I servizi web 2.0 che utilizzo

Già da un po' di tempo ero stato invitato a partecipare a questo memè da Paso e Lukewebsurfer. Ragazzi, non mi ero dimenticato! Ecco dunque l'elenco (davvero piccolino) delle applicazioni web 2.0 che utilizzo:

Comunicare
: Gmail
Ricerca: Technorati, Wikipedia
Conoscenza: Wikipedia
Immagini e Video: Youtube
Blog: Blogger
Maps: Google Maps
Video: Youtube

Si vede che devo ancora familiarizzare con questo web 2.0...
Ora giro la palla a tutti i lettori (vecchi e nuovi) di questo blog: fateci sapere che servizi web 2.0 utilizzate più frequentemente.

P.S.: come avrete notato, la veste grafica del blog è cambiata nuovamente. Questo template fa sempre parte della collezione di Final Sense ed è stato pubblicato recentemente sul loro sito. Se non vi piace o se volete esprimere il vostro parere, potete benissimo farlo nei commenti. Ogni vostra idea è sempre ben accetta su questo blog!
E' dal gennaio 2007 che ormai si parla di questa storia su ormai molti blog: Black Google, il Google nero che permette di risparmiare un bel po' di watt e di soldi se tutto il pianeta lo utilizzasse. Ma partiamo dall' inizio...
Il 20 gennaio 2007 viene pubblicato un post sul blog ecoIron che ha come titolo Black Google Would Save 750 Megawatt-hours a Year: in questo articolo l' autore spiega che una pagina completamente bianca richiede circa 74 watt per essere visualizzata, mentre una pagina totalmente nera richiede solo 59 watt. Quindi, essendoci circa 200 milioni di query al giorno su Google, ipotizzando che ogni ricerca venga visualizzata per 10 secondi, si giunge alla conclusione che Google è in esecuzione per circa 550.000 ore al giorno. Ipotizzando che gli utenti visualizzino Google a schermo intero, il risparmio energetico per ogni ricerca è di 15 watt (74-59): complessivamente si risparmierebbero 8.3 Megawattora per ogni giorno, cioè circa 3.000 Megawattora per ogni anno. Però bisogna considerare che il risparmio energetico si ha solo con schermi CRT (a tubo catodico) e non LCD (a cristalli liquidi), quindi considerando che attualmente in circolazione il 25% degli schermi è CRT, il risparmio totale è di 750 Megawattora per ogni anno. Circa $75.000 di risparmio se consideriamo che un kilowattora costa 10 centesimi.
Molte persone hanno controllato i calcoli e col tempo questi dati sembrano accrescere sempre più: sono stati fatti calcoli più accurati e si è giunti alla conclusione che il risparmio sarebbe maggiore di 750 Megawattora, forse il doppio.

Se volete provare il Black Google, ci sono vari siti indipendenti che permettono di effettuare le ricerche su siti che sono completamente scuri:

- Blackle
- Earthle
- Ninja
- Trek Black
- Nerooogle (il Black Google italiano)

Reclutamento Hacker: finzione o realtà?

Dopo qualche giorno di pausa si torna a scrivere sul blog (già sento i vostri applausi e le urla di gioia), presentandovi un fatto curioso che potete sperimentare anche voi.
Molti di voi (Paso di sicuro) già sapranno che HTTP è il protocollo usato dai nostri computer per dialogare con i server che ci forniscono le pagine html che vogliamo visualizzare. Per esempio ogni volta che apriamo una pagina web, in realtà contattiamo un server ed eseguiamo il comando GET per ottenere la pagina html richiesta. Oltre ad effettuare particolari comandi, tra la nostra macchina (client) ed il server vengono trasmessi anche gli HTTP Header che servono a contenere meta-informazioni sui file trasferiti.
Adesso arriviamo al punto: se provate a leggere gli HTTP Header trasmessi quando aprite una pagina di Wordpress, vi troverete davanti a questa scritta (questo è un HTTP Header del blog di Paso):

