September 23, 2015

Analisi tecnica {S}Bot

Ieri è stato presentato da OpenSIPA (Associazione dei Sistemisti Informatici della Pubblica Amministrazione) un bot ({S}Bot) per comunicare con i cittadini a costo zero.

Praticamente si tratta di bot, scritto in PHP, per Telegram (un app per cellulare e PC simile a Whatsapp) che fa la lista di distribuzione dei messaggi verso le persone.

È lodevole il fatto che l'abbiano fatto nel loro tempo libero e che l'abbiano rilasciato con licenza libera (AGPL).

Sfortunatamente ha diversi problemi di progettazione che, secondo me, non lo rendono un buon prodotto:

  • Mischione di codice PHP e HTML (cosa che non si dovrebbe fare più da tipo 10 anni)
  • Utilizzo di funzioni del sistema operativo inutilmente (ad esempio pidof). Questo obbliga la gente ad utilizzare questo bot su server Linux e non Windows (cosa tecnicamente non sia necessaria).
  • Mancato utilizzo di salt per le password degli utenti, che rende possibili diversi attacchi di sicurezza.
  • Vincolo (non necessario) di utilizzare un database MySQL. Si sarebbero potute usare delle librerie di astrazione (tipo MDB2) che non vincolino ad un database specifico.
  • Codice formattato e indentato senza un "coding style" e questo potrebbe essere un problema per chi contribuisce dato che non sa come deve formattare il codice.
L'idea è molto buona, ma l'implementazione è ai livello di un progettino di terza superiore di 10 anni fa e ha quel problema di sicurezza sulla password che non è trascurabile. Non ho analizzato altri possibili altri problemi di sicurezza, come ad esempio SQL injection o XSS.

July 16, 2015

Vedere Dplay senza Flash

Dopo tutto quello che hanno "dumpato" tutto lo scibile umano da Hacking Team, compresi dei bug molti brutti di Adobe Flash,
Flash è stato giustamente disabilitato dalla stragrande maggioranza dei browser, e se non lo fosse, consiglio fortemente di disabilitarlo o di metterlo in modalità click-to-play, come fare a vedere i video forniti da Discovery (ovvero Real Time, Dmax, Focus, Giallo)?

Se anche voi avete una ragazza che vi stressa la vita per poter vedere Chi diavolo ho sposato o altri programmi del genere, ma volete comunque mantenere il PC al sicuro, come poter fare?

Qui entro in scena io! Ho fatto un semplicissimo User Script, usabile da GreaseMonkey, che permette di vedere i video usando il plugin web di VLC, di vederli fuori dal browser ed (eventualmente) di scaricarlo in formato flv.

Per poter vedere i video direttamente sul browser, usando il plugin web di VLC è bisogna usare Firefox o un suo derivato.

Non è obbligatorio l'utilizzo del plugin VLC o di Firefox. In questo caso il video non si vedrà direttamente sul browser, ma può essere scaricato o visualizzato in streaming con un altro programmma (tipo VLC o MPC-HC).

Se volete procedere usando il plugin VLC e quindi Firefox, su Windows basta installare la versione di VLC a 32bit e selezionare di installare il plugin Mozilla durante la procedura di installazione, mentre su Ubuntu/Debian basta installare il pacchetto browser-plugin-vlc e, invece, su Archlinux basta installare il pacchetto npapi-vlc. A questo punto installate GreaseMoney, mio userscript e poi è fatta!

Se invece desiderate usare Google Chrome (o derivati), perdendo la visualizzazione dello streaming da browser, dovete installare Tampermonkey, al posto di GreaseMonkey, e poi sempre il mio userscript.

Ora basta che aprite un qualsiasi video su Dplay e dovreste vedere due bottoni nuovi: Video e Download e sopra questi bottoni la barra di VLC (se usate Firefox e avete installato VLC correttamente):
Video punta alla playlist del video che può essere trascinato sopra VLC o MPC-HC per permettere di vedere lo streaming in alta qualità e senza la necessità di usare il browser.
Download, invece, permette di scaricare il video in formato flv.
Se volete vedere il filmato nel browser, invece, basta che cliccate sul tastino Play a sinistra della barra di VLC.

