giovedì 30 agosto 2018

Clamoroso cedimento strutturale

L'eroica tanica di Lamap SRL Lecce da venti litri, persino marchiata per alimenti e utilizzata per decenni come trasporto acque per irrigazione limoni, ha dato forfait oggi a mezzogiorno. R.I.P.


Nell'incidente si sono sversati solo un paio di litri d'acqua, e pertanto i rimanenti sono andati ugualmente a irrigare i limoni, grazie ad argute acrobazie del sottoscritto nel trasportarla.

sabato 25 agosto 2018

Tesla technical debt: ecosistema informatico troppo frammentato

Stando ad un lungo elenco di tweet con degli screenshot di un subforum di qualche subforum, un anonimo tizio che lavorava in Tesla Inc., scaduto il suo NDA (non-disclosure agreement: non parlare di ciò che sa per tot anni dopo la cessazione del rapporto di lavoro), ha rivelato il grande porcaio informatico delle vetture Tesla.

Dopo gli inizi promettenti e ben ordinati, si è infatti scatenata la sindrome del Presto, Presto! Bisogna Deliverare! tipica degli ambienti informatici, dovuta al fatto che X ha promesso a Y di accorciare le date di consegna perché altrimenti Z si offende e in cascata W la prende a male, perciò J si infuria, eccetera. La crisi di Tesla è cominciata lì, molto prima degli scandali dei tweet del famoso Musk.

Alcuni degli scenari informatici (che fanno sembrare anche il più dilettante degli informatici italiani un insuperabile professionista della sicurezza):
  • sistemi protettissimi nell'autovettura ma connessioni informatiche protette malissimo (diversi hacking, tra cui il ragazzino canadese che si appropria del dominio web di aggiornamento) e i cinesi che sniffano il traffico di rete per catturare i file di aggiornamento (non crittografati) e creare rapidamente cloni economici delle Tesla...
  • impianto informatico in macchina costruito accatastando SOM (system-on-module) di varia provenienza in fretta e furia (consegnare! consegnare! presto! bisogna deliverare!), col risultato di avere board vecchissime e insostituibili dotate di un vecchissimo Linux Yocto e funzionanti solo con incomprensibili script Perl, distribuzioni CentOS vecchie e senza hardening (cioè senza disattivare servizi informatici non utilizzati, ecc.)...
  • meccanismi di aggiornamento incollati con lo sputo (un update firmware durava tre giorni), OpenVPN senza password, un singolo datacenter senza ridondanza (per loro fortuna nessun terremoto o acquazzone), ecc. - si capisce come mai erano così ossessionati dal mantenere il segreto sulle loro infrastrutture - e una volta hanno dovuto fare un downgrade di emergenza del firmware a tutte le auto in circolazione perché quello recente conteneva riferimenti al nuovo modello P100 che non era stato ancora ufficialmente presentato alla stampa e agli investitori...
  • la parte più divertente è quando un ingegnere di SpaceX viene assunto lì e il primo giorno dice alla squadra di programmatori: oggi vi faccio un esame, chi non sa usare i puntatori del linguaggio C è licenziato... ci fu una mega-rivolta e una colossale falciata di teste: quasi nessuno sapeva maneggiare i puntatori...
La parte "legale" più allarmante è il fatto che ogni vettura informatizzata (dunque non solo Tesla) può spedire la propria telemetria al costruttore.

Questo "può" ovviamente diventa subito "deve", sapete, "per ragioni di sicurezza", "per migliorare il prodotto", bla, bla, bla... in pratica, per disabilitarti funzioni e servizi a discrezione del costruttore. Per esempio Tesla disabilitava il SuperCharger in base al modo in cui viene utilizzata la macchina perché a ricaricare spesso col SuperCharger si rovinano le batterie (trecento ampere di corrente di carica non sono esattamente una carezza).

Risultato: dato che la Tesla incamera continuamente la telemetria di tutti i clienti, allora la Cina ha stabilito per legge che tutte le vetture elettriche devono farlo e mandare la propria telemetria in tempo reale anche allo Stato. Dunque, se in Cina (e presto in altri paesi) compri una vettura elettrica vieni spiato, controllato e monitorato sia dal produttore che dallo Stato (sanno dove sei, sanno se stai parcheggiato fuori posto o se hai superato il limite di velocità, sanno quante persone sono con te, sanno quanta autonomia ti rimane, sanno tutto!). Miracoli dell'informatica!


Consiglio agli appassionati di informatica di leggere tutti gli screenshot dei tweet prima che qualche avvocato di Tesla li faccia cancellare...
"La prima volta che attivammo la telemetria in tempo reale notammo uno che stava correndo a 210 km orari sul ponte di San Mateo..."
Ovviamente in SpaceX le cose non vanno affatto meglio... Spettacolare il commento a proposito dei razzi SpaceX che hanno un kernel linux modificato anziché un qualsiasi RTOS (real-time operating system). Linux vince sempre!

Morale della favola: se devi accontentare gli azionisti sei fritto.

giovedì 16 agosto 2018

Somiglianze


martedì 14 agosto 2018

Gatta depressa, urge pasto ristorantesco

Se la iattella è depressa...


...urge trattamento di lusso (filettini in salsa con salmone... roba da ristorante!)...


...cosa, cosa, COSA?! Il pasto giornaliero deve consistere di tre o quattro confezioni?


domenica 12 agosto 2018

Riparoooomni!

Ovviamente quand'è che si va a rompere il supporto tirante della marmitta? Di sabato sera a metà agosto.

Ed ovviamente chi è l'unico meccanico riparatore gratuito aperto di domenica pomeriggio di metà agosto? Il sottoscritto.

