giovedì 16 agosto 2018

Somiglianze


martedì 14 agosto 2018

Gatta depressa, urge pasto ristorantesco

Se la iattella è depressa...


...urge trattamento di lusso (filettini in salsa con salmone... roba da ristorante!)...


...cosa, cosa, COSA?! Il pasto giornaliero deve consistere di tre o quattro confezioni?


lunedì 13 agosto 2018

Come godo!! Kirin Ichiban in my hands!!


domenica 12 agosto 2018

Riparoooomni!

Ovviamente quand'è che si va a rompere il supporto tirante della marmitta? Di sabato sera a metà agosto.

Ed ovviamente chi è l'unico meccanico riparatore gratuito aperto di domenica pomeriggio di metà agosto? Il sottoscritto.

Il quale ha fatto un lavoretto da vero professionista: due fili di ferro et voilà, come nuovo!... in attesa che qualche vero meccanico (a pagamento) rientri dalle ferie.

Il vero miracolo sono i chilometri fatti con l'intero gruppo marmitta attaccato in un solo punto (lato motore) tra sterrato e sampietrini, a venti chilometri orari...

Per i curiosi: sì, è una Seicento 900cc del 2000

domenica 5 agosto 2018

Come godo!! Roomba 770 in my hands!!

Comprato nella primavera 2012 in negozio a 430 euro - e pochi mesi dopo comprato un altro per i miei. Dopo oltre sei anni stanno ancora facendo il loro sporco dovere.


sabato 4 agosto 2018

Ma porca Fiat...

È vero che fa tanto caldo, ma che si scolli il pomello del cambio a soli ventiseimila chilometri, è veramente un'indecenza!


mercoledì 1 agosto 2018

Bitfi, cioè il solito "checcevò? checcevò?"

Il problema centrale della sicurezza informatica è il manager che si fa venire un'improvvisa ideona super galattica e la descrive così ai suoi sottoposti: «fàmo, vedémo, mettémo, levàmo... checcevò?» (tradotto in italiano: "mentre ero alla toilette ho pensato ad una grande genialata, mettiamo insieme questo e quello, che ci vuole?, sarà un successone mondiale").

Esempio recente: il Bitfi, portafoglio elettronico per criptomonete, la cui pubblicità vantava come "impossibile da hackerare" perché non conserva la password al suo interno, ma si limita a verificarla in pochi millisecondi solo nel momento in cui viene scritta. Addirittura promettevano 250.000 dollari di premio a chiunque fosse riuscito a recuperare la password che l'aggeggio non contiene...
  "Impossibile da hackerare! Checcevò? Mettémo, levàmo, eccheccevò?"

È stato infatti hackerato poche ore dopo il lancio sul mercato:


Per la cronaca, l'aggeggio consisteva di una piccola motherboard con sistema operativo Android, di quelle usate normalmente nei telefonini da trentacinque dollari l'uno. Non aveva nessuna precauzione anti-tampering, e si può entrare nel sistema operativo da root, alterare il firmware in modo che mandi la password su internet appena viene digitata sul touchscreen, e consegnare l'apparato taroccato all'ignaro destinatario.
Figuraccia epica di McAfee che aveva vantato l'aggeggio come "unhackable"!

Ok, allora, cari manager, avete imparato la lezione? Sicuramente no. Perciò ve la ripeto:
  • la sicurezza di un prodotto/servizio equivale all'anello più debole della catena
  • il modo migliore per azzeccare figuracce è vantare caratteristiche tecniche strepitose senza averle prima verificate con pignoleria una per una
  • schiaffare un Android su una motherboard da 35 dollari non è "crittografia", ma è stupidità da dilettante cretino
  • per azzeccare figuracce mondiali bisogna inseguire maniacalmente le buzzword del momento (blocche-ciàine! stampanza treddì! lòpen zòrze! inaccheràbbbile! bìtte còine! antelliggenzartificiale! fàmo un feisbuch di blocche-ciàine che s'enterfaccia cor la stampànza treddì crìppetata! checcevò? eccheccevò?)
Insisto nel ripetere la lezione di ingegneria:
  • se l'idea l'ha avuta un manager o un commerciale, abbandonare immediatamente il progetto - non puoi far progettare una barca a chi non ne ha mai costruita una, e soprattutto non puoi farla progettare a chi non ci è mai salito su
  • prima occorre avere tutte le idee chiare su cosa si vuole ottenere, e poi si comincia a studiare se il gioco vale la candela (e se il progetto era di una bici, non puoi aspettarti di aggiungere a lavori già iniziati un volante, un motore e altre due ruote per farlo diventare un furgone)
  • prima si studiano tutti gli aspetti del progetto (anche quelli secondari), e poi - solo quando tutte le idee sono chiare - si procede a una stima di tempi e costi e fattibilità (e verifica che l'idea non sia nel frattempo divenuta obsoleta o inutile)
  • fatta la stima, si investe rigorosamente più del doppio di quello che si era preventivato come tempi e costi, perché l'ottimismo è nemico della realtà
  • prima di iniziare i lavori, assicurarsi di avere un piano B e un piano C (D, E, F...) qualora qualcuna delle componenti principali del progetto vadano a farsi friggere
  • occorre anche un piano B e un piano C (D, E, F...) per la "imprevedibile" circostanza che sicuramente si presenterà: aggiunte (da parte dei soliti boss, manager, capi e capetti) di nuovi obiettivi in corso d'opera
Considerazioni aggiuntive:
  • se tiri in ballo un'apps per il telefonino ti sei già infognato con le norme di Google e quelle di Apple, più i pastrocchi dei sistemi operativi iOS e Android
  • se tiri in ballo la blòcche-ciàine stai già presumendo che decine di migliaia di persone terranno il computer acceso per te 24/365 per garantirti il tuo ecosistema
  • se tiri in ballo un servizio su internet stai già ipotecando dei server ad alta affidabilità, in ridondanza, assistiti 24/365 in caso di impallamenti o di "hackerzzz"
  • se tiri in ballo la sicurezzzzzzza stai già ipotecando tutto un enorme, fastidioso, pedante, precisissimo e costosissimo protocollo riguardante accessi, password, garanzie, aggiornamenti, eccetera (e alla fine della fiera anche la crittografia ma non quella "fatta in casa")
Considerazioni finali:
  • la tua "grande ideona"? qualsiasi sia, l'hanno già brevettata diversi anni fa, solo che ha un nome più tecnico.

