Favoriti

Stampa

  RSS

Firefox guadagna un account manager

Mozilla ha appena introdotto nel suo incubatore di nuove tecnologie, Mozilla Labs, il progetto Account Manager, il cui obiettivo è semplificare l'autenticazione dell'utente sui siti web. L'organizzazione ha preannunciato che questa tecnologia verrà introdotta in una delle future release di Firefox.

Account Manager è un add-on sperimentale per Firefox, scaricabile da qui, che automatizza il processo di creazione di nuovi account online e permette di effettuare il log-in o il log-out con un solo click del mouse. Perché ciò sia possibile, però, gli sviluppatori devono aggiungere ai propri siti alcune righe di codice necessarie per istruire il browser sul processo di identificazione dell'utente. Secondo Dan Mills, Weave Lead Engineer di Mozilla, questa modifica porta via meno di 15 minuti.

L'add-on di Mozilla lavora dietro le quinte, riconoscendo automaticamente i siti su cui l'utente ha già registrato un account e visualizzando un piccolo pop-up che, se cliccato, autentica immediatamente l'utente. Se per un certo servizio ci sono più account registrati, Account Manager permette all'utente di selezionare quello con cui desidera loggarsi in quel momento. Quando l'utente vuole disconnettersi dal servizio lo può fare sempre dell'Account Manager, senza più bisogno di andare a cercare in giro per la pagina il tasto o il link per il log-out.

Mills ha spiegato che il protocollo alla base di Account Manager è compatibile con gli altri schemi di autenticazione, quali OpenID e HTTP Auth, e potrà essere liberamente implementato in qualsiasi browser o applicazione. La speranza di Mozilla è che Account Manager diventi una tecnologia standard, abbracciata da tutti i vendor di browser e da tutti i siti web. Per accelerare la sua adozione, la Foundation conta di integrare Account Manager in Firefox "nel più breve tempo possibile".

Nel post di Mills è possibile trovare diversi link di approfondimento e un breve video che illustra il funzionamento di Account Manager.

di Redazione, 6/5/2010

---

Windows in panne? Fix it!

Microsoft ha rilasciato la beta di un nuovo tool diagnostico gratuito, che dice capace di trovare e risolvere alcuni fra i più diffusi problemi relativi a Windows. Sfruttando il nome e il logo già utilizzati per le correzioni automatizzate Fix it, Microsoft ha creato Fix it Center: uno strumento gratuito per la diagnostica e la risoluzione dei più comuni problemi relativi a Windows.



Microsoft Fix it CenterPensato soprattutto per gli utenti consumer e i piccoli uffici, Fix it Center è in grado di analizzare il software e l'hardware di un PC e, in base a questo inventario, scaricare automaticamente i relativi test diagnostici (chiamati troubleshooter). Attualmente il database di Fix it Center è in grado di rilevare oltre 300 problemi imputabili a Windows o alle sue più diffuse applicazioni e periferiche.
Per ogni problema rilevato il tool può applicare la relativa soluzione in modo automatico oppure lasciare all'utente la scelta se intervenire o meno. Le soluzioni proposte possono essere di varia natura, come il download e l'installazione di un aggiornamento, la modifica delle impostazioni di sistema o di un'applicazione specifica, o semplici istruzioni da applicare manualmente.
I troubleshooter sono raggruppati in diverse categorie, come "Internet Explorer freezes or crashes", "Playing audio", "Set up TV tuner", "Internet Connections", "Search and Indexing" e "Power". Ciascuna categoria contiene diversi controlli diagnostici, alcuni anche piuttosto banali come la verifica che il volume audio non sia a zero o che la stampante sia accesa.



Molti dei test diagnostici inclusi in Fix it Center fanno già parte di Windows 7, e grazie a questo nuovo tool vengono ora estesi anche a Windows XP e Vista. Qualunque sia la versione di Windows utilizzata, Fix it Center offre comunque il vantaggio di combinare i vari test in una singola interfaccia e di renderli accessibili anche agli utenti meno esperti.
Il programma funziona anche sotto le versioni server di Windows, dalla 2003 alla 2008 R2.
"Durante l'installazione viene creato un account personale sul portale di Fix it e qui vengono salvate, sotto il vostro controllo, tutte le informazioni relative alla configurazione hardware e software del PC" spiega in questo post Piergiorgio Malusardi, IT Pro Evangelist di Microsoft Italia. "È possibile associare allo stesso account più PC in modo da avere una visione unificata dell'insieme del proprio parco macchine".
Fix it Center può essere scaricato dall'omonimo sito di Microsoft in versione beta e, al momento, nella sola lingua inglese.

