Non so bene come valutare l’ultimo periodo per Apple. Da una parte gli affari vanno bene (1, 2) ma dall’altra sono stati combinati diversi casini: la transizione a MobileMe; la qualità di MobileMe stesso; la questione della salute di Jobs; infine, l’attesissima patch contro l’inquinamento della cache (cache poisoning) del DNS.

Non conosco i dettagli specifici di questa versione ma, parlando in termini generali, il cache poisoning consiste nel fare in modo che, quando interroghiamo il DNS per chiedere a quale indirizzo IP corrisponde un certo nome di dominio, come ad es. refactor.it, non otteniamo in risposta l’indirizzo corretto ma un altro, consentendo in questo modo all’autore del cache poisoning di indirizzare gli ignari utenti su siti che nulla hanno a che fare con quelli veri: voi pensate di accedere al vostro conto in banca e in realtà dall’altra parte c’è già qualcuno che si frega le mani (sì, lo so che state pensando che non è poi così diverso dal banchiere ma è per rendere l’idea).

Ora, come spesso succede, questa vulnerabilità è stata scoperta molto tempo fa (circa sei mesi) e il responsabile, Dan Kaminsky, ha tenuto segreta la cosa dando così il tempo di trovare il rimedio. Come altrettanto spesso succede, la notizia è trapelata ed è scattata la corsa fra i cercatori del rimedio e i cercatori del raggiro. (3)

In tutta questa trafelata corsa nel rimettere insieme i cocci, chi è rimasto clamorosamente indietro è stata Apple, che solo ieri ha rilasciato la patch e solo per Mac OS X Server. È probabile che la causa di questa lentezza sia legata al processo di controllo qualità a cui sono sottoposti gli aggiornamenti software ma ciò non toglie che Apple non è stata in grado di reagire in modo tempestivo e questo va corretto, altrimenti il mercato enterprise rimarrà sempre in mano ad altri e per buoni motivi.

Altri link:

• “DNS Clients Have Small Vector of Risk after Patch”: un bel post sulle probabili cause del ritardo, sulla sua gravità e sui pos­sibili rimedi da uno che in Apple ci ha lavorato;
• “Opinion: Apple’s unforgivable DNS delay”: critica severa ma giusta su tutto l’affaire;
• “The DNS Vulnerability”: cito di nuovo questo articolo perché nella seconda parte offre spunti anche per una critica più radicale a tutta le questione della sicurezza.

A volte mi chiedo se tutte le varie menate sulla sicurezza di Mac OS X siano solo in attesa di una bella doccia fredda. Prendete ad esempio questo articolo: basta un AppleScript di una riga per diventare root.

Non che Mac OS X sia messo male rispetto ad altre piattaforme, tutt’altro ma la sensazione diffusa di invulnerabilità mi lascia un po’ perplesso.

Leggo che in USA ma anche in altri paesi (in Italia come siamo messi?) gli agenti di frontiera sono autorizzati a perquisire portatili, cellulari, PDA e qualsiasi altro aggeggio elettronico; nella perquisizione è consentito anche il download dell’intero disco.

Nell’articolo viene suggerito di usare una partizione nascosta (non montata) o cose del genere, ma io avrei un suggerimento più radicale (e più semplice): usare Internet. Perché portarsi in giro – e tentare di far attraversare le frontiere a – dati che pos­sono essere rubati o spiati quando pos­siamo lasciarli in un posto sicuro?

E qualcosa mi dice che i vari cattivoni cercati attraverso le perquisizioni (terroristi, pedofili e compagnia bella) ci sono già arrivati; vediamo quando ci arrivano anche le varie polizie, ammesso che invece non facciano solo scena consciamente.

Leggendo un thread su una mailing list in cui si chiedeva di un buon generatore di pas­sword, qualcuno ha consigliato 1Password, che, a giudicare dal video di pre­sentazione fa anche molto altro. In particolare, appoggiandosi al Keychain gestisce le pas­sword, gli account e i form per tutti i browser.

Mi sembra un bel prodotto! Qualcuno ha esperienze al riguardo?

