Il taccuino di Armando Leotta Rotating Header Image

video

Perchè, sotto sotto, dobbiamo tutti ringraziare gli ortotteri invasati #m5s #5stellology

Ho avuto modo di esprimere le mie opinioni sulle ultime elezioni più volte in più occasioni e mezzi.

Chi mi conosce, anche solo “digitalmente”, sa che avvertivo lo stesso pericolo e la stessa tensione sociale mesi e mesi prima del risultato elettorale.

Il potenziale risultato, a ben vedere (o a volerlo vedere), era già sotto gli occhi di tutti.

La gente è stanca e la pancia è vuota.

Fonte: Spectator.co.uk

Quando la pancia è vuota è più facile cadere nell’estremismo convinti dal non avere nulla da perdere.

La storia, ancora una volta, non ha insegnato nulla.

Questo contesto è stato ampiamente sfruttato da professionisti della comunicazione che sono riusciti, onore al merito, ad allocare spazi sociali che la vecchia politica faceva finta di ignorare.

Renzi, ad esempio, aveva centrato le esigenze e le contromisure ma il suo avanzare non è stato agevolato dal PD probabilmente perché timoroso di un eccessivo svecchiamento, per comodità, spocchia, opportunismo e miope autoreferenzialità.

Peccato, si è persa una chance.

Il movimento 5 stelle rappresenta, a mio avviso, una #5stellology, una #scientology politica, una sorta di fede indotta dal bombardamento mediatico urlato negli ultimi anni.

Non mi piace la presunta natura acefala, amorfa e nata dal basso.

I motivi

Tanto per cominciare perché NON è acefala (vedo almeno due teste più un aiutante di campo spuntato dal nulla e vestito a festa che pretendono di dover conferire con questa o con quella carica istituzionale) pertanto non è nemmeno informe.

Il fatto della democrazia diretta nata dal basso, nel modello #5stellology, significa sottoporre a “mi piaceet similia migliaia di video postati su un blog dagli aspiranti politici, anzi “cittadini”: non riesco a vedere come questo metodo possa essere utile a selezionare persone competenti, serie e capaci di governare un Paese specialmente in un contesto economico e sociale, nazionale e transfrontaliero di questi ultimi anni. Viceversa, a mio avviso, è un metodo efficace per meglio manovrare le persone che aderiscono all’esasperazione ostentata dal guru comico in tutte le occasioni.

Da notare come questa tipologia di recruitment consenta anche di non essere mai chiamato direttamente in causa per eventuali scelte sbagliate o future emorragie: “non li conosco e non si conoscono nemmeno tra loro: sono votati online“, come avrebbe già manifestato in più occasioni, come se fosse di per sè sinonimo di trasparenza (quando fa comodo) e  oggettivo e inconfutabile valore aggiunto.

Risultato

Dilettanti allo sbaraglio che si sono ritrovati loro malgrado in un modo dorato (sui tagli scriverò appositi approfondimenti che sto acquisendo nel frattempo anche da fonti interne), complesso per sua natura e delicatissimo per il contesto socio-economico nel quale sono chiamati ad operare.

Almeno sono puliti, sono facce nuove e sono sicuro che non sono i soliti che hanno ridotto l’Italia così“, rispondono prontamente all’unisono i nuovi fedeli invasati.

A mio avviso non basta essere un volto nuovo per essere quello giusto, non basta essere incensurato per fare di un cittadino qualunque un buon politico. Aggiungo che ci serve uno statista, nemmeno un politico: figurarsi se è il momento giusto di affidare un Paese ad incompetenti e apprendisti stregoni (sì, nel frattempo devono studiare anche se la Luiss chiama in causa smentisce, ndr).

E’ un po’ come conferire la cattedra di primario di cardiochirurgia con la riffa del paese: se avanza tempo si impegna a seguire tutte le puntate di Dr. House, in lingua originale, sin dalla prima serie. Almeno sono facce nuove.