di Redazione, 20/4/2010 [VIA]

---

Firefox abbandona Windows Mobile

Sospeso il progetto per portare la versione mobile di Firefox su Windows Mobile e Windows Phone.
Stuart Parmenter, capo del settore mobile per Mozilla, ha annunciato la sospensione a tempo indeterminato del progetto Firefox Mobile per le piattaforme Microsoft Windows Mobile e Windows Phone. La decisione è stata presa per via delle incertezze riguardati la possibilità di sviluppare browser alternativi per la nascente piattaforma Phone.

Il limite principale che impedisce lo sviluppo di Firefox Mobile per Windows Phone è la decisione di Microsoft di non supportare applicazioni nativa ma solo programmi basati sull'ambiente runtime Silverlight. Questa soluzione risulterebbe eccessivamente penalizzante quanto a prestazioni e flessibilità.

Parmenter ha aggiunto che, in attesa che Microsoft chiarisca le sue politiche, Mozilla concentrerà i suoi sforzi sulla piattaforma Maemo (per la quale è già disponibile Firefox Mobile 1.0) ed Android (per il quale lo sviluppo non è ancora arrivato allo stato di alpha).

di Redazione, 26/3/2010 [VIA]

Google ha lanciato una nuova applicazione per terminali con S.O. Android denominata Gesture Search.

Google Gesture Search, che tradotto in italiano significa: Google ricerca gestuale, permette a coloro che utilizzano il sistema operativo creato dalla stessa Google, Android, ma soltanto dalla versione 2.0 in poi, di trovare con facilità le informazioni archiviate nel terminale mobile, come, per esempio, contatti, applicazioni, canzoni, video, con la semplice scritra della lettera dell'alfabeto corrispondente, oppure figure connesse.

Un esemio

Per esempio, se desideriamo trovare quanto abbiamo conservato di Nadia, basterà disegnare la lettera N come nella foto e l'applicativo Gesture Search farà apparire a video l'elenco  degli elementi multimediali che hanno, in comune, la caratteristica di avere il nome che inizia per la lettera N.

Per scaricare l’applicazione Gesture Search sul proprio telefonino Android, è sufficiente accedere all’Android Market. Facciamo notare che, al momento, l’add-on è stato rilasciato soltanto per la lingua d'Albione, l'inglese.

di Redazione, 8/3/2010

Toshiba e Keio University: 1TB in uno spazio di un francobollo

La Keio University di Tokio, assieme a Toshiba, annuncia il risultato di un progetto di ricerca e sviluppo che permetterà in un futuro nemmeno troppo lontano di realizzare soluzioni SSD fino ad 1TB di capienza, dall'impronta confrontabile a quella di un francobollo.

Nello specifico Toshiba e la Keio University hanno saputo concentrare 128 chip NAND flash ed un controller in un particolare form factor, organizzato a strati, ottenendo un dispositivo pientamente operativo e con un transfer rate di 250MB al secondo.

Secondo le informazioni disponibili vi sarebbero ulteriori punti di forza: il dispositivo realizzato avrebbe infatti dimostrato un efficienza energetica maggiore del 70% rispetto ad un tradizionale SSD, e risulterebbe inoltre molto più economico da produrre.

Le due realtà affermano che il prototipo realizzato e in condizioni tali da consentire una produzione commerciale nel giro dei prossimi due anni: Toshiba e la Keio University hanno indicato il 2012 come l'anno di possibile immissione sul mercato di prodotti basati su tale tecnologia.

di Redazione, 13/2/2010

L'impronta digitale del nostro browser

Grazie a due strumenti online è possibile tracciare la firma digitale del nostro browser e scoprire molte delle sue caratteristiche non scontate.

Eff Panopticlic è uno strumento online messo gratuitamente a disposizione dall'Electronic Frontier Foundation per capire quali tracce personalizzate si lasciano navigando sul cyberspazio.

Molte delle informazioni sono rese grazie alla disponibilità della nota piattaforma BrowserSpy.dk in grado di velare con pochi click la velocità del nostro browser, il suo indirizzo Ip e moltissime altre informazioni sulle sue caratteristiche e funzionalità.

di Redazione, 12/02/2010

Introduzione

Abbiamo avuto il piacere di parlare con Joanna Rutkowska, una protagonista indiscussa nel settore della sicurezza digitale, fondatrice e amministratrice di Invisible Things Lab (ITL), una società di consulenza e di ricerca di alto profilo.

