RIP Linux Journal


Fonte: Linux Journal.

La notizia è di pochi giorni fa, non ci sono più soldi e Linux Journal ha dovuto cessare le pubblicazioni. L’ennesima rivista che muore perché non riesce più a reggere la concorrenza del web. Ha resistito più di BYTE e di Dr. Dobb’s, sarà solo una piccola soddisfazione ma è sempre meglio di niente.

Linux Journal è stata per tanti anni la migliore rivista dedicata a Linux e al mondo del free software, nessuna rivista concorrente è mai riuscita ad ergersi al suo livello.1

Purtroppo anche per Linux Journal a un certo punto è arrivata la crisi: la pervasività di internet, la disponibilità pressoché immediata sul web di notizie e di informazioni tecniche, spesso anche di livello eccellente, ha reso sempre più irrilevanti le riviste tradizionali. Che senso aveva comprare Linux Journal per (ri)leggere cose che avevi già visto due mesi prima sul web?

Linux Journal #1 Linux Journal #5

Linux Journal #25 Linux Journal #100

Nemmeno l’abolizione della versione cartacea della rivista ed il passaggio ad una diffusione solo elettronica sono riuscite a invertire la parabola discendente, anzi forse l’hanno persino accentuata. Parecchi lettori insoddisfatti sono scappati via, la diminuzione degli introiti ha avuto conseguenze negative sulla qualità dei contenuti allontanando ancora di più i lettori affezionati, che conservavano religiosamente le copie di carta dei tempi belli (anche io sono stato a lungo fra questi).

Ma i ricordi e la storia sono importanti e, nonostante la disaffezione, ho voluto subito comprare l’archivio completo della rivista (in html), con gli articoli pubblicati dal primo numero del 1994 all’ultimo di novembre di quest’anno. Un paio di anni fa infatti, a causa di una perdita d’acqua, ho perso tutti i vecchi numeri tenuti incautamente in uno scatolone in cantina, e anche se non sono esattamente un appassionato della lettura su congegni elettronici, la versione elettronica della rivista è sempre meglio che niente. Del resto costa meno di 11 euro, un vero affare, anzi praticamente un furto.

Riuscire ad acquistare l’archivio di Linux Journal però non è facile, ad ulteriore dimostrazione del decadimento degli ultimi tempi. Sulla home page non si trova nessun link, con Google sono arrivato a questa pagina, dalla quale però non si riesce ad inserire l’ordine nel carrello. Invece questo link funziona perfettamente, ma ci ho messo dei giorni per accorgermene.

Se è difficile comprare regolarmente ciò che resta di Linux Journal, è facilissimo invece arrivare ad una pagina non protetta del sito della rivista che contiene tutti i numeri disponibili in formato elettronico (che in teoria sono ancora in vendita), prima solo in pdf e poi anche in epub e mobi. Ho comprato regolarmente l’archivio ufficiale e quindi non mi sento in colpa a scaricarli (ma penso che l’amministratore del sito farebbe meglio a cambiare mestiere).

Per chi ha più scrupoli di me, segnalo che tutti i numeri usciti in pdf di Linux Journal (cioè quelli pubblicati a partire da aprile 2005) sono già stati archiviati anche su Archive.org, dove chiunque può leggerli o scaricarli in modo del tutto legale.

Il contenuto della rivista in formato html è accessibile anche dal sito di Linux Journal, ma come al solito non c’è nessun link che permetta di arrivarci dalla pagina principale (e probabilmente nemmeno dalle altre). Lo storico primo numero si trova a questo link, https://www.linuxjournal.com/issue/1, per accedere agli altri basta cambiare opportunamente il numero alla fine dell’URL (l’ultimo numero disponibile è il 206 di giugno 2011). In questo caso l’amministratore del sito non ha colpe, era normale per Linux Journal rendere liberamente accessibili i numeri della rivista dopo alcuni mesi dalla pubblicazione. Probabilmente hanno smesso di farlo quando hanno lanciato l’edizione digitale migliorata della rivista. Provatela ed avrete una sorpresa.