HTTP/1.0 200 OK
X-hacker: If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.
X-Pingback: http://paso.wordpress.com/xmlrpc.php
Content-Type: text/html; charset=UTF-8
Server: LiteSpeed
Date: Tue, 24 Jul 2007 06:33:48 GMT
Connection: close

X-hacker: se stai leggendo questo, dovresti visitare automattic.com/jobs e far domanda per unirti a noi, menziona questo header. (traduzione alla buona)
In pratica l'azienda Automattic (che sta alle spalle di Wordpress) ha inserito questo messaggio di reclutamento all'interno degli HTTP Header ed ogni volta che entriamo in un blog di Wordpress viene inglobato anche questo messaggio. Non so se sia un messaggio serio o solo una burla (come gli Easter Egg che si possono trovare nei programmi).

Se volete provare anche voi, vi consiglio 2 metodi:
1) andate su www.network-tools.com, nella barra inserite l'indirizzo di un blog Wordpress e spuntate la casella HTTP Headers, cliccate su Submit e vedrete il messaggio
2) scaricate l'estensione "Live HTTP headers" per Firefox da questo sito. Entrate in Firefox, cliccate su Strumenti, Live HTTP Headers e spuntate la casella Capture. Mentre navigherete, verranno "catturati" tutti gli HTTP Header che vorrete...

Ora non so se dopo questo articolo, qualcuno di voi invierà il proprio CV alla Automattic... però se vi prendono a lavorare con loro fatemelo sapere :-)

Ora il mio lavoro è finito...

Il titolo prende spunto dal commento di Bl@ster relativo al precedente articolo in cui mi diceva che dopo aver scoperto la vulnerabilità nel tema di Wordpress e dopo aver avvisato lo staff avevo terminato il mio lavoro. Però io ho voluto fare ancora qualcosina...
Sono andato sul sito di Secunia che pubblica avvisi di sicurezza (Security Advisory) relativi a vulnerabilità scoperte dal loro team di ricercatori o da qualsiasi altra persona, ed ho deciso di inviare una mail per avvisarli del bug presente nel tema Blix di Wordpress.
La mia segnalazione è stata approvata dal team di Secunia e... poco fa è uscito il mio primo Security Advisory!!! In realtà sono 3 avvisi di sicurezza:

1) WordPress Blixed Theme "s" Cross-Site Scripting
2) WordPress BlixKrieg Theme "s" Cross-Site Scripting
3) WordPress Blix Theme "s" Cross-Site Scripting

Ora il mio lavoro è finito...

Vulnerabilità XSS nel tema Blix di Wordpress

Questa storia ha qualcosa di incredibile...
Qualche giorno fa per puro caso ho scoperto che il tema Blix di Wordpress presenta una vulnerabilità di tipo XSS (cross-site scripting) che può essere sfruttata tramite la barra delle ricerche presente nella parte superiore del tema. Se, infatti, inseriamo uno script (per esempio scritto in javascript) nella barra delle ricerche, tale script verrà eseguito nella macchina utente senza essere filtrato. Tale vulnerabilità permette di eseguire qualsiasi codice immesso nella barra delle ricerche e, quindi, permette svariate tipologie di attacco: phishing, cookie grabbing (rubare i cookie dalla macchina che accede al blog con tema Blix), visualizzazione di contenuti testuali e multimediali temporanei nella pagina del blog, ridirezionamento verso un' altra pagina, ecc...
Dopo aver osservato che praticamente tutti i blog con indirizzo http://xxx.wordpress.com che utilizzavano il tema Blix erano buggati, ho avvisato lo staff di Wordpress e dopo qualche giorno di verifica sapete cosa hanno detto? "The theme we use is fine, no cause for concern." Il tema che noi usiamo è OK, non c'è motivo di preoccuparsi. Dopo aver letto questa loro risposta, ho visitato gli stessi blog che qualche giorno prima avevano il bug... ma ora il bug era improvvisamente scomparso! Personalmente credo che lo staff di Wordpress abbia modificato il codice del tema Blix presente sui loro server, senza creare scalpore e senza ammettere che non avevano controllato a dovere il codice prima di renderlo disponibile ai loro utenti. Ricordiamoci che Wordpress ha delle regole molte rigide riguardo l'esecuzione di codice nei blog e sicuramente avere un tema buggato che permetteva l'esecuzione di qualsiasi codice sui computer degli utenti non li ha resi molto felici...