TH: Grazie per aver trovato un po' di tempo per parlare con noi, Joanna. Cominciamo dagli elementi fondamentali: sei riuscita a costruirti un ruolo importante nel mondo della sicurezza, grazie alla tua esperienza sugli attacchi invisibili, come i rootkit, e più recentemente scoprendo delle vulnerabilità su macchine virtuali e a livello hardware. Prima di entrare in questi dettagli, ci racconti qualcosa di più su di te?



Joanna: Sono una ricercatrice che si occupa di sicurezza a livello di sistema, come nel kernel, nell'hypervisor, nel chipset, e così via. Ricercatrice, non cacciatrice di bug o tester. Sono più interessata ai problemi fondamentali piuttosto che a bug specifici che creano problemi a software specifici. Per esempio, può il sistema operativo offrire una qualche sicurezza, anche se un'applicazione, come per esempio Adobe Reader o IE, è  compromessa? Io credo nella "sicurezza tramite isolamento". Ho pensato anche agli affari, e fondato Invisible Things Lab (ITL), una società di ricerca e consulenza. Sono molto orgogliosa della squadra che sono riuscita a creare in azienza, che include Alexander Tereshkin e Rafal Wojtczuk, due dei migliori ricercatori nel campo della sicurezza dei sistemi. Recentemente mi sono sempre più allontanata dal ruolo di "debugger", per avvicinarmi ad uno di più alto profilo, necessario per gestire il lavoro della squadra. Mi piace, in effetti, fare il dirigente.
TH: Essere il capo è una buona cosa, ma come hai cominciato a occuparti di ricerca?
Joanna: È passato così tanto tempo che nemmeno me lo ricordo!
TH: Proviamo con una domanda più facile. Qual era il tuo primo computer, e qual è il tuo primo ricordo sul tema della programmazione.
Joanna: Era un PC/AT 286, con l'incredibile velocità di 16 MHz, se ricordo bene, e aveva anche 2 MB di RAM (ma credo che fosse dopo un aggiornamento della scheda madre). Avevo undici anni quando ho cominciato a giocarci, e quasi immediatamente sono partita con GW-BASIC, e dopo un anno o giù di lì sono passata al Borland Turbo Basic, che era davvero fantastico, con una bellissima interfaccia grafica e la possibilità di creare davvero degli eseguibili. TH: Com'è la settimana tipo nei vostri uffici?
Joanna: Siamo orgogliosi di essere un'azienda moderna, e non abbiamo uffici fisici. Ognuno lavora da casa sua, e ci scambiamo i materiali con mail protette da crittografia. Non esiste niente di simile ad un orario predefinito, tipo 09.00-05.00. Il nostro lavoro richiede molta creatività, e sarebbe stupido forzare qualcuno ad un orario. Per me, personalmente, è particolarmente importante fare un pisolino al pomeriggio. Non sono efficiente se non ho dormito a sufficienza. Non ho mai lavorato in un ufficio.
TH: Beh, allora puoi dirci come il vostro cliente tipico?
Joanna: I nostri servizi sono pensati per chi vende i sistemi.
TH: Quindi per esempio i produttori di BIOS e le aziende alla ricerche di ambienti sicuri?
Joanna: Io enfatizzerei la parola "venditore" in questo caso, perché noi siamo molto interessati nella possibilità di cambiare la tecnologia. Secondo me l'evoluzione naturale della ricerca è offrire critiche costruttive e proposte di cambiamento, per migliorare le tecnologie che abbiamo a disposizione oggi.  Quindi vorrei lavorare sia con i venditori di hardware (CPU/Chipset) che con il software (BIOS/OS), proprio perché alcune delle migliori nuove tecnologie funzionano al meglio solo se abbinate a software sviluppato appositamente.
TH: Qual è la configurazione del tuo sistema principale?
Joanna: Il mio desktop principale è un Mac Pro a otto-core (2 Intel Xeon a 2,8 GHz) con 16 GB di RAM e un bellissimo schermo Apple da 30". È la macchina più bella che ho mai avuto, sia per quanto riguarda l'estetica che l'esperienza della GUI. Uso anche un MacBook un po' più datato (Santa Rosa, Core 2 Duo a 2,2 GHz, 4 GB di RAM) come macchina per usi generali. Ho rinviato l'acquisto di un MacBook unibody per aspettare il supporto a più di 4GB di RAM (almeno per la versione da 15", che preferisco). L'hardware Mac, in ogni caso, ha ancora dei punti deboli importanti: la mancanza di TPM, TXT, VT-d e il sistema OS X. Cerco di aggirare i limiti con la virtualizzazione, quando è possibile. Uso anche alcuni PC, sia portatili che desktop, e devo dire che continua a sorprendermi constatare quanto sono brutti, accanto ai Mac. Una delle poche eccezioni è il Voodoo Envy 133, e spero che lo aggiornino presto con un nuovo chipset, perché potrebbe davvero diventare un acquisto interessante.
TH: Ultima domanda introduttiva. Qual è il tuo hobby non tecnologico favorito?
Joanna: Un passatempo non tech? Hmm, immagino che non conti programmare un robot a sei gambe autonomo basato su due micro controller AVR a 8-bit.

