Vortexmind: free your mind Tu ne cede malis sed contra audentior ito

7Apr/120

Cloudflare CDN review – #cloudflare

Having a bit of spare time, I've decided to give Cloudflare a try oon this own blog. The service is pretty much self descriptive: by watching a 5 minute video, you are briefly introduced to its main features: security improvement, by filtering out requests coming from known threats or suspicious sources, and performance improvements by caching your static content and compressing / minifying CSS and JavaScript libraries, along with distributing them geographically on a CDN.

There are more features available if you pay a fee, but you can get some goodies even with the free option. All of this is easily achieved, once the set up and the features are chosen, by altering the DNS servers associated with your domain and by pointing them to the Cloudflare's DNS servers. Once this is done, you simply tell Cloudflare of the change and wait for the DNS propagation to take effect.

Although there is not much explanation on what is being done technically to meet such amazing results (how often do you hear that you can get the equivalent of a CDN for free?), I am now attempting to confirm Cloudflare's claims with my own measurements. In fact, if you peek into their management dashboard, you can reach a summary analytics panel which tells you how many bad requests they have filtered and how many requests / bandwidth have they "saved" you from actually having to serve! So far it seems that they saved me 40% of the bandwidth and above 60% on the number of requests... which would be pretty amazing if I can back it up with my own measurements!

I am not sure if further details can be found or requested from them, maybe once you are a paying customer? After all although my blog is simply a 'divertissement' I can easily figure out how a professional firm may want instead to have full control over this process and know exactly, for instance, what requests have or haven't been filtered, or what content is being cached and exactly for how long, and what the purging strategy is! Think about it, there is no much damage done if one of my posts doesn't display the latest revision or comment added, but this would be different if one of your product pages the customer is seeing is out of date and does not display the latest special offer you've just set up!

Far from formulating my conclusions, I'll reserve myself the right of playing with this service a bit more and see how it pans out! I have to say that so far the set up was painless (even my grandma could have probably figured out the steps herself) and straightforward.

Do you use Cloudflare? Any experience of yours to share? Feel free to use the comments section!

4Jul/083

Polizia cinese in segway

xinsrc 2920705030751296250187 Polizia cinese in segway cazzate  segway security polizia policemen police photo lol image cinese cina china

Se fossi un criminale e, durante una rapina o simili, venissi colpito e ucciso da uno di questi poliziotti cinesi in segway penso che mi sentirei un po' una merda e mi vergognerei di me stesso prima di morire :asd:

17Jun/082

L’importanza di avere PC sicuri

security 150x150 Limportanza di avere PC sicuri technology informatica  Wireless wifi virus trojan sicurezza security scan protezione protection pc Michael Fiola malware firewall antivirus

Voi lascereste la vostra macchina aperta e in moto in mezzo alla strada? Non credo proprio. Eppure è esattamente quello che accade, trasportando la metafora in ambito informatico, ogni qualvolta si utilizzano PC non appositamente configurati e protetti per connettersi a internet, oppure quando si lasciano in chiaro le proprie connessioni wireless. Cosa può accadere? Ad esempio, che virus e programmi troiani utilizzino il vostro PC per compiere automaticamente azioni illecite a vostra insaputa. Il caso di Michael Fiola è sicuramente una delle cose peggiori che vi possono capitare, quella cioè di finire improvvisamente indagati per pedofilia a causa di un PC non adeguatamente protetto. A causa di quanto successo, il signor Fiola è stato licenziato e si trova tuttora in un contenzioso con la propria azienda. E le leggi italiane, che puniscono per il possesso di questo materiale, non sono diverse da questo punto di vista. Un virus può scaricare e salvare materiale illegale sul vostro PC, ed è tutt'altro che semplice dimostrare che non lo si è fatto volutamente :)

Io trovo che, nell'era in cui l'elettronica di largo consumo è ormai alla portata di tutti e i dispositivi "intelligenti" che si connettono a internet sono diffusissimi, non si faccia (nemmeno nei punti di vendita) adeguata informazione sui rischi che si corrono utilizzando tali attrezzature. Un PC non è un tostapane (e neanche un iPhone, un palmare e via dicendo ...).

