti sono distratti e meno concentrati sugli eventuali pericoli che si corrono. Basta sforzarsi un po' la prima settimana e far diventare operazioni di routine quelle di: cestinare direttamente le e-mail in inglese (se non si hanno contatti con chi potrebbe scrivere in quella lingua); cestinare quelle provenienti da mittenti sconosciuti; non diffondere l'indirizzo email ovunque; visionare la corretta estensione del file; preoccuparsi (molto) se un collega invia un email con scritto "vuoi vedermi nuda?"; evitare di clickare sui link riportati nelle e-mail e digitarli sempre a mano nella barra; evitare di scoprire come vanno le quotazioni del Viagra e, in generale, fermarsi ogni qual volta si nota qualcosa di strano. Per le aziende è più complesso, perché alcuni dei punti citati sopra non possono seguirli, quindi devono gioco-forza avere un buon piano per ripristinare tutto in fretta qualora dovessero crollare le difese.


Cosa da evitare sono i servizi anti-spam, perché ormai sono completamente inutili e, anzi, possono danneggiare i rapporti dell'azienda o dell'utente che ne fa uso. Quante volte ci capita di sbirciare nella cartella SPAM e notare messaggi che non sono di spam? Immagina cosa succede a chi ogni giorno ne riceve centinaia o a chi ha uno di quei servizi anti-spam che non fa uso di una cartella appropriata ma elimina direttamente la posta.


Hacker, cracker, lamer... facciamo un po' di chiarezza, anche se non sarebbe la prima volta?


Hacker il buono, cracker il cattivo, lamer il deficiente. E' questo quello che ognuno vorrebbe sentirsi dire, è questo lo stereotipo socialmente accettato. In realtà sarebbe meglio distinguere gli hacker in black e white hat, perché il termine hacker nasconde una passione, un modus vivendi e non un'etica ben precisa. Hacker è chiunque, nella sua vita, continui a porsi delle domande, ad inquisire, ad andare oltre la funzione convenzionale di qualsiasi oggetto gli si pari davanti. I discorsi del tipo: "io sono meglio di te perché faccio il bravo bimbo" li lascerei a chi ha seri problemi di autostima. In breve:


Il black hat è l'hacker che s'impone regole ed etiche sue. Colui che mette l'interesse verso il prossimo ad un piano inferiore rispetto ai propri interessi personali.


Il white hat è l'hacker così come viene descritto in genere. Cioè quello etico che si adopera soprattutto per il bene degli altri e per la libera circolazione delle informazioni.


Cracker sta per "criminal hacker". E' il classico pirata informatico che, a differenza del black hat, non si nasconde dietro alcuna etica fittizia.


Il lamer è il buco con la backdoor intorno . E' la persona a cui interessano certi argomenti ma non ha voglia di perdere tempo a studiarci sopra. In genere si serve di roba scritta da altri, oppure si confina alle azioni più semplici e le esalta facendo credere al malcapitato di aver fatto chissà cosa. Personaggi simpatici insomma.


Poi ci sarebbe anche l'old-school hacker, che ha molti punti in comune con i white hat ma che non è d'accordo con l'attuale andazzo dei movimenti. E' l'hacker pulito, l'hacker genuino, quello che realmente si diverte a smontare, rimontare, alterare, raggirare un qualsiasi sistema. L'hacker che dopo aver portato a termine l'hack vuole mostrare a tutti come si fa e non perché così frega il sistema ma perché gli piace farlo, lo trova giusto e basta. E' come il bambino che fa a pezzi un giocattolo e poi lo porta davanti a sua mamma, tutto felice, come per dire: "visto come sono bravo? Ho capito com'è fatto".


Nel nostro Paese e nel tuo ambito operativo (o più in generale parlando di sicurezza dell'informazione), quante ritieni siano le persone davvero preparate ed affidabili, tecnicamente ed umanamente?


Poche, ma così poche che mi viene in mente una sola persona. Purtroppo in questo mestiere alcuni paletti danno fastidio ai clienti stessi e sono loro in primis a chiederti, indirettamente, di levarli. Se vuoi avere (in fretta) un buon numero di clienti importanti e vivere bene, sei portato ad accantonare tutto quello per cui magari hai combattuto da adolescente e abbracciare la realtà ("We suck the motivation and altruism out of the really talented people, and turn them into business whores"). Questo è un problema che accomuna molti mestieri, non solo quelli che s'incentrano sull'information security, con la differenza che, in questo tipo di lavori, l'invasività sul prossimo è molto più alta che in altri. Io, e qualcun altro, abbiamo la fortuna di non dover avere fretta, quindi c'è il lusso dell'accettare o meno un determinato compito. Ma non tutti possono concedersi questo lusso, perché il costo della vita è alto e i sacrifici da compiere per restare fedeli a se stessi sono tanti. Con tutto quello che scatenerà negli anni avvenire il caso Telecom/Pirelli, s'inizierà a dare molta più importanza a quei paletti per non avere grane legali, quindi è un bene che chi ha iniziato da poco il suo cammino nelle paludi della security nostrana, stringa un po' i denti ed attenda il momento giusto senza cercare facili scorciatoie o altri mezzucci.