PS: per i puri e duri del terminale ci sono un paio di utility disponibili via MacPorts (ma anche Fink credo le abbia):

• apg;
• pwgen;
• secpwgen.

Mentre via Dashboard si può usare Make–A–Pass.

Tempo fa avevo girato un link per il reset temporaneo della pas­sword. Su Mac OS X Hints ho visto la versione per cambiarla in modo definitivo, sempre senza usare il DVD d’installazione. Il meccanismo è molto simile.

Cory Doctorow se n’è uscito con questa metafora che trovo efficacis­sima e che sospetto si diffonderà; anche Bruce Schneier ha avuto un’intuizione simile, anche se espressa in modo meno efficace, anzi, ho appreso della cosa attreverso il suo blog.

Questo mi ricorda, ancora una volta, la potenza delle metafore.

In ogni caso credo sia una prospettiva molto utile da cui guardare il problema della gestione dei dati. Non avete anche voi la sensazione che tutti questi dati da gestire, quando lo sono, siano un problema ignoriamo? Quali pre­cauzioni prendete? E soprattutto, cancellate mai qualcosa intenzionalmente, anche quando avete il disco vuoto?

Nel caso non l’aveste sentito, Apple ha pre­sentato fra le altre cose un nuovo portatile, il MacBook Air ed è abbastanza probabile che ne abbiate già le tasche piene dei commenti pro e contro, per cui aggiungo solo un paio di info che credo siano interessanti.

La prima riguarda la batteria che, secondo la documentazione, non è sostituibile dall’utente finale. Detto che è ovviamente meglio potersi cambiare la batteria da soli, i pareri al riguardo sono discordanti ma in ogni caso la questione è probabilmente irrilevante: secondo AppleInsider la sostituzione è comunque banale.

La seconda notizia, più succosa tecnologicamente, riguarda la questione del (mancante) lettore ottico. Apple, per ovviare a questa mancanza, fornisce un programma chiamato Remote Disc per l’installazione via rete. Rete?  Ma il MacBook Air non ha nemmeno la porta Ethernet!

Questo vuol che Remote Disc è capace di fare da server NetBoot e che il MacBook Air può fare il boot via wireless, cosa che Apple stessa sconsigliava fino a ieri. La questione non è di poco conto sia per l’entità delle modifiche pre­sumibilmente richieste all’EFI e alla soluzione di “dettagli” come l’accesso a WLAN criptate, ad esempio.

Come spesso accade, la proposta di Apple non fa molti compromessi: “love it or leave it”. La mia opinione? Non è la mia macchina ideale, non ora… E voi, siete tentati?

Spesso mi cullo nell’illusione che, essendo l’Italia relativamente attardata nelle nuove tecnologie, i problemi di sicurezza siano un problema poco diffuso; e forse la cosa è vera in termini statistici. Ma questo articolo su Netcraft ci ricorda che non è assolutemente così.

Si tratta di un attacco di “Cross–site scripting” che inietta un form per dirottar i dati inseriti su un server a Taiwan, per poi ridirezionare l’utente sul sito corretto.

Da leggere con attenzione.

Via Bruce Schneier, aderisco a questa “campagna” per darsi una calmata con la questione della sicurezza e del terrorismo.

I am not afraid of terrorism, and I want you to stop being afraid on my behalf. Please start scaling back the official government war on terror. Please replace it with a smaller, more focused anti-terrorist police effort in keeping with the rule of law. Please stop overreacting. I understand that it will not be pos­sible to stop all terrorist acts. I accept that. I am not afraid.

So che la questione non riguarda tanto l’Italia – almeno per la questione del terrorismo: a noi basta la meningite – ma non è comunque una buona ragione per farsi dettare la propria scala di pre­occupazioni: rischio di più la mia vita sulla A4.

Il rilascio della versione 10.5.1 di Mac OS X contiene alcuni ritocchi al firewall. In particolare, è pos­sibile adesso è pos­sibile bloccare esplicitamente anche i processi che girano a nome di root e le modifiche agli accessi, per processi gestiti da launchd, sono immediate.