June 9, 2015

Come sopravvivere ai banner navigando

Negli ultimi anni c'è stata una proliferazione incontrollate di banner pubblicitari in praticamente ogni sito internet.
Molti di questi banner cercano di trarre in inganno l'utente imitando un bottone di Download o comunque la grafica del sito per far sì che l'utente meno smaliziato clicchi sul posto sbagliato e si scarichi virus o altri malware.
 
La soluzione è quella di usare una estensione del browser che permetta di bloccare le pubblicità moleste.

Io consiglio µBlock, estensione molto leggera, performante e compatibile con i browser più usati (Google Chrome, Mozilla Firefox e Apple Safari).

Una volta installata l'estensione consiglio di abilitare anche il filtro Anti-Adblock Killer | Reek‎, in quanto diversi siti tendono a non funzionare con un sistema di bloccaggio della pubblicità attivo.

Adesso potete navigare in maniera più veloce e sicura e senza dover "schivare" i banner pubblicitari.

May 28, 2015

Analisi sicurezza sito Expo 2015

Dopo aver subito tutta la pubblicità invasiva sull'Expo 2015 mi son detto:
perché non verificare, in modo del tutto legale ed etico, se i vari siti dell'Expo 2015 sono a posto dal punto di vista della sicurezza.

Si scopre facilmente che Expo2015 ha deciso di utilizzare i servizi di Akamai come CDN, scelta che personalmente non condivido.
È Expo MILANO 2015, usare una CDN Italiana, no?

Se ci si prova a connettere al sito principale dell'Expo 2015 mediante il protocollo HTTPS, ovvero https://www.expo2015.org, vedrete il browser darvi un errore in quanto non esiste un certificato valido per quel nome a dominio, ma solo il certificato standard di Akamai.

Com'è possibile che uno non possa visitare in maniera "sicura" il sito dell'Expo 2015?
Inoltre HTTPS è obbligatorio per HTTP/2, e quindi il suo predecessore SPDY, che sono due protocolli che permettono di accedere ai siti internet più velocemente (detto in soldoni) e che sono supportati (o almeno uno dei due) da praticamente tutti i nuovi browser e dai maggiori siti internet (Facebook, Twitter, Google, etc).

Il sito per comprare i biglietti, fortunatamente, utilizza HTTPS, senza però supportare HTTP/2 né SPDY e questo per l'utente significa avere una iterazione col sito più lenta.

Il sito supporta degli "algoritmi di crittografia (cipher)" obsoleti e poco sicuri e non supporta, invece, HTTP Strict-Transport-Security che è una funzionalità che obbliga il tuo browser ad accedere al sito, in maniera sicura, per un determinato periodo di tempo e che quindi impedisce ad un attaccante di poter fare MITM, ovvero di poterti intercettare le credenziali del sito (sempre detto in soldoni). Se volete potete trovare l'analisi completa della configurazione SSL, ovviamente in inglese, del sito dell'Expo 2015 usando sslcheck.

I siti dell'Expo 2015 non supportano neanche l'header X-Frame-Options che è necessario per impedire attacchi di Clickjacking.

Non ho verificato se sono possibili attacchi di tipo XSS (Cross-site scripting), o una analisi più "approfondita", in quanto per la legge italiana è considerato un reato.

Spero che risolvano questi problemi al più presto, che facciano verificare il sito da un team di esperti di sicurezza e che utilizzino dei partner tecnici più affidabili a sicuri (Best Union, il partner di Expo 2015 per il "ticketing" è già stato bucato da Anonymous https://twitter.com/OperationItaly/status/599607756681781249).

April 16, 2015

Occhio alla fibra!

Ultimamente va di moda parlare di "banda ultralarga" o "fibra ottica", ma molto spesso lo si fa a sproposito.

La "fibra ottica" che ti fornisce Telecom Italia, Vodafone e ultimamente anche Fastweb è di tipo FTTC, che significa che la fibra ottica arriva all'armadio di strada e poi a casa vostra tramite VDSL2 mediante lo stesso doppino telefonico che state usando attualmente per l'ADSL.