R.I.P., Linux Journal, che gli elettroni ti siano lievi.


  1. A parte Linux Gazette, che però più che una rivista era una fanzine per il web pubblicata da volontari appassionati di Linux (l’archivio funzionante di tutti i numeri di LG si trova qui). 
Annunci
Tagged with: , , , , , ,
Pubblicato su software

La privacy al tempo dell’Internet of Things: secondo interludio

No, non me ne sono dimenticato, anzi l’ho messo apposta da parte per poterne parlare più diffusamente ora.

Perché la dimostrazione paradigmatica (erano anni che cercavo una scusa per usare questa parola!) dell’insicurezza intrinseca dei dispositivi IoT attuali è data da Amazon Key, il nuovo servizio di Amazon che permette ad un corriere di consegnare un pacco a casa nostra anche quando siamo assenti.1

Amazon infatti ha un problema: con il servizio Amazon Prime si è impegnata a consegnare un gran numero di prodotti entro due giorni. Me se il corriere arriva quando la casa è vuota, la consegna non avviene. Non è colpa di Amazon, è chiaro, ma nell’economia digitale questo dettagio è irrilevante, conta solo il fatto che se i tempi si allungano i clienti sono meno invogliati a comprare e di conseguenza i profitti soffrono.

Per questo Amazon ha sviluppato il kit Amazon Key In-Home, costituito da una videocamera proprietaria ad alta risoluzione basata sul cloud e da una di quelle serrature non tanto intelligenti di cui si parlava ieri.

Una volta installato il kit, quando il corriere arriva davanti alla porta di casa scansiona il codice a barre del pacco e lo trasmette al servizio di Amazon. Se è tutto a posto, la serratura si sblocca e la videocamera inizia a registrare. Il corriere entra in casa, lascia il pacco, richiude la porta e chiede ad Amazon di bloccare di nuovo la serratura, tutto sotto l’occhio vigile della videocamera di sicurezza. Il cliente intanto viene informato della consegna tramite lo smartphone e riceve anche un video tranquillizzante che mostra come si è svolta la procedura.

Semplice, veloce e funzionale, apparentemente a prova di bomba. Ma è bastata solo una settimana per craccare il servizio.

La debolezza sta nel modo in cui viene gestito il blocco della serratura dopo la consegna.

Un corriere disonesto infatti può limitarsi a chiudere la porta senza richiedere la chiusura la serratura, mentre lancia da un portatile (ma basta anche un microscopico RaspberryPi) un programmino che mette offline la videocamera senza che il cliente se ne accorga. Anzi, il cliente continua a vedere l’ultima immagine registrata prima del blocco, quella della porta chiusa, che è esattamente ciò che si aspetta.

Intanto il corriere si ficca in casa, chiude di nuovo la porta, si allontana dal raggio di azione della videocamera e rimette online la videocamera, inviando regolarmente ad Amazon la richiesta di blocco della porta. Tutto si svolge in pochi secondi e senza che nessuno, prima di tutto Amazon, possa sospettare nulla. Intanto il delinquente è libero di aggirarsi per la casa, per rubare o ficcare il naso fra le nostre cose.

Non ci vuole molto per correggere questa vulnerabilità, basta inviare un’allerta al servizio ogni volta che la videocamera va offline anche per pochissimi secondi (ad esempio per uno sbalzo di tensione o per un blocco del router Wi-Fi), in particolare durante la consegna. Ma è probabile che prima o poi vengano fuori altre vulnerabilità, e comunque da Amazon ci si poteva (e ci si doveva) aspettare fin dall’inizio un meccanismo di sicurezza più affidabile.

Per quanto mi riguarda, penso che sia preferibile aspettare un pacco un giorno in più piuttosto che farsi svaligiare la casa. Forse le vecchie Poste non avevano tutti i torti a prendersela comoda.