Il quale ha fatto un lavoretto da vero professionista: due fili di ferro et voilà, come nuovo!... in attesa che qualche vero meccanico (a pagamento) rientri dalle ferie.

Il vero miracolo sono i chilometri fatti con l'intero gruppo marmitta attaccato in un solo punto (lato motore) tra sterrato e sampietrini, a venti chilometri orari...

Per i curiosi: sì, è una Seicento 900cc del 2000

domenica 5 agosto 2018

Come godo!! Roomba 770 in my hands!!

Comprato nella primavera 2012 in negozio a 430 euro - e pochi mesi dopo comprato un altro per i miei. Dopo oltre sei anni stanno ancora facendo il loro sporco dovere.


sabato 4 agosto 2018

Ma porca Fiat...

È vero che fa tanto caldo, ma che si scolli il pomello del cambio a soli ventiseimila chilometri, è veramente un'indecenza!


mercoledì 1 agosto 2018

Bitfi, cioè il solito "checcevò? checcevò?"

Il problema centrale della sicurezza informatica è il manager che si fa venire un'improvvisa ideona super galattica e la descrive così ai suoi sottoposti: «fàmo, vedémo, mettémo, levàmo... checcevò?» (tradotto in italiano: "mentre ero alla toilette ho pensato ad una grande genialata, mettiamo insieme questo e quello, che ci vuole?, sarà un successone mondiale").

Esempio recente: il Bitfi, portafoglio elettronico per criptomonete, la cui pubblicità vantava come "impossibile da hackerare" perché non conserva la password al suo interno, ma si limita a verificarla in pochi millisecondi solo nel momento in cui viene scritta. Addirittura promettevano 250.000 dollari di premio a chiunque fosse riuscito a recuperare la password che l'aggeggio non contiene...
  "Impossibile da hackerare! Checcevò? Mettémo, levàmo, eccheccevò?"

È stato infatti hackerato poche ore dopo il lancio sul mercato:


Per la cronaca, l'aggeggio consisteva di una piccola motherboard con sistema operativo Android, di quelle usate normalmente nei telefonini da trentacinque dollari l'uno. Non aveva nessuna precauzione anti-tampering, e si può entrare nel sistema operativo da root, alterare il firmware in modo che mandi la password su internet appena viene digitata sul touchscreen, e consegnare l'apparato taroccato all'ignaro destinatario.
Figuraccia epica di McAfee che aveva vantato l'aggeggio come "unhackable"!

Ok, allora, cari manager, avete imparato la lezione? Sicuramente no. Perciò ve la ripeto:
  • la sicurezza di un prodotto/servizio equivale all'anello più debole della catena
  • il modo migliore per azzeccare figuracce è vantare caratteristiche tecniche strepitose senza averle prima verificate con pignoleria una per una
  • schiaffare un Android su una motherboard da 35 dollari non è "crittografia", ma è stupidità da dilettante cretino
  • per azzeccare figuracce mondiali bisogna inseguire maniacalmente le buzzword del momento (blocche-ciàine! stampanza treddì! lòpen zòrze! inaccheràbbbile! bìtte còine! antelliggenzartificiale! fàmo un feisbuch di blocche-ciàine che s'enterfaccia cor la stampànza treddì crìppetata! checcevò? eccheccevò?)
Insisto nel ripetere la lezione di ingegneria:
  • se l'idea l'ha avuta un manager o un commerciale, abbandonare immediatamente il progetto - non puoi far progettare una barca a chi non ne ha mai costruita una, e soprattutto non puoi farla progettare a chi non ci è mai salito su
  • prima occorre avere tutte le idee chiare su cosa si vuole ottenere, e poi si comincia a studiare se il gioco vale la candela (e se il progetto era di una bici, non puoi aspettarti di aggiungere a lavori già iniziati un volante, un motore e altre due ruote per farlo diventare un furgone)
  • prima si studiano tutti gli aspetti del progetto (anche quelli secondari), e poi - solo quando tutte le idee sono chiare - si procede a una stima di tempi e costi e fattibilità (e verifica che l'idea non sia nel frattempo divenuta obsoleta o inutile)
  • fatta la stima, si investe rigorosamente più del doppio di quello che si era preventivato come tempi e costi, perché l'ottimismo è nemico della realtà
  • prima di iniziare i lavori, assicurarsi di avere un piano B e un piano C (D, E, F...) qualora qualcuna delle componenti principali del progetto vadano a farsi friggere
  • occorre anche un piano B e un piano C (D, E, F...) per la "imprevedibile" circostanza che sicuramente si presenterà: aggiunte (da parte dei soliti boss, manager, capi e capetti) di nuovi obiettivi in corso d'opera
Considerazioni aggiuntive:
  • se tiri in ballo un'apps per il telefonino ti sei già infognato con le norme di Google e quelle di Apple, più i pastrocchi dei sistemi operativi iOS e Android
  • se tiri in ballo la blòcche-ciàine stai già presumendo che decine di migliaia di persone terranno il computer acceso per te 24/365 per garantirti il tuo ecosistema
  • se tiri in ballo un servizio su internet stai già ipotecando dei server ad alta affidabilità, in ridondanza, assistiti 24/365 in caso di impallamenti o di "hackerzzz"
  • se tiri in ballo la sicurezzzzzzza stai già ipotecando tutto un enorme, fastidioso, pedante, precisissimo e costosissimo protocollo riguardante accessi, password, garanzie, aggiornamenti, eccetera (e alla fine della fiera anche la crittografia ma non quella "fatta in casa")
Considerazioni finali:
  • la tua "grande ideona"? qualsiasi sia, l'hanno già brevettata diversi anni fa, solo che ha un nome più tecnico.