Ovviamente per ragioni di marketing questo fatto molto spesso non viene specificato o comunque l'utente finale non lo capisce. Sapete com'è fa molto più figo scrivere "Vi porto la fibra a casa" che non "Vi porto la VDSL a casa".

L'Italia sta investendo una vagonata di soldi in questa finta "fibra ottica" (FTTC), quando invece il resto d'Europa ha 15 milioni di utenze che usano FTTH (fibra fino a casa) o FTTB (fibra fino al palazzo) (fonte).

Perché dobbiamo sempre investire in porcate? In Italia abbiamo i doppini marci e comunque la distanza media di un doppino dall'armadio di strada a casa è di 400metri e 400metri è il limite per poter avere una VDSL2 a 100Mbps mediante la tecnologia vectoring (che da quello che so io non viene ancora usato il Italia).

Per cui noi stiamo investendo soldi in una tecnologia che non permetterà mai di andare a una banda "veramente ultraveloce" (1Gbps).

Che sia la solita mossa "all'italiana" per far felice i soliti "fornitori" che saranno benissimo che fra qualche anno fa rifatto tutto da capo cambiando tecnologica da zero?

March 3, 2015

Recensione di Infinity

Grazie alla promozione San Valentino Infinity ho a disposizione 30 giorni di prova di Infinity, per cui ci ho smanettato un po'.

L'idea di un NetFlix "all'italiana" è buona, peccato che tecnicamente lasci abbastanza a desiderare:
  • I filmati in HD sono solo visionabili da SmartTV "avanzate" o set top box (come dicono sul sito ufficiale). Questo è assolutamente inaccettabile in quanto sono sempre più comuni gli HTPC o l'utilizzo di Chromecast.
  • La visualizzazione dei video sul PC è solo possibile mediante l'utilizzo del plugin Microsoft Silverlight, cosa che rende la fruizione dei filmati lenta e poco compatibile con linux.
    Anche su Windows tutti i contenuti che ho provato si vedono in maniera poco fluida e quasi irritante, senza contare la mancanza dell'HD (vedi punto precedente).
  • Il supporto di Android è veramente una cosa penosa. Non supportano l'HD, nonostante i nuovi dispositivi abbiano uscita HDMI e risoluzione HD ed inoltre l'applicazione non funziona su sistemi "rootati" e questo è un altro limite enorme per tutti gli "smanettoni".
    Capisco che loro vogliano evitare che la gente possa salvarsi i contenuti da loro venduti, ma è inutile in quanto comunque se uno vuole scaricare un film pirata lo fa lo stesso ed inoltre se qualcosa si può visualizzare è copiabile per definizione, quindi è una lotta persa in partenza.
Mi aspettavo qualcosa di tecnicamente innovativo e invece mi sono trovato con la solita porcata pensata bene, ma realizzata veramente male.
La cosa più irritante di tutte è vedere un video a scatti, è veramente vergognoso in un servizio streaming a pagamento nel 2015!

February 7, 2015

La storia infinita di una (dis)connessione ADSL...

... ovvero come gli operatori telefonici ti prendono per il culo e fanno di tutto per non risolvere i problemi.

Cominciamo dall'inizio:

Il 27 gennaio 2015 apro un ticket a Tiscali (tramite twitter) in quanto la connessione ADSL non voleva sincronizzarsi.
Il 28 mi accorgo che il mio numero di casa (non VoIP) non funzionava (squillava a vuoto) e avevo un altro numero di telefono.
Ho intuito che si trattava di un classico caso di "sfioccamento" selvaggio, dove il tecnico sbaglia a scollegare una permuta nell'armadio (dove arriva il tuo cavo telefonico e va verso la centrale telefonica) e ti collega al posto di qualcun altro.

Il 29 gennaio esce il tecnico e ricollega il cavo nell'armadio, senza fare nessuna prova sulla linea ADSL, ma solo una prova che il telefono funzionasse (io ero a lavoro e non ho potuto verificare la bontà del suo lavoro).