  1. E in futuro di ordinare altri servizi del tutto impensabili qui da noi, come far pulire la casa mentre siamo assenti o far fare la passeggiatina al cane. 
Tagged with: , , , , ,
Pubblicato su hardware

La privacy al tempo dell’Internet of Things: secondo tempo

Nelle puntate precedenti abbiamo visto come l’invasione nella vita privata operata dai dispositivi IoT sia tanto massiccia e intollerabile da rendere utile consultare una guida ai rischi per la privacy prima di acquistare un qualunque dispositivo IoT.

Purtroppo gli esempi presentati sono solo la punta dell’iceberg. Le modalità usate da questi dispositivi per spiarci sono praticamente infinite e superano di gran lunga le fantasia più audaci di una persona normale.

Perché anche le smart TV ci guardano e ci sentono — non è un caso che anche CIA e MI5 ci abbiano messo le mani dentro — e Samsung non si fa nessuno scrupolo di rivendere a terze parti le informazioni raccolte dalle sue TV.

Lo stesso vale per i termostati intelligenti, che in 15 secondi(15 secondi!) possono essere trasformati in spioni senza scrupoli. O per il frigorifero con una falla di sicurezza che espone al mondo i dati di login del nostro account Gmail, attraverso il quale si può raccogliere una grandissima quantità di informazioni sulla nostra vita e su quella dei nostri conoscenti.

Se inizialmente l’obiettivo di questa invasione nel privato — sapere quanto più possibile dei nostri gusti e delle nostre abitudini per poterci inviare suggerimenti di acquisto mirati — poteva essere considerato relativamente inoffensivo, la cosa si è trasformata rapidamente in una vera e propria minaccia per la nostra intimità e il nostro portafoglio, a volte per una strategia dolosa (vedi i casi Samsung e Sony riportati qui), in tanti altri casi per l’incapacità delle aziende produttrici di garantire un livello di sicurezza decente per i loro prodotti.

Una decina di anni fa lo scandalo del software malevolo installato di soppiatto da certi CD musicali della Sony per trasmettere a “casa” dati sulle abitudini musicali dell’acquirente scosse dalle fondamenta l’azienda giapponese e la costrinse ad una ritirata precipitosa.

Oggi succede molto di peggio ma, complici la smania di protagonismo e la frenesia di condividere qualunque emozione con i propri amici virtuali alimentata dai social network, nella percezione comune è diventato quasi naturale essere spiati 24 ore su 24, “tanto io non ho niente da nascondere”.

Sarà anche vero, ma non è così irrilevante.

Perchè ciò che dici in casa può essere usato dal datore di lavoro senza scrupoli per licenziarti. Quello che metti nel frigorifero può essere scrutato dalla tua assicurazione, che ti aumenta la polizza se decide che quello che mangi non è abbastanza sano e può farti venire l’infarto. Le foto scattate dalla videocamera di sicurezza quando giri per casa dopo la doccia possono finire su qualche sito equivoco prima ancora che ti asciughi i capelli. Parole e sospiri captati dall’Alexa di turno mentre fai sesso con l’amante possono essere usate contro di te dal partner tradito senza dover nemmeno scomodare il classico investigatore privato di serie D.

E se una azienda non è capace di garantire la riservatezza dei dati personali affidati ai propri dispositivi IoT, figuriamoci se sarà in grado di assicurare che questi non possano essere violati dai delinquenti che si aggirano per la rete.

Un ransomware può facilmente compromettere un termostato (poco) intelligente, minacciando di innalzare (o abbassare) la temperatura della casa ad un livello intollerabile, a meno di non pagare un riscatto salato. Ricatti analoghi possono essere portati tramite il frigorifero o il condizionatore. Una porta protetta (si fa per dire) da una serratura ancora meno intelligente può essere aperta senza troppi problemi (e quando non ci si riesce, basta un cacciavite ed un po’ di esperienza per superare le deboli difese meccaniche della serratura).