Per concludere, qualcosa in particolare su cui focalizzare la nostra attenzione nell'immediato futuro?


VoIP, WiMAX e 4G saranno le tre tecnologie che da qui ai prossimi 5 anni faranno molto discutere. Specialmente le prime due, descritte da tutti come una manna tecnologica, sono in realtà vulnerabili ad una serie di attacchi che vanno a far breccia direttamente sulle radici di queste tecnologie, rendendo di fatto inutili protezioni crittografiche o di altra natura. Ma i modelli di business attuali non prevedono una ferma bocciatura di ciò che porta nelle casse molto denaro. Per cui, come al solito:


1. Si faranno adottare queste tecnologie.
2. Si parlerà della sicurezza proponendo soluzioni economiche.
3. Quando saranno ormai indispensabili, si forzerà la mano pubblicizzando soluzioni molto costose.
4. Inizierà il conto alla rovescia per la prossima innovazione.


Per la 4G invece non si conoscono ancora con certezza tutti gli standard che saranno adottati quando verrà diffusa in Europa, ma come per le prime due: business is business e lo possiamo già immaginare. In più la 4G si porterà appresso anche tutte quelle lacune che sono tutt'ora presenti nella telefonia di terza generazione e l'accrescimento delle conoscenze tecnologiche da parte dei malintenzionati metterà a dura prova la privacy di ognuno di noi.


Altra manna per i pirati di tutti il mondo è (sarà) tutto ciò che ha (avrà) a che fare col Web 2.0. A partire dalla semplice manipolazione di piccole masse tramite un po' di buona ingegneria sociale, fino al rendere inutilizzabili per ore o giornate un'intera serie di siti gemelli. Sono convinto che stiamo per rivivere un altro 7 Febbraio 2000 (Yahoo al collasso, a ruota eBay, CNN, ed altri giganti) ed è quindi il momento giusto per far sì che la sicurezza non sia nuovamente un vangelo.


Ivan Scalise intervistato da Federico Vitali aka Vitoz


Letture suggerite da Ivan Scalise per chi desiderasse approfondire alcuni argomenti trattati:


Il vero nome, di Vernor Vinge. Casa Editrice Nord.
Un avvincente thriller informatico che quando fu pubblicato, nel 1981, venne considerato fantascienza. E' un libro che mi piace molto perché, al contrario di altri racconti simili, è molto "caldo", non ci sono terminologie fredde. Non c'è il "cyberspazio" ma l' "altro piano", si rifà al mondo magico lasciandosi leggere facilmente e nonostante sia stato scritto 26 anni fa, mantiene ancora dei presagi su quello che potrà accadere nel prossimo futuro.

Hackers, i ribelli digitali, di Paolo Mastrolilli. Editori Laterza.
Racconta le vicende di due celebri hacker newyorkesi, El Zorro ed Emmanuel Goldstein, in modo romanzato ma senza distorcere troppo la realtà. Utile per chi vuole iniziare ad immergersi nella vera cultura hacker, quella che si fa in strada e non sulle riviste o al cinema.

Profilo Hacker, di Raoul Chiesa e Silvio Ciappi. Apogeo.
Un'indagine, da osservatori, sul mondo degli hackers e dei criminal hackers, per cercare di offrire al lettore un quadro completo di un argomento da sempre discusso ma raramente approfondito. Aldilà delle ampie categorizzazioni che Raoul estrapola, penso sia utile leggerlo per eliminare alcuni stereotipi, ben più fastidiosi, che inquinano e danneggiano la figura degli hackers.

L'arte dell'inganno, di Kevin D. Mitnick. Feltrinelli.
Tramite una serie di piccoli racconti, Kevin racconta al mondo quanto sia semplice impossessarsi di informazioni sensibili tramite l'uso di strategie d'ingegneria sociale per niente complicate ma dannatamente efficaci. Penso che questo libro sia utile a tutti coloro che fanno dell'ingegneria sociale una questione d'intelligenza o che non si accorgano di come sia semplice portare a termine un attacco partendo dal personale considerato "meno importante".