Il tema Blix originale è buggato ed ho le prove (registrazioni video) che ci sono blog non hostati sui server di Wordpress che sono vulnerabili a tale attacco!

Tecnicamente la vulnerabilità è dovuta alla seguente riga di codice presente nel file search.php del tema Blix (scaricabile qui):



Come si può vedere, il comando echo $s non fa altro che visualizzare il contenuto della variabile s che è la stringa che noi vogliamo cercare. Se nella variabile s è presente uno script, il codice dello script verrà inserito nella pagina html senza essere filtrato e ciò porta alla inevitabile esecuzione dello script.
Per correggere la vulnerabilità si possono seguire 3 strade:
1) eliminare tale riga di codice
2) sostituire tale riga di codice con un altra che non contenga il comando echo $s
3) lasciare tale riga, imponendo però dei controlli sul contenuto della variabile s

Tale articolo è stato scritto con l' unico scopo di avvisare chiunque utilizzasse il tema originale Blix della presenza di una vulnerabilità nel codice del tema. Se il vostro blog è hostato sui server Wordpress è ormai al sicuro dal bug, se invece siete hostati su server esterni ed avete scaricato il tema Blix dal sito del creatore, potete essere vulnerabili. Chiunque faccia stupidate utilizzando le informazioni contenute in questo articolo, sarà l' unico responsabile per i danni che potrà arrecare.

Ho già inviato un messaggio a Sebatian Schmieg, creatore del tema, per informarlo del bug ed ho aperto anche una discussione sul forum ufficiale di Wordpress dove mi è stato risposto che il tema che usano è fine.
Sincermente, dopo questa faccenda (che non è ancora chiusa) mi sento ancor più fiero di aver scelto la piattaforma Blogger che oggi reputo senza dubbio più seria e sicura...
Ormai è estate e bisogna divertirsi, perchè questa è la stagione delle spensieratezze e delle risate. Per questo oggi vi posto un articoletto che (spero) vi porterà qualche minuto di puro divertimento...
Conoscete Wikipedia? E chi non lo conosce... Un portale dove vengono raccolte informazioni appartenenti ad ogni categoria dello scibile umano, una vera enciclopedia virtuale. Ebbene, in rete si può trovare anche Nonciclopedia, un portale dove si raccolgono articoli strambi, divertenti e bizzarri, appartenenti ad ogni categoria dello scibile umano! Le categorie in cui è divisa Nonciclopedia sono centinaia, tra cui: abbigliamento, alieni, armi, animali, astronomia, cantanti, dialetti, fantascienza, fumetti, giochi, libri, lavoro, medicina, politici, sesso, tecnologia ed ovviamente informatica. Ogni categoria contiene una serie di articoli demenziali e divertentissimi, tutti da leggere dalla prima all'ultima parola.
Per darvi un esempio, entro nella categoria informatica e subito salta agli occhi il nome Bill Gates... vediamo come inizia l'articolo:

Bill Gates (noto anche come "Conto Cancelli" o "Guglielmo Cancelli", soprannominato anche "Billy Ghetti"), è un uomo pieno di soldi, tanto che ci si pulisce persino il culo. È forse il più importante creatore di programmi per bambini, anche se poi li spaccia per software aziendali; i dipendenti che ci giocano sono tuttavia molto contenti .

Andando invece a vedere cosa dicono di Linux, trovo le seguenti frasi:

Linux è un piano segreto del KGB e dei Comunisti per distruggere l'America e conquistare il mondo.

Si dice che il codice sorgente di Linux non sia altro che la lista della spesa di Chuck Norris. Ed è vero.

Capito? Ora il mistero del codice sorgente di Linux è stato svelato...
Buon divertimento a tutti con Nonciclopedia!