28Apr/082

Security – Cold Boot RAM attack

Un video interessante che mostra a tutti la vulnerabilità dei nostri comuni portatili alle intrusioni effettuate sfruttando la non istantanea cancellazione della memoria RAM quando il PC viene spento. Praticamente tutti i programmi infatti utilizzano la memoria RAM per salvare informazioni d'uso comune come password e chiavi di crittografia.

Questo tipo di vulnerabilità è denominata Cold Boot Attack.

31Aug/078

Antispam: il nuovo ciclo asimoviano

antispam Antispam: il nuovo ciclo asimoviano vortexnews  wordpress vortexmind spazzatura spam security plugin flooding captcha antispam

Parlo di nuovo ciclo asimoviano perchè il rapporto tra Vortexmind.net e i sistemi antispam è ormai una saga di dimensioni omeriche ... oppure paragonabile ai grandi lavori del celebre maestro della fantascienza! Ormai, qualsiasi cosa provo a usare, si verifica un disservizio: da un lato, i sistemi scelti funzionano troppo alacremente e blastano senza ritegno anche i commenti buoni e virtuosi. Dall'altro, può invece accadere che i plugin utilizzati si rivelano più permissivi del previsto, inondando in poco tempo le pagine di questo sito di spazzatura (che si va aggiungere a quella da me scritta). Ora ho provato una nuova cosa: Peter's Custom Anti-Spam plugin CapCC, una soluzione captcha abbastanza semplice che dovrebbe però bastare. Non c'è coda di moderazione (a meno che non siate al vostro primo commento qui) nè Askimet, quindi il vostro commento (ammesso che scriviate la giusta parola) dovrebbe comparire subito. Se si verificano problemi, vi prego di notificarmeli tramite questo post ... sperando ovviamente che riusciate a scrivere almeno un commento :asd:

25Jul/071

iPhone Exploited – Rischi di sicurezza

I dispositivi mobili (telefoni cellulari, PDA, handheld e così via) già da qualche anno stanno registrando un vertiginoso aumento di capacità e di potenzialità di processing. Questo, se da un lato permette all'utente finale di svolgere operazioni più complesse, dall'altro rende più facilmente possibili operazioni non autorizzate da parte di terzi i quali, tramite lo sfruttamento di exploit, sono spesso in grado di compromettere i dati presenti sul dispositivo. E'quello che è accaduto al celeberrimo iPhone della Apple: la ISE infatti ha reso nota una vulnerabilità che permette all'attaccante di prendere possesso dei privilegi amministrativi del dispositivo (e quindi, potenzialmente, di fare tutto quello che anche il legittimo possessore potrebbe fare). Ecco il video:

Come si nota, ad esempio, l'attaccante è riuscito a leggere i messaggi testuali inviati con il telefono. Per saperne di più, si può visitare il sito dedicato all'exploit.


12Dec/060

TOR Network – Anonimato in rete

how tor works.thumbnail TOR Network   Anonimato in rete technology informatica  traffico traffic tor sniffing sicurezza security routing onion networking network mitm middle man instradamento hop attack anonimato analysis analisi Avrete certamente sentito tutti parlare di tecniche di analisi del traffico. Tramite queste tecniche, chiunque può spiare la vostra attività in internet. Questo può avvenire (in linea teorica) ogni volta che non adottate particolari precauzioni, quali ad esempio HTTP over SSL (per capirci, quando vi connettete a server con il metodo https://), oppure ad esempio se create una rete sicura (come una Virtual Private Network). Non utilizzando mezzi crittografati, è possibile che determinate persone ascoltino parte del vostro traffico dati, oppure che si mettano in mezzo spacciandosi per chi non sono intercettando tutto quello che inviate.

Il problema principale è che queste tecnologie non sono quasi mai di immediata fruizione, specie per chi non ha le necessarie competenze per comprendere l'importanza e la criticità di questa problematica.

Inoltre, anche crittografando i dati, le informazioni di indirizzamento applicate ad ogni pacchetto-dati in rete (come per le cartoline: potreste scrivere un messaggio in codice che solo il vostro amico capirebbe, ma l'indirizzo lo dovete scrivere giusto!) rimangono in chiaro, e questo perchè altrimenti la rete non potrebbe funzionare, per sua struttura intrinseca. Dall'analisi di queste intestazioni di indirizzo si possono comunque ricavare moltissimi dati sulle vostre abitudini.