sabato 28 luglio 2018

venerdì 27 luglio 2018

Crescono i pompelmi...

Sono ancora verdi (ed era quasi buio):



giovedì 26 luglio 2018

Rust & WireGuard in production!

È l'ora di cominciare a vantarsi (a puro scopo di curriculum) di alcune tecnologie usate "in produzione" sui miei server (un paio per far capire con chi hanno a che fare, e un altro paio per far capire con cosa vado a integrare). Più un'immagine-esca per gli squali di LinkedIn.






mercoledì 25 luglio 2018

Errori da principiante

Non è un fiore: è erbaccia, e di quella più rognosa... e io stasera l'avevo pure arracquata!


martedì 24 luglio 2018

Le 3L33T HaXx0rZZZZ

Dunque, stamattina nel log delle chiamate sospette abbiamo...


Cominciamo con quello delle 8:07, che è un Hacker Super Elite che da un indirizzo IP giapponese (nodo di uscita di chissà dove) tenta di iniettare una shell proveniente da un IP greco (178.128.ecc.ecc) per un presunto aggeggio su processore MIPS, che evidentemente accetterebbe quella patacca senza dare un errore 400 Bad Request Error.

Nella sua cartella degli exploit sull'IP greco (allestita appena un'ora e mezza prima: dunque o è un giovincello scatenato o è semplicemente un malware) ne ha per tutti i gusti, e infatti mi sono divertito a salvarli uno per uno (con curl perché il Firefox si lamenta che quei file sono sospetti), regalandogli così il mio IP temporaneo (e nattato) che gli farà perdere altro tempo:


I vari qtx.* sono eseguibili linkati staticamente per diverse architetture. Dunque l'injector sta presumendo di parlare con un router basato su architettura MIPS e sta tentando di sfruttarne una vulnerabilità iniettando nella pagina di login.php un eseguibile qtx.mips da rinominare /tmp/rz e da lanciare dopo averlo chmoddato a 777.

Le shell-script rva, rvl, rvs, rvz tentano di scaricare uno a uno quegli stessi qtx.* e ad eseguirli dopo averli rinominati A B C D..., a seconda di /cgi-bin /tmp /maker o directory principale. Pare proprio che si siano fatti la "mappa" delle vulnerabilità dei vari aggeggi dell'Internet of Things:

Notate anche voi troppi punti e virgola?
Dunque l'autore è un giuovine nato col Java...
Infine cancellano le proprie tracce con un rm -rf /tmp/* che suona un po' pericoloso.
Notare più sotto un altro che tenta la stessa vulnerabilità ma da un IP egiziano che tenta lo stesso con gli script conservati su un IP nordamericano: in tal caso l'arnese si chiama gemini e ha come vittime dispositivi Huawei e D-Link:


È comica la shell-script dlink che in pompa magna esegue il codice malware con l'argomento selfrep.dlink ("woooh!! self-replicate!! sono gruosso!!"):


Quello dall'indirizzo di Pechino delle 7:45 gioca invece sulla debolezza di avere un interprete PHP nella cartella cgi-bin del webserver, e manda il bombardone di codici esadecimali illudendosi che nessuno si accorga del trucchetto:

A me invece bastava Ruby per scovare il trucchetto!

Eh, sì: è inutile creare un Linux invulnerabile se un programmatore deficiente e sottopagato infila nella cgi-bin l'eseguibile php.

lunedì 23 luglio 2018

domenica 22 luglio 2018

Croccantini con faccia schifata

Fase 1: curiosità

Fase 2: assaggio

Fase 3: eww, che schifo!

sabato 21 luglio 2018

mercoledì 18 luglio 2018

Sostituzione batteria

Batteria precedente: Magneti Marelli. Ultima misurazione senza carico: 9,6 volt (augggh!).


Batteria nuova: Varta (su consiglio disinteressato del batterista di fiducia), misurazione senza carico: 12,46 volts. Lulù giustamente not impressed:


Ultima foto ricordo prima dell'avvicendamento:


Batteria sostituita!


martedì 17 luglio 2018

Giuovine hacker cinese tenta di bucarmi il sito ma fa solo un buco nell'acqua

Dev'essere il solito script kiddie che lancia il solito script che tenta tutti i "PHP" notoriamente bacati nella speranza di trovarne uno che si faccia "iniettare" codice senza controllarlo.
Cin Ciao Lin - o chi per lui da Hangzhou (杭州) - non sa che quando il mio server principescamente proclama che una pagina è in PHP, sta prendendo per il naso lui e tutti quelli come lui...