Non basta, vi assicuro che non è sufficiente essere dotati di buona volontà (ammesso che sia questo lo spirito guida) ed essere onesti: conditio sine qua non, d’accordo, ma come punto di partenza, non certo d’arrivo.

Detto questo, perché dobbiamo ringraziare i nuovi fedeli?

Ripartiamo da qui.

Dati oggettivi, numerici e inconfutabili (analizzati con malizia, evidenzierebbero anche il motivo per cui i guru non hanno interesse a consentire nell’immediato la governabilità necessaria al Paese, ndr).

Se da una parte si conferma che agli italiani piace chi fa ridere, chi strilla e chi racconta loro balle, dall’altra non si può e non si deve ignorare la forte richiesta espressa: gli italiani sono stanchi. Purtroppo per diverse motivazioni più o meno strumentalizzate ma qualsiasi forza politica non può far finta di ignorare questo dato di fatto e di non governare tenendolo bene a mente.

Grazie ai “fedeli“, e non è ironia, nessuno può più ignorare che si è stanchi della vecchia politica inconcludente e spendacciona.

Diverse sono le idee strillate dai guru che sono assolutamente condivise e condivisibili. Il 25% degli italiani le ritengono talmente fondamentali da saltare nel vuoto sostenendo in coro l’assenza di alternative.

Cari politici, fornite CHIARAMENTE queste alternative. Renzi, sì ma è acqua passata ormai. Andiamo avanti.

 E’ l’unico modo per venirne fuori costruttivamente.

Pochi punti tra cui la pulizia della nuova politica, l’abbattimento dei suoi costi, la trasparenza dell’operato ed il limite di permanenza.

Abolizione di finanziamenti pubblici ai partiti e, chiaramente, riformare la legge elettorale.

Cari politici, dovete fornire risposte concrete a queste tematiche.

E’ l’ultima possibilità per dimostrare che non basta essere “puliti” per fare di un cittadino un buon politico. Chiaramente se non lo farete sarete complici di questo gioco al massacro.

Se non volete essere corresponsabili di trovarvi di fronte ad una nuova tornata elettorale dove potreste consegnare per un nuovo devastante ventennio il Paese a dei folli invasati e incompetenti, evitate governissimi in quanto mediaticamente saranno boomerang devastanti: sfidate il comico sul suo stesso campo con lo spessore e la trasparenza che queste argomentazioni meritano e date prova di essere Politici con la P maiuscola. Se poi uscisse anche un programma a medio-lungo termine da vero Statista sarebbe il massimo: sì perché di quello avremmo bisogno, non di pappagalli.

Dimenticavo: sfidarlo sui contenuti è l’unico modo per vedere se dietro il condivisibile “tutti a casa” c’era una vera richiesta di sensibilizzazione costruttiva di massa o, peggio, semplicemente l'”ARRENDETEVI”, un golpe travestito da democrazia.

Android 4 miniPC

Sono diverse settimane che mi riprometto di finalizzare questo articolo: finalmente eccolo qui.

Avete presente il cosiddetto gadget digitale?

Ecco, quello.

Ho voluto provare un miniPC Android 4.0.

Che cos’è?

Lascio parlare le foto.

Android 4 Mini PC

Android 4 Mini PC

 

Cosa c’è dentro la confezione?

Android 4 Mini PC

Android 4 Mini PC – contenuto –

Che cos’è e quali sono le caratteristiche.

E’ un mini pc dalle dimensioni ridottissime. Monta Android 4.0.

Si collega via HDMI alla TV che si trasforma in un bel PC Android.

Ha una CPU Cortex A8 da 1.5GHz e supporta la connettività wifi 802.11 b/g/n.

Ecco la scheda tecnica:

Caratteristiche tecniche miniPC Android 4.0

Caratteristiche tecniche miniPC Android 4.0

 

Utilizzo semplice e immediato: un mouse – non in dotazione – nella porta usb, alimentatore e  cavo HDMI – entrambi in dotazione -.