28Nov/068

Sicurezza password e Spam – Problemi attuali

spam cans.thumbnail Sicurezza password e Spam   Problemi attuali surfing the net informatica  vulnerabilità trojan spammer spam server security protection password mozilla manager form firefox filtering filter falla exploit e mail cross site cracking bug botnet blocking bayesian antivirus Non so voi, ma in questi giorni mi sta arrivando una quantità incredibile di mail di spam. Pare infatti che alla fine, proprio come gli agenti patogeni, gli spammer si siano adattati ai potenti filtri bayesiani e siano riusciti ad escogitare nuovi mezzi per ingannare i controlli in modo ancor più efficace rispetto a prima. Principalmente si usano immagini forgiate ad-hoc oppure testi il cui layout è appositamente studiato per essere leggibile da un uomo ma non interpretabile da una macchina. Praticamente si usano all'inverso gli stessi sistemi di protezione dallo spam come Captcha!

3Nov/063

Apple abbandona (per ora) il Trusted Computing

Una notizia destinata a fare scalpore: a quanto pare la Apple ha deciso di rimuovere il chip Trusted Platform Module (TPM) dai propri computer. Lo segnala un articolo apparso su BoingBoing. Per i non addetti ai lavori, il chip TPM è il cuore della cosiddetta tecnologia Trusted Computing (vi invito a riferirvi a questo sito per ulteriori delucidazioni), che permetterebbe in linea teorica di forzare via hardware delle politiche di autorizzazioni digitali che potrebbero far perdere all'utente il controllo finale su quello che fa sul proprio computer. Pare infatti che il nuovo modello MacPros non abbia nella motherboard il famigerato chip TPM, secondo quanto riportato da Amit Singh:

The media has been discussing "Apple's use of TPM" for a long time now. There have been numerous reports of system attackers bypassing "Apple's TPM protection" and finding "Apple's TPM keys." Nevertheless, it is important to note that Apple does not use the TPM. If you have a TPM-equipped Macintosh computer, you can use the TPM for its intended purpose, with no side effect on the normal working of Mac OS X...At the time of this writing (October 2006), the newest Apple computer models, such as the MacPro and the revised MacBook Pro, do not contain an onboard TPM. Theoretically, Apple could bring the TPM back, perhaps, if there were enough interest (after all, it is increasingly common to find TPMs in current notebook computers), but that's another story.

Questo ovviamente non significa che la Apple non intenda utilizzare queste features nel futuro prossimo. Sicuramente però il TPM è i componente chiave di tutto il discorso Trusted Computing, quindi la sua mancanza di fatto rende il PC non aderente alla specifiche del TC. La Apple sostiene che questo cambiamento di programma sia dovuto allo scarso interesse degli utenti per questa funzionalità.

Per quanto mi riguarda, direi che siamo di fronte ad una buona notizia. Tuttavia non riesco a capire come possa la Apple prendere una decisione di questo tipo, che di fatto va contro a quanto deciso dai produttori di hardware (come la Intel) riguardo all'utilizzo della tecnologia TC. Anche perchè la questione attualmente è di difficile comprensione persino per gli esperti in materia, figuriamoci per la massa di persone che costituisce il mercato economico di questi dispositivi, e che con ogni probabilità non sa nemmeno di che cosa si parla, nè di che cosa sta comprando... idee?

24Oct/0616

I pericoli del wireless selvaggio

Certo non è una novità, ma in molti casi la gente comune continua ad ignorare i pericoli derivanti da un utilizzo improprio delle tecnologie wireless. Quanti di voi hanno magari un router wireless in casa, magari ancora impostato con la strabucata crittografia WEP o addirittura impostato senza alcuna crittografia? Sapete che i dati che mandate sulla rete wireless, se non adeguatamente protetti, sono facilmente intercettabili con programmi di utilizzo comune? Siccome vedere con i propri occhi è più convincente che leggere queste strane sigle, vi segnalo il seguente filmato (in inglese, ma si capisce lo stesso cosa succede):

Why you should protect your wireless network with WPA
Creative Commons Licence
This work by Paolo Tagliaferri is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.