Ovviamente Tiscali chiude il guasto in quanto la linea è stata ricollegata, ma la portante ADSL non voleva salire per cui (sempre tramite twitter) apro un altro ticket dicendo che la portante non sale. Questo ticket viene chiuso il 3 febbraio senza nessun intervento da parte del tecnico.
A questo punto la linea ADSL sale e scende e ottengo dei valori di connessione veramente strani (16MB in downstream e 256Kbps in upstream, quando invece dovrebbe essere circa 1024Kbps), con un "margine di rumore" in upstream veramente inquietante, 6dB per meno di 300Kbps di upstream.
Prima del'intervento del tecnico io andavo quasi a piena banda (19Mbps in downstream e 1000Kbps in upstream), in quanto sono vicinissimo alla centrale (700 metri).
A questo punto ho provato ancora a contattare Tiscali su twitter e hanno cominciato a supercazzolare cose senza senso, che potete leggere nella conversazione che c'è stata.
Certo, la variabilità è normale. Ma su una linea con upstream garantito a 512Kbps, come cacchio faccio a salire a 250Kbps, ovvero meno della metà di quello che loro garantiscono? È davvero necessario far perdere tempo alla gente facendole fare un test assolutamente inutile, visto che è impossibile ottenere una banda superiore rispetto a quella che il modem negozia con la centrale ADSL (DSLAM)?
Capisco però che il "social center" possa non avere una competenza tecnica di base che gli permetta di capire queste cose o capisco che abbiano delle direttive dall'altro, per cui scarico il tool nemesys e lo lancio sul PC e dopo un po' mi accorgo che da un errore, cerco su internet e vedo che questo errore è già stato segnalato a luglio 2014.
Faccio presente l'obiezione e mi dicono di lanciare un altro tool sempre di misurainternet, cosa che faccio e posto il risultato:
Sì, anche il download è basso per essere salito a 18 Mbps (comprensibile avendo un upload degradato, in quanto il protocollo TCP che viene usato per lo speedtest e anche per la normale navigazione, soffre fortemente della perdita di pacchetti), in quanto loro garantiscono "9000 Kbps" per il mio profilo utente e io stavo andando a meno di 7000.

A questo punto loro rispondono che i "valori di linea" sono nella norma (ovviamente loro guardano solo i valori downstream, senza accorgersi che il valore upstream è sempre degradatissimo) e non possono richiedere alcuna verifica.
A quel punto io mi sento lievemente preso in giro, ma volevo andare in fondo a questa storia, in quanto internet serve alla mia ragazza (convivente) per lavorare e non possiamo stare a vita con una chiavetta della 3, e vorremmo tornare a usufruire di un servizio che paghiamo regolarmente (visto che ora il RID è obbligatorio).
Visto che sono un programmatore professionista che lavora su linux e che sviluppa software per access gateway (proprio i modem/router) mi scarico una Ubuntu Live 14.04 dall'ufficio, la porto a casa e faccio partire questo test nemesys che dopo solo due ore tira già fuori una violazione 5 percentile del contratto sulla banda di download / upload in quanto avevo dei valori veramente ridicoli (5800 Kbps in download e 30 Kbps in upload).
Il giorno dopo (5 febbraio) chiamo il 130 spiegando il mio problema e dicono di aver aperto un guasto presso Telecom Italia (gestore dell'ultimo miglio).
Il giorno successivo (6 febbraio) mi arriva l'SMS che il guasto era stato risolto, torno a casa, accendo il router e verifico che va male come negli ultimi giorni (16Mbps / 300Kbps) per cui chiamo il 130. Dopo un po' di chiamate senza esito con le solite domande (hai cambiato cavo?) (hai cambiato router?) (hai provato senza filtro?) sono riuscito a parlare con una operatrice che mi lascia in attesa per 5 minuti e poi mi dice:
"I nostri tecnici e programmatori hanno verificato e sono sicuri che il problema sia il suo router che non è certificato (ho fatto le prove con alcuni dei router che facciamo noi) e di provare con un router commerciale."
Visto che ero alquanto sicuro che stessero dicendo una valangata di stronzate, sono andato a comprare un router della TP-Link al primo negozio che ho trovato.
Torno a casa, lo collego e trovo dei valori di linea più scarsi rispetto ai valori di linea che ottenevo usando i nostri router.
Richiamo il 130 e dopo le solite mezz'ore di attesa e un paio di volte che è caduta la linea, riesco a parlare con un operatore che fa alcune prove (mentre avevo attaccato il router TP-Link) e dice che in effetti avevo un "margine di rumore" veramente strano per essere a soli 700 metri e che era pessimo (molto variabile, con picchi anche a 5.5 dB), problema presente anche abbassandomi la linea a 640/160 Kbps.
Per cui l'operatore,uno dei pochi competenti con cui sono riuscito a parlare ieri, ha riaperto un guasto in Telecom Italia e speriamo che lo risolvano presto visto che non è possibile che a Lissone (città di quasi 45 mila persone) ci siano ancora degli inconvenienti simili e una incompetenza (o comunque un disinteresse) totale da parte degli operatori telefonici.
Mi aspetto anche delle scuse da parte di Tiscali (anche se forse la colpa è di Telecom Italia) e un rimborso delle 2 settimane in cui ho avuto una linea sotto la soglia del digital divide.