Intercettare il mondo, di Patrick R. Keefe. Einaudi.
Il miglior libro che sia mai stato scritto su Echelon, utile a chi pensa che siano tutte fandonie o che i sistemi abbiano chissà quali limiti. Effetti collaterali: potrebbe incrementare il livello di paranoia.


Intervista realizzata in esclusiva per Software Zone Italia e vitoz.blogspot.com. Tutti i diritti riservati. La pubblicazione su differenti siti Web e/o qualsiasi altro mezzo di divulgazione è VIETATA salvo specifica approvazione dell’autore.

Etichette: , , , , ,

13 aprile 2007

Oddio che mal di testa... MomentACT?!?

Lanciato da poco più di sei mesi, ma pubblicizzato da circa un paio, MomentACT di Angelini si sta rapidamente diffondendo presso i consumatori, appunto anche grazie allo spot televisivo realizzato dall'agenzia Armando Testa (prodotto per il mal di testa, agenzia Testa... Scusate la vaccata), dove su un aeroplano una ragazza dal chiaro accento teutonico consiglia il prodotto ad un vicino di poltrona afflitto da un mal di testa più forte del solito, per il quale aveva scarsamente considerato il normale Moment offerto dalla hostess.

Vi illustro alcuni dettagli, senza commentarli:

Moment compresse, principio attivo ibuprofene 200 milligrammi, posologia 1 o 2 compresse al bisogno fino ad un massimo di 6 compresse al giorno

MomentACT compresse, principio attivo ibuprofene 400 milligrammi, posologia 1 compressa al bisogno fino ad un massimo di 3 compresse al giorno

Prezzo al pubblico massimo suggerito dal produttore (poi ogni farmacia può stabilire autonomamente il prezzo di vendita come deciso nella normativa entrata da poco in vigore) delle confezioni MomentACT in commercio:

MomentACT 6 cpr 400mg € 4,30
MomentACT 12 cpr 400mg € 7,80

Confronto prezzi MomentACT/Moment:

Moment 12 cpr 200mg € 4,30 - come MomentACT 400mg da 6 cpr
Moment 24 cpr 200mg € 7,80 - come MomentACT 400mg da 12 cpr

Niente da aggiungere...

Etichette:

12 aprile 2007

Emergency e il reality show

Emergency, una delle ONG più note, sbaracca dall'Afghanistan e molla il colpo perchè i cattivi politici le vogliono fare la bua. Il Governo italiano, da grandi illuminati quali siamo, affida la trattativa per la liberazione di daniele mastrogiacomo (minuscolo) nelle bizzarre manone del buon vecchio gino strada (forse un tempo maiuscolo, ora sempre più minuscolo), il fiero volontario più sponsorizzato, intervistato, interpellato d'Italia. Va tutto come deve andare: il nostro Paese paga il riscatto ai simpatici estremisti islamici oggi con prodi (minuscolo) come pagava ieri con berlusconi (minuscolo), la differenza è che ora si viene a sapere con certezza, cosa gravissima a livello di immagine politica. Sì perchè in politica puoi fare tutte le zozzate che vuoi, ma occhio a chi lo dici e chi ci tiri in mezzo.

Il precedente Governo, almeno, affidava le trattative a persone competenti in materia, come Nicola Calipari (maiuscolo), morto per salvare l'avvizzita pellaccia di giuliana sgrena (assai minuscolo), ora ci si rivolge ad un medico che sicuramente merita rispetto per molti progetti realizzati, ma anche amante dei riflettori e più o meno abile imbonitore. Risultato? Il giornalista viene liberato previo pagamento di riscatto, e va bene, torna in Italia in diretta TV manco fosse Wojtyla (maiuscolo) che atterra a Cuba, euforia nei titoli dei quotidiani, tutto è bene ciò che finisce bene.

Peccato che due esseri umani vengano barbaramente decapitati, Saved Agha e Adjmal Naqshbandi (maiuscolo, come tutti i militari italiani feriti o uccisi in missione, e come Fabrizio Quattrocchi), colpevoli di non essere interessanti per i nostri politici, colpevoli di una scriteriata gestione del problema (se vi andasse a fuoco la casa chiamereste i pompieri o un medico? Sono entrambe figure che intervengono in situazioni di emergenza... Però però...), colpevoli di non essere considerati pieni protagonisti dell'enorme reality show che ruota attorno a tutte le guerre contornate da ottima valenza mediatica. E intanto il minuscolo strada continua a sparare le sue piazzate a ruota libera. Che schifo...