Storia sintetica del malware

TH: La maggior parte delle tue ricerche si concentra sugli aspetti più estremi e delicati allo stesso tempo della sicurezza informatica. Vorremo offrire ai nostri utenti una breve introduzione storica, con il tuo aiuto. All'inizio i virus erano semplici parassiti che colpivano file eseguibili …
Joanna: Qui potrei protestare sul termine "semplici". Alcuni di quei file, infatti, erano decisamente molto complessi, come quelli basati sul motore Mistfall, creato da Z0mbie.
TH: Pensiamo all'epoca precedente a DarkAvenger/MtE. A cose come Friday the 13th/Jerusalem. Pensando a quel codice, i virus per il settore di avvio erano probabilmente il primo salto evolutivo del malware, seguito poi dalla generazione MtE. Probabilmente quello era il momento di riconoscere che la sicurezza "signature based" aveva delle limitazioni. Il salto generazionale successivo dovrebbe essere qualcosa come i virus Macro. Non tanto perché rifletteva la sicurezza multi-piattaforma, che già era un'idea nuova, ma perché rifletteva l'evoluzione del malware e un nuovo modo di vederlo. S'introduceva un nuovo modo di diffondere il malware, che sfruttava la nuova diffusione di massa dei computer e la condivisione dei documenti, un'attività sempre più comune. Più importante ancora, tuttavia, era il dogma secondo il quale i file di dati non potevano infettare un sistema, ma c'erano prove che invece era possibile. Si sentono, ancora oggi, affermazioni come "fino a che non apri gli allegati nella posta, sei al sicuro", oppure "se ha tutti gli aggiornamenti e le patch, sei al sicuro", o persino "se usi un Mac, sei al sicuro". Una delle nostre frasi preferite è "Non fatevi ingabbiare da un dogma, perché è come pensare con la testa degli altri", che ha detto una volta Steve Jobs. Non sappiamo dove collocare altri punti fondamentali dell'evoluzione del malware. La capacità d'integrazione del codice di ZMist è probabilmente un salto generazionale, ma non è certo "l'inizio". Tornando alla nostra storia, quando si eseguiva un file infetto, il virus restava nella memoria, e collocava una copia di sé stesso nel programma successivo che veniva eseguito. Se non si eseguiva mai il file pericoloso, il sistema non si sarebbe mai infettato. Per fare un nuovo passo avanti, serviva il virus per il settore di avvio, che sfruttava l'avvio del PC per caricare il virus ancora prima del sistema operativo, rendendo possibile la manipolazione di ogni tipo di dati. Questa tecnica era uno dei primi metodi "invisibili" per infettare i computer.
Joanna: Non è del tutto corretto. Ai tempi del DOS non c'era nessuna nozione di protezione della memoria, quindi non c'era bisogno di caricare il virus prima del sistema operativo per controllare quest'ultimo. Era possibile controllare il SO anche con un caricamento posteriore.
TH: Certo, ma se si ha un antivirus installato e attivo permanentemente, caricare il virus dopo l'antivirus lo renderebbe visibile. L'approccio da settore boot permette di prendere il controllo del sistema prima che intervengano i sistemi di protezione, giusto?
Joanna: Giusto.
TH: Bene, andiamo avanti allora. Windows ME e altri sistemi operativi basati su DOS contavano sulle capacità del BIOS per gestire l'accesso al disco, ma Windows NT ha cambiato questa consuetudine.
Joanna: Non bisogna confondere il DOS con Windows 95/98/ME. I sistemi Windows avevano una modalità protetta, e c'era la nozione di protezione della memoria. Sono anche piuttosto sicura del fatto che i sistemi Win95 non usassero i BIOS interrupt, ma piuttosto drivers per gestire PIO/MMIO, come i sistemi moderni.
TH: Credevamo che, una volta avviato Windows NT, la modalità protetta e i driver relativi potessero saltare il BIOS, fermo restando che un virus sul settore di avvio potrebbe comunque fare dei danni, come formattare il disco rigido prima dell'avvio di Windows. Con questa protezione, anche con un BIOS compromesso da un virus per il settore boot, la modalità protetta assume un'importanza maggiore e permette di superare i pericoli del BIOS?
Joanna: Non esattamente. È stato dimostrato diverse volte (per esempio dal BootRoot di Eeye) che è possibile per un malware avviato dal settore di avvio di superare le protezione del sistema operativo, e colpire l'avvio di Windows.
TH: Forse dovremmo rivedere il testo finale, e pubblicare qualcosa nel quale sembriamo più competenti. Contiamo sulla tua confidenzialità, per questo?
Joanna: Potete contarci.
TH:La maggior parte dei nostri contenuti sono prodotti all'interno della nostra redazione, ma interviste come questa ci permettono di esplorare aspetti del mondo tecnologico che altrimenti resterebbero marginali, e di imparare sempre cose nuove. Passiamo quindi velocemente ai giorni nostri: i rootkit oggi si considerano all'ordine del giorno, e sono un tipo di programma per permette di attivare funzioni a livello amministrativo. Un rookit a livello utente, invece, influenza un singolo programma, come per esempio Internet Explorer o Flash, e un'antivirus è in grado di riconoscerlo e fermarlo.
Joanna: Più precisamente, i rootkit utente sono malware che operano in Ring 3 (modalità utente). Non è limitato ad una singola applicazione, e in molti casi potrebbe colpire tutti i processi utente, come faceva il famoso Hacker Defender, e anche i processi di sistema. Un processo di sistema infatti può essere, ed è in molti casi, un processo utente, ed è quindi più vulnerabile.