Persino i pacemaker sono a rischio. Pochi mesi fa la Food and Drug Administration (FDA) statunitense ha obbligato una azienda produttrice di pacemaker ad aggiornare il firmware di mezzo milione di suoi dispositivi, perché potevano essere penetrati così facilmente da remoto da mettere a rischio la vita dei pazienti cardiopatici che avevano la sfortuna di portarli.

Purtroppo non è l’unico caso, anzi è stato dimostrato che tutti i modelli di pacemaker “connessi” presentano così tante vulnerabilità da poter essere facilmente violati da chiunque possegga un minimo di conoscenze tecniche e attrezzature disponibili a pochi soldi perfino su eBay.

Una volta ottenuto il controllo del dispositivo, chi potrebbe impedire ad un terrorista di attentare alla vita di qualche alta personalità della politica o dell’industria con scompensi cardiaci? Oppure, più prosaicamente, di simulare un malfunzionamento che costringa la vittima a precipitarsi in ospedale, mentre l’abitazione lasciata senza sorveglianza viene svaligiata con tranquillità dai complici? Con conseguente infarto (questa volta vero) del malcapitato, al ritorno a casa.

Finora tutto ciò è rimasto solo a livello ipotetico, ma scommettiamo che prima o poi qualcosa di simile accadrà davvero?

Tagged with: , , , , , , ,
Pubblicato su hardware

La privacy al tempo dell’Internet of Things: interludio

Neanche a farlo apposta, subito dopo la pubblicazione dell’ultimo articolo sulla privacy al tempo dell’Internet of Things ho ricevuto dalla fondazione Mozilla (quella di Firefox e Pocket) questa interessantissima guida all’acquisto dei dispositivi tecnologici connessi alla rete, con un elenco dettagliato dei rischi che ciascun dispositivo comporta per la nostra privacy. Penso che sia difficile trovare in giro qualcosa di più utile per fare degli acquisti consapevoli.

Per quello che mi riguarda, io escluderei a priori tutto ciò che si arroga il diritto di condividere i miei dati con terze parti. Perché farsi tracciare perfino quando ci si lava i denti è veramente troppo!

Tagged with: , , ,
Pubblicato su hardware

La privacy al tempo dell’Internet of Things


Lars Schleicher, Flickr.

Come reagireste se qualcuno si intrufolasse in casa vostra per registrare tutto ciò che dite? O se nascondesse una videocamera e osservasse quello che fate fra le mura domestiche? Il minimo sarebbe cacciarlo via a calci, fino ad arrivare nei casi peggiori ad una denuncia all’autorità giudiziaria.

Il guaio è che, mentre prestiamo molta attenzione agli spioni reali, non ci rendiamo conto di avere in casa un gran numero di spioni virtuali, oggetti tecnologici collegati ad internet che sentono e vedono tutto quello che facciamo e lo comunicano a mezzo mondo.

L’Internet of Things (IoT, Internet delle Cose) è il mantra di questi anni. Tutto deve essere intelligente e sempre connesso, tutto deve essere controllabile e gestibile a distanza, a volte per liberarci da presunte “fatiche” di cui non ci siamo mai accorti (la mia preferita è ordinare automaticamente quello che manca nel frigorifero).

La maggior parte delle applicazioni dell’IoT sono comode, non c’è che dire: controllare da lontano se qualcuno è entrato in casa, accedere o spegnere a distanza le luci o il riscaldamento, verificare che non ci siano perdite d’acqua (o di gas) e nel caso poter chiudere la valvola, sono funzioni utilissime, che si ripagano praticamente da sole.

Per poter fare tutto ciò, però, dobbiamo condividere con le aziende produttrici, tante (troppe?) informazioni sul nostro stile di vita, sulle nostre abitudini, su quando ci svegliamo, cosa mangiamo, quanto a lungo siamo fuori casa, cosa guardiamo in TV, quando andiamo a letto, persino cosa facciamo quando siamo sotto le lenzuola.