Etichette: ,

23 gennaio 2007

Le torte dell'irlandese

Passeggiando ti capita di far caso ad una vetrina un po' anonima in una piccola via di Milano, in zona Porta Romana. Sull'insegna leggi "Pasticceria O'Sullivan's", e ti chiedi quale origine possa mai avere. Probabilmente americana, in fin dei conti in USA con i dolci non se la cavano malaccio, e non sarebbe la prima da queste parti. Dal nome però... Forse irlandese? Inconsueto, ma possibile. Beh, rapido consulto con mia moglie, e si decide di tentare. Il ragazzo dietro il banco è uno spigliato irlandese trentenne dal buon italiano cadenzato da un simpatico accento d'oltremanica. Il bancone è popolato da coloratissime torte, in gran parte a base di pastafrolla, ma anche molte mousse, cioccolatini, e biscotti artigianali di svariati tipi. Ci lasciamo tentare da due piccole torte, una ripiena alle mele con un velo di crema, pinoli, e frutti di bosco, e una crostata di fragole e cioccolato. Al momento dell'assaggio qualsiasi titubanza sull'arte dolciaria del giovanotto si spegne in mugugni di inarrestabile piacere. Deliziose. Eccellente il mix di ingredienti nella torta di mele, e a mio gusto inarrivabile il sapore del cioccolato della crostata, dalla perfetta fusione nel palato, con un tocco delicato e non invadente, dolce ma non stucchevole come il banale cioccolato al latte, amaro ma privo di quel retrogusto davvero troppo amaro tipico del cioccolato fondente di non elevata qualità.

Eccellenti i biscotti di pastafrolla con marmellata, impastati con farina di nocciole o mandorle, notevoli le scorzette di arancia ricoperte di cioccolato, sublimi i mignon, ancora al cioccolato, ripieni di crema al pistacchio, ottima la crostata di crema e frutti di bosco. La pastafrolla delle crostate è perfetta, corposa al morso, ma mai troppo dura. Il bravo Stephen Cristopher O'Sullivan sarà per me motivo di maggior impegno in palestra, ma è un piacere fargli un minimo di pubblicità, se la merita in pieno.

Pasticceria O'Sullivan's, via Corio 8 Milano, 02 54123982

Etichette:

05 gennaio 2007

YamiPod

Siete felici possessori di un iPod, ma il solo pensiero di doverlo gestire tramite quel pessimo ricettacolo di astruse funzioni che corrisponde al nome di iTunes vi provoca contrazioni intestinali? Siete convinti sostenitori che un minuscolo e pratico lettore portatile di contenuti multimediali, prevalentemente musicali, debba comportarsi essenzialmente come tale, senza aver la pretesa di fare il verso ad un sofisticato entertainment system? Desiderate gestire con semplicità i file da condividere con il vostro iPod?

La risposta a tutto ciò si chiama
YamiPod, scaltro e minimalista file manager in grado di trasferire contenuti nell'iPod con una banalissima operazione di trascinamento. Avete una cartella chiamata ad esempio Queen - Greatest Hits 1 (che non dovrebbe in teoria contenere canzoni di Reitano...)? Benissimo, create una nuova playlist con YamiPod (o in seguito selezionatene una fra quelle che avrete già creato), trascinate la cartella nel riquadro principale del programma, modificate i tags se necessario, e il gioco è praticamente fatto. Potete anche sfruttare la funzionalità di creazione automatica della playlist da parte di YamiPod in base al nome stesso della cartella originale che vorreste importare; è ovviamente possibile anche trasferire singoli file audio senza dover necessariamente copiare un'intera cartella. Assai semplice anche la procedura di esportazione di file dall'iPod verso il PC: selezionate le canzoni prescelte e dal menù lanciate il comando per la copia su supporto esterno, con in più anche la presenza di graziosi extra come la possibilità di creazione on the fly di cartelle e sottocartelle per differenti album di un medesimo artista.

Unico requisito, per poter interagire correttamente con il vostro iPod, è richiesta la presenza sul lettore di almeno una canzone precedentemente trasferita tramite quel catafalco di iTunes, quindi minimo una volta vi toccherà usarlo... Leggete in ogni caso
l'ampia e precisa documentazione online (in inglese) per poter fugare qualsiasi dubbio su come spremere al meglio YamiPod, programma che peraltro non richiede installazione, è gratuito (donazioni ben accette dall'autore), è localizzato in italiano (traduzione di un caro vecchio amicone... Vabbè). Non esattamente adatto per la gestione di contenuti differenti da file audio, si propone come complemento ottimale dei modelli Shuffle e Nano; per sfruttare appieno le potenzialità dei modelli iPod Video toccherà invece andare in cerca di altri manager alternativi, oppure accontentarsi di riesumare la mummia di iTunes...

Etichette: , ,

Profilo...

Archivio delle farneticazioni


Vitoz News Feed


Vitoz News Atom Feed

Technorati

Template by Blogger Templates - Modded by Vitoz