Steganografia: cos'è e come utilizzarla

Quante volte avete avuto la necessità di nascondere un file e non sapevate dove metterlo per proteggerlo in maniera adeguata? Può capitare che dobbiamo nascondere un file di testo in cui abbiamo scritto un messaggio importante che deve rimanere segreto, oppure vogliamo inviare in maniera sicura una nostra password ad un conoscente. Per questo ci viene in aiuto la steganografia, che in ambito informatico è la tecnica di nascondere dei messaggi in file di copertura che possono essere immagini o altri file multimediali. In questo modo nascondiamo i nostri dati, le nostre password, i nostri messaggi in file che all'apparenza sembrano comunissime immagini oppure semplici file audio.
Per utilizzare tale tecnica si possono trovare in rete svariati tool multipiattaforma semplici da usare, anche se spesso non hanno finestre grafiche e possono essere utilizzati solo tramite riga di comando. Il programma che utilizzo personalmente è Steghide, disponibile per Linux ed anche per Windows. Il programma è gratuito e si può scaricare qui. Adesso vediamo i passi da seguire per utilizzarlo:
1) scarichiamo la versione di Steghide per il nostro sistema operativo seguendo le istruzioni che troviamo sul sito linkato sopra (per chi usa Ubuntu basta scaricare Steghide da Synaptic)
2) creiamo un file di testo in cui scrivere il nostro messaggio (frase, password, dati personali, ecc...)
2) procuriamoci un' immagine JPEG o BMP, oppure un file audio WAV
3) dalla riga di comando (terminale su Linux) scriveremo steghide embed -cf picture.jpg -ef secret.txt dove picture.jpg è la nostra immagine di copertura e secret.txt è il file di testo da nascondere. A questo punto dovremo inserire una parola chiave (che conosceremo solo noi ed il destinatario del messaggio segreto)... ed il gioco è fatto! Il nostro messaggio verrà prima crittato dal programma e poi nascosto nell' immagine (oppure nel file audio).
4) se invece riceviamo un' immagine in cui è nascosto un messaggio segreto (deve dircelo ovviamente chi invia l'immagine) e vogliamo estrarlo dovremo scrivere steghide extract -sf picture.jpg dove picture.jpg è l'immagine che abbiamo ricevuto.
Non è così difficile, vero? Queste comunque sono le istruzioni più semplici che permettono di utilizzare immediatamente Steghide, ma i comandi supportati dal programma sono molti e permettono di sfruttare le grandi potenzialità del programma.

Ora giochiamo un po'...
Qui sotto ho inserito un' immagine di un ragazzino (sembra picolo ma in realtà ha 22 anni nella foto) appena arrestato dalla polizia: se non sapete chi è, salvate l' immagine sul vostro PC ed usate Steghide per estrarre il file di testo che ho nascosto all' interno della foto! All' interno di questo file di testo c'è il nome del personaggio misterioso, la causa dell' arresto ed infine c'è un numero segreto che ho scelto casualmente.
Chi sarà il primo a dirmi il nome del ragazzino, la causa dell' arresto e soprattutto il numero segreto all' interno del file nascosto?
Quando cercate di estrarre il file nascosto dall' immagine, la parola chiave che dovrete scrivere sarà hello



07-07-07

Non so perchè ma sento che oggi è un giorno particolare. Forse è il mio compleanno? No, me ne sarei ricordato. Forse è natale? Ma che dico, stiamo in piena estate! Ma allora che giorno è oggi? Ora ricordo!!! Oggi è il settimo giorno del settimo mese del settimo anno del nuovo millennio. Già sento qualcuno di voi dire: "E chi se ne frega?". Effettivamente anch' io non sono tipo da credere nella sequenze di numeri, nelle superstizioni e nelle leggende... comunque non capita spesso nella vita di vivere il giorno 07-07-07 (in realtà capita una volta sola).
Sicuramente era più magico e leggendario il numero 666, però anche il 7 pensandoci bene è un numero sempre presente nelle nostre vite: sette sono le meraviglie del mondo, sette sono i peccati capitali, sette sono i giorni della settimana, sette sono le vite di un gatto, sette sono i chakra, sette sono i colori dell'arcobaleno, sette sono le note musicali, sette sono i continenti, sette è il numero buddhista della completezza, sette sono le vocali, sette sono i sacramenti e per non allontanarci mai dall'informatica sette sono i bit della specifica iniziale del sistema di codifica ASCII.
La sequenza 7 7 7 inoltre porta molto fortuna, soprattutto se esce mentre state giocando alla Slot Machine di un casinò :-)



Per scrivere questo post ho preso spunto dalla pagina di Wikipedia dedicata al numero sette, dove si possono trovare tante altre correlazioni e curiosità.
Se vi viene in mente qualche altra particolarità col 7 (anche riguardante vostre esperienze di vita quotidiana) fatemela sapere...