Questo è uno screenshot del router TP-Link con i valori di banda che ho oggi:


Mi son fatto lasciare la banda a 640 appositamente per far vedere a Telecom Italia che ho qualcosa che non quadra a livello "fisico".

Forse loro fanno questi giochetti sperando di trovare una persona poco esperta e quindi più disposta a bersi tutta la serie di balle che ti propinano. Anche perché non so quante persone normali sarebbero in grado di scaricarsi una Ubuntu e di farci girare sopra il tool nemesys (che su Windows 8.1 non funziona). Per cui loro ti lasciano il problema è tu, cliente non smanettone, non hai modo per provare che loro sono nel torto e per farti aggiustare la linea.

Update #1 del 09/02:

Non ho avuto aggiornamenti sullo stato della mia linea, ma mi sono accorto che sono state fatte alcune chiamate dal mio numero che non sono state effettuate da me:

Inizio chiamata
(gg/mm/aaaa oo:mm:ss)
Numero chiamanteNumero chiamato
Durata
(oo:mm:ss)
Tipologia chiamataCosto
( € )








02/02/2015 17:18:16***0392021***00:03:58Fissi Nazionali0.1653
03/01/2015 20:40:14***800121***00:12:17Numerazione Premium - 8000.0000
03/01/2015 20:34:14******00:05:30Servizio Clienti - Vodafone- 1900.0000
03/01/2015 20:32:30******00:01:27Servizio Clienti - Vodafone- 1900.0000
03/01/2015 20:30:42******00:01:23Servizio Clienti - Vodafone- 1900.0000
03/01/2015 19:12:32***3888011***00:01:00Cellulari Nazionali0.1653

Alle 17:18 nel 02/02/2015 io ero a lavoro e la mia ragazza stava venendo da me in treno (ho la ricevuta del bancomat).
Fino al 21 gennaio (data del mio primo problemino con Tiscali) non avevo mai collegato il telefono alla linea Tiscali, ma usavo un operatore VoIP.
Per cui è impossibile che abbia fatto quelle chiamate che loro mi hanno addebitato o comunque conteggiato.

Non è che semplicemente qualche sveglione abbia messo in parallelo la mia linea con qualcun altro?

Update #2 del 09/02:

Per cercare di capire se qualche sveglione mi avesse collegato in parallelo con qualcun altro mi sono chiamato per tutto il giorno a casa (mentre non c'era nessuno) e a un certo punto risponde una ragazza.
Le ho spiegato la situazione e lei mi ha detto che ha il telefono attivo da una ventina di giorni e che internet non le funziona (con Infostrada).
Ho fatto presente questo fatto su twitter a Tiscali che finalmente ha capito che il problema esiste e ora posso solo sperare che esca il tecnico e lo metta a posto.

Update #3 del 11/02:

Si continua ad aspettare l'uscita del tecnico...