Purtroppo le aziende sono attentissime a raccogliere informazioni su tutto ciò che ci riguarda, ma sono molto meno attente quando si tratta di garantire la sicurezza delle informazioni che gli forniamo e ad evitare che vengano usate per scopi più o meno illeciti. Sembra una specie di “Corrida“, dilettanti allo sbaraglio in gara a chi fa di peggio. Qualche esempio venuto alla luce negli ultimi mesi.

C’è il robot aspirapolvere con videocamera incorporata di LG, utile per controllare la casa a distanza collegandosi tramite una app al proprio account personale. Ma anche un ladro può entrare (troppo) facilmente nell’account del malcapitato acquirente e controllare che non ci sia nessuno in casa. L’azienda ha corretto subito la vulnerabilità, è vero, ma quanti utenti di questi apparecchi si rendono conto dell’importanza di aggiornare al più presto il firmware dell’apparecchio per renderlo più sicuro (e sono in grado di farlo)?

C’è Echo, l’assistente digitale di Amazon, un maggiordomo virtuale sempre in ascolto, pronto a soddisfare tutti i nostri desideri. Ma basta avere l’occasione di rimanere pochi minuti da soli con Echo per tramutare l’assistente digitale in uno spione in grado di trasmettere a un dispositivo remoto tutto ciò che viene detto intorno al lui. Nel modello più recente questo errore di progettazione è stato corretto, ma ci sono in giro per il mondo circa sette milioni di dispositivi Echo vulnerabili, sette milioni di potenziali spioni. È non è solo un aquestione di corna. L’Echo spione non serve solo a dimostrare l’infedeltà di qualche marito (o moglie). Pensate ai segreti che può carpire qualche Echo trasformato installato strategicamente in alberghi o uffici.

C’è l’orsacchiotto intelligente che consente a genitori lontani di inviare messaggi vocali al loro bambino. Purtroppo il database contenente i dati di accesso degli utenti era liberamente accessibile a chiunque dal web, mettendo a disposizione dei malintenzionati 800.000 indirizzi email e password, crittografate in modo sicuro ma nella maggior parte dei casi così semplici da poter essere lo stesso facilmente craccabili (in fondo stiamo parlando di un giocattolo!). Con queste informazioni qualunque delinquente poteva accedere ai messaggi vocali associati, veri e propri tesori per pedofili, stalker e immonda compagnia cantante. L’azienda non si è nemmeno degnata di allertare i genitori inconsapevoli.

E poi c’è il We-Vibe Sync, un giocattolo per coppie controllabile a distanza, che trasmette all’azienda produttrice, senza il consenso degli interessati, dettagli personalissimi sull’uso dell’apparecchio, per di più associati all’indirizzo email dei clienti. Che se ne fa l’azienda di questi dati? Chi può impedire a qualche impiegato senza scrupoli di usarli a scopo di ricatto? Ma questo è ancora niente rispetto al modello concorrente con videocamera incorporata che crea un punto di accesso Wi-Fi — nemmeno fosse il router di casa — con SSID (il nome assegnato al punto di accesso) predefinito e password di default costituita da una semplice sequenza di otto “8”. Chi si trova nelle vicinanze può quindi accedere facilmente al giocattolo e guardare tutto quello che vede l’apparecchietto. Roba più da ginecologi che da amanti, ma i gusti sono gusti… Chi ha scoperto la vulnerabilità non ha potuto trattenersi dal notare che:

“A volte cadono decisamente le braccia. [Nel campo] della sicurezza [dell’Internet of Things] vediamo roba fatta veramente male, ma questa sembra assolutamente incredibile.”

Ma naturalmente non finisce qui

Tagged with: , , , , , , , , ,
Pubblicato su hardware
Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow MelaBit on WordPress.com
Categorie
Archivi
%d blogger hanno fatto clic su Mi Piace per questo: