27 nov 2012

Deturpiamo Milano

Oggi ho visto Piazzale Giulio Cesare.

Voglio misurare le parole. Voglio dire che mi sembra una vergognosa pazzia accostare agli eleganti palazzi di una volta questi orrendi obbrobri moderni, che di "moderno" esprimono solo la povertà di idee e la totale mancanza di bellezza di chi li ha disegnati e fatti costruire.
Non sono i graffiti che deturpano Milano; non sono i barboni, gli accattoni, gli spacciatori, le merde dei cani sui marciapiedi, i SUV parcheggiati in doppia fila. A deturpare Milano è questo schifo di architettura, chi la finanzia e chi governando la città ne approva la costruzione.

26 nov 2012

Io ci sono / CD1

Ho comprato questi tre CD in cui cinquanta cantanti italiani interpretano le canzoni di Giorgio Gaber. Solitamente evito accuratamente questo tipo di "tributi", ma il repertorio di Gaber è talmente particolare che me la sono sentita di rischiare. Le sue "canzoni" sono così speciali, i suoi testi così sinceri, schietti, a volte un po' brutali, ironici, sarcastici, umoristici, che, insomma, basta essere intonati e un buon risultato è assicurato.
In generale il primo CD mi è piaciuto molto. Mi hanno sorpreso la versione di "Una fetta di limone" fatta da Jannacci, che così rallentata diventa ancora più surreale dell'originale, "Eppure sembra un uomo" perfettamente azzeccata nella versione quasi-punk di J-AX, l'interpretazione di "L'orgia" di Cesare Cremonini, l'inquietante "Latte70" dei Baustelle e, perché no, anche "L'idea" di Enrico Ruggeri sommersa dalle schitarrate dell'immancabile Luigi Schiavone.
Vecchioni prende "La ballata del Cerutti" e la butta un po' lì, ma glielo si perdona perché il fascino di quelle interpretazioni "milanesi" è proprio quello di buttarla un po' lì. Altre menzioni per la "Torpedo blu" ben eseguita da Dalla, la "Ora che non son più innamorato" di Gigi D'Alessio, e "I cani sciolti" di Luca Barbarossa, ma in generale tutti molto bravi.
Un piccolo neo è l'abbondanza di "figli di" in scaletta, con Marco Morandi niente male ma troppo somigliante vocalmente al padre, Paolo Jannacci che spicca per originalità proponendo uno strumentale,  e Cristiano De André con la sua ben fatta "Buttare lì qualcosa".
Peccato che la performance di Emma, che violenta "La libertà" con una pronuncia inascoltabile, mi abbia quasi rovinato il piacere dell'intero disco. Nella sua semplicità musicale e comunicativa, "La libertà" è diventata un inno, una pietra miliare della musica italiana, e non si può, ripeto, non si può interpretarla dicendo "la libertà non è ztare zopra un albero [...] la libertà non è uno zpazio libbèro". Bocciata lei e bocciato chi la inserisce in una compilation il cui livello, altrimenti, sarebbe molto alto.

21 nov 2012

Grandi verità del ventunesimo secolo.




"Using your brain to think of an idea and your skills to implement it, that's the old model. Like anything that's old and requires effort, it's inefficient."

16 nov 2012

Diciamolo chiaramente

Secondo me il valore di Apple in borsa è una bolla. Secondo me, Apple sta facendo una mossa disperata dopo l'altra, annunciando prodotti fotocopia in rapida successione pur di aver qualcosa da dare in pasto al mercato. Secondo me, se Apple non esce con qualcosa di veramente innovativo nel corso del 2013, a fine anno la loro valutazione in borsa sarà molto ma molto più bassa di quella attuale.

Ci tenevo a mettere nero su bianco questa mia profezia alla Nostradamus. Perché quando il titolo sarà crollato e tutti i mass media si lanceranno come avvoltoi a dire che senza Steve Jobs la società non è più stata la stessa e altre boiate del genere, sarò veramente curioso di sentire cosa diranno i fanboy.

Per tenersi aggiornati: google finance.

Vediamo tra me e Morgan chi ci azzecca di più.

Social network: how to do it wrong

Su Repubblica la pubblicità copre la finestra di share su Facebook. Geniale.



15 nov 2012

Spiritò Liberò

Pare che ogni parola italiana vada bene per farci un bar, compreso "Spirito":

Di ritorno da Lubiana, allora, mi faccio una bela bombeta:


Sempre a proposito di differenze

Il contrasto tra le elezioni presidenziali USA e il tragico teatrino sulla legge elettorale in Italia non poteva essere più evidente. Mentre da noi c'è una classe politica disonesta e truffaldina che cerca in tutti i modi di rimanere aggrappata alla gestione del potere, negli USA abbiamo assistito a scontri tra idee e programmi, abbiamo sentito i candidati parlare a più riprese della propria idea di patria e di progresso. E' vero, abbiamo anche visto un imponente schieramento di miliardari che ha messo in campo centinaia di milioni di dollari per influenzare l'opinione pubblica e, spesso, screditare l'avversario: ma almeno, in quel caso, l'opinione pubblica esiste ancora e ci si impegna ancora a corteggiarla, mentre da noi non si fa altro che cercare di preparare a tavolino la legge elettorale che assicuri il risultato desiderato. Quella americana la si può ancora chiamare democrazia, la nostra, invece, no.
E' vero, anche negli USA abbiamo visto un candidato affermare il falso ripetutamente, usare le cifre delle statistiche "come un ubriaco usa il lampione: non per farsi luce ma per apporgiarcisi", promettere tutto a tutti in pubblico salvo poi disprezzare i propri concittadini in privato. Però quel candidato ha perso sonoramente, è bene ricordarlo.


E il candidato che ha vinto, nel suo primo discorso dopo l'annuncio dei risultati, si è potuto permettere di dire parole che in Italia suonerebbero talmente ridicole che nemmeno quelle facce di bronzo dei nostri politici hanno più il coraggio di pronunciare: "Io credo che possiamo mantenere la promessa dei nostri padri fondatori, l'idea che se sei disposto a lavorare sodo, non importa chi sei o da dove vieni o che faccia hai o dove vivi. Non importa se sei nero o bianco o ispanico o asiatico o nativo americano o giovane o vecchio o ricco o povero, abile o disabile, gay o eterosessuale, qui in America ce la puoi fare, se sei disposto a provarci."

Ora, io vorrei vivere in un paese dove queste parole non pretendo si debbano realizzare ogni giorno, ma almeno ci si possa credere.

14 nov 2012

Il treno dei desideri nei miei pensieri all'incontrario va

Trenitalia mi manda messaggi incomprensibili che parlano di borsellini e valori elettronici.

Anche Italo, da parte sua, ce la mette tutta a complicarmi la vita:
Ma che ne so io se voglio partire da "Milano P.G." o da "Milano Rog."? E per l'arrivo, "Roma Ost." o "Roma Tib."? A parte che io voglio semplicemente mettere il nome della città senza star lì a preoccuparmi della stazione, mi chiedo cosa pensa il turista straniero della scelta tra "P.G." e "Rog.", per non parlare della lista di Trenitalia, che non comprende Roma Termini ma la offre tra i risultati:

12 nov 2012

Come prepararsi a un attacco DDoS

Visto l'invito ricevuto qui e qui, provo a mettere giù due note su cosa fare per prepararsi a mitigare al meglio un attacco DDoS verso la propria rete.

In primo luogo vanno bloccati tutti i protocolli e le porte destinazione non necessari. Ciò va fatto tramite ACL stateless sui router di frontiera, il più a monte possibile.
Servizi "accessori" come DNS, NTP o Windows Update e simili vanno, se possibile, centralizzati: ad esempio, per risolvere i nomi host i server della rete si rivolgeranno al DNS interno, e solo quest'ultimo si occuperà delle ulteriori query verso Internet eventualmente necessarie. Ciò semplifica la protezione, soprattutto riguardo le ACL stateless menzionate sopra.
Vanno ovviamente configurati opportunamente i servizi che si intende proteggere, in modo da non offrire il fianco ad attacchi particolarmente banali. Non è questa l'occasione per entrare in tali dettagli, non sono un esperto del settore e, soprattutto, basta una ricerca in rete. Idem dicasi per tutti gli apparati di rete (router, switch, load balancer, ecc.) e sicurezza (firewall, IPS, ecc.) presenti "a monte" del sistema da proteggere: se hanno delle funzioni di auto-protezione, attivatele; se c'è modo di ottimizzarne le performance, fatelo.
Un esempio classico di questo tipo di approccio è questo.

Peccato però che tutti questi sforzi rimangano fondamentalmente vani a fronte dei moderni attacchi DDoS, che possono ormai facilmente saturare la capacità di CPU, RAM e banda di qualunque azienda. Prima di procedere ulteriormente, fatevi un'idea della dimensione del problema che stiamo cercando di mitigare: qui, qui, qui, oppure con un'altra bella ricerca google. Quanto è facile scatenare un attacco DDoS? Leggete qui.

Detto ciò, è quindi necessario attrezzarsi con soluzioni di protezione ad hoc. Gli apparati di DDoS Mitigation devono essere basati su meccanismi di analisi stateless, per non diventare essi stessi un collo di bottiglia durante gli attacchi, e ciò esclude quindi ogni soluzione basata su proxying delle applicazioni. Una trattazione esaustiva del tema DDoS non esiste e probabilmente mai esisterà, in quanto si tratta della consueta gara dei "buoni" all'inseguimento delle sempre nuove tecniche escogitate dai "cattivi": molto spesso la DDoS Mitigation richiede un alto grado di esperienza e "skill" specifici nel fare troubleshooting sia degli aspetti applicativi che prettamente volumetrici del traffico sotto osservazione, al fine di riuscire a distinguere il grano dal loglio e bloccare quindi il traffico malevolo causando i minori problemi possibili alle sessioni legittime.
Ad altissimo livello, possiamo provare a descrivere alcune tipologie di DDoS e le relative contromisure che un apparato di mitigation dovrebbe implementare.
1. Attacchi botnet-based o generati tramite tool "standard" da volontari ingaggiati per l'occasione. Spesso è possibile riconoscere le query generate da tali tool tramite opportune signature.
2. Attacchi basati su flood di richieste applicative (ad es. HTTP o DNS) apparentemente legittime. E' necessario, preferibilmente attraverso la conoscenza approfondita delle modalità di funzionamento dei sistemi sotto protezione, riconoscere i pattern delle richieste utilizzate per l'attacco al fine di bloccarle selettivamente. Ciò può essere fatto più o meno manualmente: naturalmente, con l'aumentare dell'automatismo, aumenta anche il rischio di falsi positivi. Nel caso l'attacco si concentri su un numero limitato di URL specifici, è possibile bloccare gli IP sorgenti responsabili di un rate di query anomalo o eccessivo. In casi di attacchi più smart, sarà necessario bloccare le query malevole tramite regular expression apposite. E' possibile inoltre utilizzare meccanismi light di challenge-response per verificare il regolare comportamento degli host sorgenti, al fine di bloccare il traffico generato dai bot.
3. Attacchi basati su flood TCP-based. In primo luogo è necessario implementare meccanismi di "autenticazione" delle sorgenti al fine di bloccare il traffico generato da indirizzi IP spoofed, in modo che, ad esempio, i SYN generati da tali sorgenti non vadano a impegnare le risorse del sistema vittima. Se gli host sorgenti sono invece in grado di completare correttamente il three-way TCP handshake, è possibile implementare ulteriori controlli ad esempio sul numero simultaneo di sessioni aperte, o sulla quantità di traffico inviato su ogni sessione, per bloccare ad esempio attacchi di tipo slow.
4. Flood basati su protocolli connectionless, come UDP o ICMP. Premesso che l'utilizzo di tali protocolli va limitato a monte ai soli utilizzi necessari, sono possibili diversi approcci di mitigation, basati sul blocco delle sorgenti responsabili di rate anomali di traffico, o sul blocco / rate limiting del protocollo nel suo complesso. Nel caso specifico del DNS, possono essere utilizzate tecniche più avanzate di "autenticazione" delle sorgenti.

E' necessario che le soluzioni di DDoS Mitigation forniscano le funzionalità di visibilità e reporting necessarie a un troubleshooting efficace: analisi a livello di singolo pacchetto da un lato, report storici statistici dall'altro. Altre funzionalità utili sono ad esempio il blocco o il rate limiting selettivo del traffico ad esempio per nazione sorgente o per URL destinazione, o basandosi su attributi applicativi "avanzati", come ad esempio il Referrer HTTP.

Anche in caso tali sistemi siano presenti, però, è spesso necessario un ulteriore tassello. Le capacità di mitigation utilizzabili da una "comune" azienda sono ovviamente limitate dalla quantità massima di banda Internet a disposizione. In un mercato come quello italiano, dove la banda a disposizione delle aziende di ecommerce si aggira sulle decine o centinaia di Mbps e gli attacchi superano ormai facilmente i Gbps, è chiaro che tale sproporzione può essere colmata solo grazie all'intervento, a monte, degli Internet Service Provider, che devono quindi offrire servizi di mitigation "cloud" in grado di intervenire quando la dimensione degli attacchi supera quanto è possibile trattare "localmente" presso la rete della vittima.

09 nov 2012

Troppo avanti

Quando si dice "non buttare mai via niente": ho finito oggi di riutilizzare le pagine rimaste bianche della mia "Agenda di Murphy 2000", sulla quale mi ero segnato una serie di corollari alle Leggi di Murphy pubblicate giornalmente.

30 Gennaio: I Legge viziosa del mercato. "Se non è un grande successo, ne produci pochi. Ma se ne produci pochi non sarà mai un grande successo".
Mio corollario: Legge di Lotus Notes. "Dì che è un successo e poi inizia a venderlo". Oggi l'avrei chiamata "Legge dell'iPhone".


05 nov 2012

Come (non) difendersi dagli attacchi DDoS


Ho letto ieri l'articolo riguardo gli attacchi DDoS pubblicato a cura di OAI su Office Automation (disponibile gratuitamente al questo link) e avrei qualche osservazione in merito. Disclaimer: lavoro per una società che produce apparati per la protezione dagli attacchi DDoS.
L'articolo afferma, correttamente, che "costruire una strategia di difesa non è banale", ed è benemerita l'opera di sensibilizzazione sul tema, ma poi conclude presentando un esempio di tecniche di "protezione" datate e non efficaci. La strategia di difesa presentata si articola in tre fasi, che vorrei commentare separatamente.
1) "Individuazione proattiva dell'attacco". Parole sante: è indispensabile avere a disposizione strumenti di anomaly detection in grado di rilevare "stranezze" nella rete senza dover attendere la telefonata del cliente disperato.
2) "Mitigazione di primo livello senza degrado del servizio": qui iniziano le dolenti note. Dice l'articolo: "tra le misure di filtraggio del traffico con ACL sui border router o in modi più avanzati sui firewall, se necessario dedicandone uno o più al cliente sotto attacco in maniera rapida ed automatica". Avere le opportune ACL impostate sui router di frontiera dovrebbe essere visto come una Best Practice, non come uno strumento di mitigation "on demand". Spesso i clienti vengono colpiti da flood basati su protocolli "esotici" che non hanno alcuna ragione d'essere e che andrebbero bloccati di default sui router di frontiera. Nel 99% dei casi la policy di default dovrebbe essere quella di bloccare tutto sui border router tranne i protocolli 6, 17 e (forse) 1. Agire tramite ACL non è una modalità di mitigation efficace in quanto un'ACL non potrà mai gestire con successo la dinamicità di un DDoS generato da migliaia di sorgenti diverse. In aggiunta, l'ACL agisce solo a livello 3 e 4 e non serve a nulla in caso di attacchi application-layer basati sugli ormai comunissimi tool che simulano, ad esempio, richieste HTTP perfettamente lecite da un punto di vista sintattico. Va anche sfatato il mito che i firewall siano una protezione "avanzata" contro i DDoS. La stragrande maggioranza dei clienti con cui parlo afferma di essersi resa conto di essere sotto attacco a causa del crash del firewall, impegnato a cercare di gestire tramite un'ispezione stateful flood costituiti da milioni di connessioni apparentemente legittime. Quale tipo di valore aggiunto possono offrire i firewall in questo caso? Praticamente nessuno. Se le access list sui border router hanno fatto il loro dovere, il traffico "non permesso" è già stato bloccato, e pensare di bloccare un DDoS attraverso tecniche di deep packet inspection è una pericolosa illusione. E' come pretendere di perquisire uno per uno tutti i 50.000 spettatori del derby facendoli passare da un solo tornello: è chiaro che non regge. Ma pensiamoci: se i firewall fossero in qualche modo utili a contrastare i DDoS, come mai sentiamo ancora parlare di questo tipo di attacchi, visto che il firewall ormai ce l'hanno tutti? Idem dicasi per IDS e IPS. Questi sono apparati destinati a fare ALTRO: ispezione stateful layer 7, cpu- e ram-intensive. Mi sento ancora peggio quando leggo di provisioning "rapido e automatico" di firewall dedicati, che mi fa pensare a soluzioni VM, che non fanno altro che aggiungere altri potenziali punti di failure a fronte delle quantità di traffico in ballo. L'articolo menziona anche la possibile attivazione di funzioni di "transparent proxy": ma bene! aggiungiamo pure un ulteriore livello di proxy stateful: un altro apparato che deve esaminare tutte le sessioni come se fossero legittime, un altro punto vulnerabile lungo il percorso del traffico.
3) "Mitigazione di secondo livello don degrado della raggiungibilità utilizzando prevalentemente tecniche di blackholing". Per chi non lo sapesse, il blackholing NON è "un insieme di indirizzi IP cui vengono destinati i pacchetti dei flussi malevoli di un DDoS": il blackholing è la procedura per cui, SU BASE DESTINAZIONE, tutto il traffico viene scartato a monte della rete. In parole molto povere, una volta rilevata l'indirizzo IP destinazione dell'attacco, questo viene comunicato all'upstream provider chiedendo che il traffico verso di esso non venga più ruotato verso la destinazione, ma venga invece scartato prima di entrare nella rete. Il blackholing è una modalità di protezione dell'infrastruttura dell'ISP, che si libera del flusso di attacco che altrimenti transiterebbe nella sua rete e degli eventuali effetti collaterali che esso causerebbe, ma per quanto riguarda il cliente vittima, non fa altro che completare il successo dell'attacco, scartando indiscriminatamente sia il traffico buono che quello cattivo. Esistono soluzioni "avanzate" derivate dal blackholing, come il Source-Based BH o il FlowSpec, che cercano di coniugare la granularità delle access list con la facilità d'uso degli annunci BGP alla base del blackholing, pur con le rigidità che ne conseguono.

Mi fermo qui, senza dettagliare ciò che INVECE andrebbe fatto, onde evitare il rischio di apparire come quello che in fin dei conti voleva solo tirare acqua al proprio mulino. Ma mitigare i DDoS con firewall e blackholing fa tanto anni '90.

04 nov 2012

Ah, e un'altra cosetta...

La differenza tra "è" ed "e". "E'" con l'accento è voce del verbo essere; "e" senza accento è una congiunzione. Quindi per favore non scrivete robe tipo "È se nevica che fai?" oppure "la juve ruba è l'inter vince". OK? Se non vi va di parlare l'italiano, scegliete un paese africano a caso e trasferitevici.

Io mi dispero alla vista del livello di ignoranza che viene messo in mostra quotidianamente su Internet.

01 nov 2012

Errori grammaticali

Noto giornalmente con crescente sconforto che la confusione regna sovrana quando si tratta di utilizzare accenti e apostrofi, sia in italiano che in inglese. Altro andazzo che mi causa particolare dolore è l'abuso della "d" eufonica, e quindi iniziamo da questo, che si chiarisce molto velocemente: salvo rare eccezioni, la d eufonica si usa solo tra due vocali uguali. Capito? Si dice quindi "sono andato ad Arenzano", mentre non si dice "ti invito ad un viaggio". OK? Facile, no? "Sì d'accordo ma come facciamo con le eccezioni?" Facile anche qui: se cercando di pronunciare la frase senza "d" vi si intreccia la lingua, allora la "d" ci vuole. L'intrecciamento della lingua è un fenomeno molto raro, quindi capite che la "d" è raramente necessaria. Oppure se siete dei cantautori e dovete fare "suonar bene" la frase, tipo Guccini con "L'albero ed io".

Passiamo ora ad accenti e apostrofi (notare la "d"). Regola facile facile per gli accenti: i monosillabi, salvo eccezioni, non hanno l'accento. Ovviamente perché essendo monosillabi c'è una sola sillaba dove mettere l'accento, quindi risparmiamo inchiostro e bit e non mettiamolo. Quindi, non si scrive "quì" o "quà". Notate, tra l'altro, che se scrivete "quì" con l'accento un sacco di software ve lo sottolineano in rosso? Ecco, vi svelo un segreto: la sottolineatura rossa non è un elemento decorativo, ma si tratta invece del PC che cerca di farvi gentilmente notare che è un errore. Recentemente noto una tendenza a una specie di ipercorrezione: gente che smette del tutto di usare l'accento o, diabolicamente, lo usa, invariabilmente, sempre al contrario: e allora abbondano i "si" e i "ne" senza accento dove invece ci vorrebbe. Sì, perché ci sono dei monosillabi che vogliono l'accento! E quali sono? quelli per i quali c'è rischio di confondersi, quindi si scrive l'accento per distinguerli: , si fa proprio così. Non ne posso più degli accenti di troppo degli apostrofi mancati.  "Non c'è pane focaccia, non ce ne sono, non ce n'è più.". Eh, dai, per favore, è una cosa che mi dà il voltastomaco. Ti dò uno schiaffo. Devo dirti una cosa, sì, dì pure. La distanza che c'è tra mi e la e come quella che c'è tra qui e . Un po', con l'apostrofo, siccome sarebbe "un poco". Le elementari le abbiamo fatte tutti, insomma.

Prima di passare all'inglese, un'altra cosina che mi causa giramenti di testa e cadute di pressione è l'uso della virgola tra il soggetto e il verbo. Non si fa, e basta. "Marco, è andato a prendere il pane". NO, SANTO CIELO! Ma capisco che qui entriamo in territori da accademia della crusca... "soggetto"? "predicato verbale"?? ma cos'è? arabo? OK, lasciamo stare.

E ora passiamo all'inglese, anche se qui la cosa si fa più complessa, a causa del fatto che -a mio modestissimo parere- l'inglese è una lingua che è lungi dall'essere "stabile" e che ha quindi davanti a se ancora secoli di evoluzioni e rivoluzioni, ma lasciamo stare che altrimenti mi dilungo. Dicevo: regna sovrana la confusione anche tra i madrelingua inglesi, che ormai hanno stabilmente invertito its ("il suo di esso") con it's ("it is", "esso è"). Sorte simile è toccata a your e you're, where e were, there, their e they're. Voi che l'inglese lo sapete sarete costantemente confusi, voi che non lo sapete lo imparerete male.  Non ci resta che piangere.