Si parte 🙂

TV con miniPC Android 4.0

TV con miniPC Android 4.0

Ed eccolo…

TV con miniPC Android 4.0

TV con miniPC Android 4.0

TV con miniPC Android 4.0

TV con miniPC Android 4.0

Il sistema parte con diverse interessanti applicazioni a bordo: alcune utili, alcune semplicemente dimostrative…

TV con miniPC Android 4.0

TV con miniPC Android 4.0

Vi consiglio di creare un profilo Google dedicato al nuovo giocattolino di casa e di usarlo di conseguenza nel market di riferimento.

 

 Altro video…

Aldilà del gadget geek/nerd, rappresenta un’ottima soluzione per trasformare una (buona) TV HD a Led in una stazione multimediale (renderer DLNA).

In altre parole, su questa televisione riesco a mandare in streaming HD svariate fonti domestiche e non (media server DLNA compliant).

Unici nei, al momento della scrittura del post: troppa sensibilità nella copertura wifi e assenza di funzionalità nativa di spegnimento (shutdown).

Buon divertimento.

Campagna elettorale senza mea culpa

Da settimane si è insediato il governo Monti, un governo tecnico di responsabilità nazionale voluto da (quasi) tutte le forze politiche europee.

Non sono un esperto d’economia né di politica, mi limito ad osservare quanto mi succede attorno e mi condizionerà sempre di più nel quotidiano, immediato e futuro.

Prendetelo come uno sfogo, un foglio di un vero taccuino personale.

Da una parte l’ex governo Berlusconi.

La crisi è come il Presidente della Repubblica: va tirata per la giacchetta solo quando serve. Non vorrei sommergervi di collegamenti ad interviste e dichiarazioni dell’ex Premier in cui si nega la crisi: non c’era e non avrebbe comunque riguardato la nostra nazione per la propensione proverbiale degli italiani al risparmio. Vi ricordate tutti i siparietti nelle varie trasmissioni in cui la crisi serviva solo a sviare la discussione da un’escort ad un’altra, da una legge ad personam a paradisi fiscali, etc etc. Certo, non mancano le chicche da wannabe-premio-nobel o l’invito a scaricare cassette di frutta al mercato da parte di un gigante dell’economia (in calce due video a mero titolo evocativo).

Anni decisivi sprecati, buttati.

Dall’altra parte la cosiddetta opposizione.

Cos’ha fatto questa opposizione non si è capito. Quello che non sono riusciti a fare è stato creare un’alternativa credibile e duratura a quello stato di regime mediatico e non solo che sembrava essere l’unica scelta possibile, stabile e duratura.

Incapaci, ottusi.

Poi ci si lamenta del commissariamento europeo. Per fortuna, altrimenti stavamo ancora dibattendo sul bungabunga, su minorenni avvenenti e soubrette ministro.

Cosa accomuna oggi la politica italiana a mio avviso?

La sconfitta, l’incapacità di reagire figuriamo di pianificare! E pensare che il concetto stesso di politica include implicitamente il concetto di strategia, di pianificazione.

Berlusconi si fa da parte per il senso del dovere? La crisi economica danneggia anche le sue aziende: paradossalmente non è riuscito nemmeno a salvare i propri interessi economici distratto com’era da quelli personali.

Politicamente?

Si prospetta un periodo di sacrifici, di scelte impopolari, oramai, inderogabili e improcrastinabili.

E quale forza politica italiana si accollerebbe queste scelte? La Politica al servizio del cittadino dovrebbe farlo, quella al servizio della poltrona si fa da parte lasciando la scottante ed imbarazzante questione ad un governo tecnico.

Dovremmo dire grazie a Berlusconi che si è dimesso non essendo obbligato a farlo?

Dovremmo dire grazie a Bersani che lo ha costretto all’angolo e alle dimissioni?

E’ un siparietto ridicolo, patetico e tanto italiano.

La politica ha perso, il popolo ha perso, la democrazia ha perso. Chi ha vinto? Nessuno, Goldman Sachs a parte.