Una e-mail sicura e gratuita

Con la nascita di strumenti potenti come Carnivore (vedi articolo precedente), il bisogno di privacy è diventato ancor più importante anche per gli utenti comuni che utilizzano Internet. L' invio di messaggi di posta elettronica è ormai una delle operazioni più comuni e frequenti tra chi naviga, ma è anche una delle operazioni meno sicure: ogni e-mail che riceviamo o che inviamo può essere facilmente letta! Questo accade perchè le nostre e-mail non vengono in alcun modo crittate... Per questo motivo nasce un servizio incredibilmente utile che si chiama Hushmail. Inizio subito dicendo che nella società che fornisce tale servizio, la Hush Communications, lavora anche Phil Zimmerman in qualità di "Crittografo Capo". Per chi non sapesse chi è quest'uomo, dico solo che è il creatore di PGP, il sistema di crittografia più usato al mondo.
Ma vediamo come può aiutarci il servizio Hushmail: andiamo sul sito www.hushmail.com e clicchiamo su "Sign up for secure free email"; dovrebbe apparire un form in cui dovremmo solo inserire un nome a nostro piacimento con cui verrà creato l'indirizzo mail (oppure si può generare un indirizzo in maniera random), scegliamo una passphrase (password) lunga e difficilmente prevedibile, infine inseriamo i numeri presenti nel chapta per superare il controllo antispam. Possiamo inoltre abilitare le funzionalità Java che permettono un livello di sicurezza ancor maggiore. Cliccando sul bottone "Create account now" avremo a nostra disposizione una casella di posta elettronica gratuita e sicura. Per accedere alla nostra nuova casella di posta basta entrare nel sito di hushmail e scrivere la nostra mail nella barra in alto a sinistra dove c'è scritto "Sign into webmail", poi clicchiamo su "Sign In" e nella pagina che appare clicchiamo il bottone "Click here to continue with a FREE account". Inseriamo la nostra passphrase e siamo dentro la nostra casella...
I messaggi che invieremo verranno crittati utilizzando il sistema Open PGP con 2048 bit e verranno decrittati solo quando verranno ricevuti dal destinatario (end-to-end encryption). Le comunicazioni con i server della Hush Communications avvengono tramite SSL in modo tale da essere sicure. Ovviamente l'email che avremo creato supporta un sistema antispam ed un sistema di scansione virus.
Purtroppo se scegliamo di utilizzare questo servizio gratuitamente abbiamo a disposizione una casella sicura, gratuita... ed anche piccola! Solo 2 Mb di spazio da utilizzare per inviare o ricevere messaggi di posta elettronica... sono pochi, però se il servizio ci ha soddisfatti possiamo anche fare l'upgrade ad una versione (a pagamento) Premium o Bussiness che avranno nuove ed interessanti feature da utilizzare, come la possibilità di creare degli pseudonimi per proteggere la nostra identità.
Prima di concludere questo articolo, prima di tutto vi invito a provare questo servizio perchè è davvero difficile trovare un' azienda che ti assicura un servizio gratuito così affidabile ed utile; poi, volevo dirvi che se create un nuovo indirizzo mail garatuito con Hushmail ricordatevi di accedere al vostro account almeno 1 volta in 3 settimane altrimenti non potrete più utilizzare la vostra casella di posta. Questo vincolo serve per evitare la presenza di troppe caselle di posta aperte dagli utenti e poi inutilizzate.
Per ulteriori informazioni, vi rimando sempre al sito ufficiale di Hushmail www.hushmail.com dove troverete risposta a tutte le vostre domande.