Temo che si prospetteranno mesi e mesi di campagna elettorale ai danni della nostra economia e del nostro stato sociale.

I sacrifici? Le mani in tasca agli italiani? Non una scelta politica, non un governo politico ma scelta obbligata di un governo tecnico: un po’ come fare i propri comodi e poi lavarsene le mani. In confronto Ponzio Pilato era un signore.

A chi grida allo scandalo sulla scelta di Monti Premier sottolineando la presenza tentacolare della Goldman Sachs (anche) nell’economia europea chiedo: la scelta doveva forse ricadere su uno di quei giovani che Brunetta voleva mandare a scaricare cassette al mercato? E pensare che avevamo un quasi-nobel a portata di (ex)governo.

 

 

Silenzio, almeno quello.

Attacco RSA: dettagli e riflessioni – How RSA was breached –

Tutti si ricorderanno dell’attacco (“extremely sophisticated cyberattack“) subito dal colosso RSA lo scorso marzo (qui la lettera aperta ai propri clienti da parte RSA).

Tutto faceva supporre che eravamo di fronte ad un nuovo APT, un advanced persistent threat ai danni della società che fa della sicurezza il proprio core business con organizzazioni, agenzie governative ed istituzioni di tutto il mondo.

Un APT attack che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.(*)

(*) Anatomy of an attack, RSA blog

In un primo momento l’allarme sembrava essere rientrato e che nessuno dei clienti RSA era a rischio.

Dopo qualche mese (fine maggio)  la Lockheed Martin (U.S. Defence contractor) denunciava il tentativo di intromissione ai propri sistemi tramite l’utilizzo di chiavi duplicate generate dal SecurID RSA.

Dopo qualche giorno, è la volta di un altro gigante della difesa americana. Ecco quanto si legge su wired:

“L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information,” read an April 6 e-mail from an executive at L-3’s Stratus Group to the group’s 5,000 workers, one of whom shared the contents with Wired.com on condition of anonymity.

Dopo qualche giorno anche la Northrop Grumman disabilita l’accesso remoto senza preavviso lasciando trasparire un ennesimo caso di intrusione.

A questo punto, con una seconda lettera aperta, RSA ammette la compromissione ed il furto di informazioni riservate (e l’utilizzo delle informazioni carpite nell’attacco alla Lockheed, ndr)

“Against this backdrop of increasingly frequent attacks, on Thursday, June 2, 2011, we were able to confirm that information taken from RSA in March had been used as an element of an attempted broader attack on Lockheed Martin, a major U.S. government defense contractor. Lockheed Martin has stated that this attack was thwarted.”

e l’imminente sostituzione dei token SecurID emessi.

Fino a qui, specialmente per gli addetti ai lavori, è solo un riepilogo, spero gradito, di una vicenda molto grave sulla quale si è detto relativamente poco:

un APT attack, un “extremely sophisticated attack” che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

Manca un capitolo: sappiamo che, lato client, tutto è partito da una mail…

“The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.”(*)

(*) Anatomy of an attack, RSA blog

Purtroppo non sono stati forniti da RSA ulteriori dettagli su questa “crafted well enough” email.

Alla F-Secure sono riusciti a risalire alla mail ed al file incriminato. Come?

Evidentemente qualcuno alla EMC, la divisione di RSA oggetto dell’attacco, ha voluto effettuare una scansione online del malware effettuando un upload dello stesso verso VirtusTotal, un online virus scanning site.

Come specificato nelle condizioni d’uso di VirusTotal il file è stato condiviso con le industrie del settore per approfondire e condividere la conoscenza di un potenziale nuovo malware.

Dunque quanto ha tenuto in apprensione RSA ed i suoi clienti era in possesso dei maggiori vendor di sicurezza informatica benché a loro insaputa.

Ecco quanto ricostruisce F-Secure:

Upload effettuato il 19 marzo come file-1994209_msg
Upload effettuato il 19 marzo come file-1994209_msg

Ed ecco come appare la well enough crafted email:

2011 recruitment plan
2011 recruitment plan

La mail è stata oggetto di spoofing e sembra inviata dal sito di recruiting beyond.com ed è stata inviata ad un impiegato/utente @emc.com ed in copia altri tre indirizzi analoghi.

Aprendo l’allegato:

Allegato xls incriminato
Allegato xls incriminato

Quella checkbox visibile è un embedded flash object che sfrutta quella che era una vulnerabilità non ancora sanata (per quale motivo excel supporti tali oggetti embedded merita tutta un’altra discussione, ndr).

L’oggetto flash usa la CVE-2011-0609 per eseguire del codice malevolo ed installa quella che si scoprirà essere identificata come Poisin Ivy backdoor. Al termine dell’infezione, il codice chiude excel mentre la Poison contatta il suo server

su good.mincesur.com (il dominio mincesur.com è stato già usato per attacchi simili, ndr).

mincesur.com
mincesur.com

Qui un video di cosa succede all’apertura del file xls incriminato:

Riflessioni

La mail, a metà strada tra il phishing e lo scamming, fa chiaramente uso di ingegneria sociale ma non mi sembra si possa considerare well enogh crafted email nè un extremely sophisticated attack.

Sebbene la vulnerabilità sfruttata era una zero-day (quindi non esisteva, in quel periodo, un’apposita patch) risulta poco accettabile e sostenibile che in colossi che fanno della sicurezza altrui il proprio core business non implementino soluzioni parallele infrastrutturali ed applicative a supporto di casi del genere.

Cos’è sofisticato?

Sicuramente lo è l’exploit per sfruttare la vulnerabilità flash ed innoculare la backdoor. Quest’ultima, per altro, non era tra le più sofisticate.

 Il target, sicuramente: andare a procurarsi i codici direttamente alla fonte per poi attaccare la Lockheed Martin, ad esempio, è molto sofisticato, ambizioso e preoccupante.

La componente APT?

Una volta effettuata la connessione l’attaccante ha accesso remoto completo non solo alla postazione target ma a tutte le risorse aziendali condivise a cui l’impiegato target (le sue credenziali, ndr) avevano accesso (dischi remoti, server intermedi, sistemi documentali, collaboration, etc…).

Non stupirebbe pertanto che gli attaccanti possano avere usato e monitorato per diverso tempo le attività del target fino all’ottenimento dell’accesso ai dati SecurID cercati.

Conclusioni

Non è accettabile che una zero-day possa compromettere strutture di questo livello così come non è pensabile di basare la propria sicurezza su sistemi sempre up-to-date (è praticamente impossibile).

Nello specifico sembra assurdo ma anche in questo caso l’anello debole si colloca tra il monitor e la spalliera della sedia.

_____
Clusit 

Pillole di Vasco, 1 luglio 2011, Stadio Olimpico, Roma

Un po’ per caso mi sono trovato catapultato in un concerto di Vasco, artista che ha accompagnato musicalmente la mia adolescenza.
Il concerto non mi è piaciuto particolarmente e a causa di un audio a mio avviso regolato male (gli acuti saturavano e stridevano al contrario dei bassi che erano perfetti) sono uscito dallo stadio con mal di testa e nausea.

Ad ogni modo, ne è valsa la pena.
Alcuni momenti da ricordare?

Clima pre-inizio:

 

Apertura:

Un po’ di luci, effetti e  pezzi “nuovi”:

Poi, chi ha la mia età capirà il perché di queste piccole vecchie perle (in luogo delle nuove canzoni).

Assoli (grandi musicisti, of course) e, udite udite, alibi 🙂

Giocala, Canzone, Vita spericolata ed Albachiara come finale:

Per mille motivi sono piccole pillole pubblicate solo per il ricordo di una bella serata e di un tour che, a sentire Vasco, è stato l’ultimo.

Una cosa mi è piaciuta su tutte: c’erano almeno 3 generazioni in tribuna. Dai 9-10 anni fino ai 60-65, tutti insieme a cantare insieme al blasco.

Chapeau.