BluePill, la pillola blu



TH: Il rootkit di "livello kernel" è quello che riceve più attenzioni dai media. Questo tipo di malware compromette direttamente il kernel del sistema operativo e, visto che non c'è nulla con un accesso più alto, non c'è modo di "guardare giù" e cercare il virus. Con un rootkit per kernel, quindi, un antivirus può facilmente essere eluso senza che nessuno se ne accorga.
Joanna: Esatto, il vantaggio dei rootkit a livello kernel, rispetto a quelli a livello utente, è diventato palese dopo che i vari antivirus hanno cominciato ad introdurre moduli che agisicono a livello kernel, che permettono le cosidette funzioni antirootkit. Avere due elementi (un rootkit e un antivirus) con gli stessi privilegi (livello 0) non implica che entrambi vincano, a lungo termine. In effetti, la verità è che c'è sempre un pareggio, a lungo termine: per il malware è sufficiente sopravvivere qualche settimana, o anche solo qualche giorno, per
raggiungere i suoi obiettivi.
TH: Si credeva che il rootkit per kernel fosse il metodo di attacco con il maggior potenziale di invisibilità e danneggiamenti …
Joanna: No, non lo è mai stato. Sin dai primi tempi in cui questi rootkit sono comparsi gli utenti hanno trovato risposte adeguate, vale a dire programmi in grado d'identificare i malware conosciuti.
Alan: Con un rootkit per kernel, è come tornare all'epoca del DOS. Puoi trovare un anti-rootkit fantastico, ma poi può saltare fuori un rootkit migliore, in versione n+1, capace di vincere lo scontro, e la cosa potrebbe andare avanti all'infinito. Un sistema operativo ben progettato, invece, obbliga i cattivi ad agire a livello utente, e l'amministratore può giocare il ruolo della guardia, a livello kernel. Così si ha sempre il coltello dalla parte del manico, di fronte al software pericoloso, e l'unico modo per andare oltre, e sfruttare un qualche bug per arrivare al Ring 0.
TH: Quindi il punto è avere un livello di accesso che sia almeno un livello superiore rispetto all'avversario. Più piccolo è il numero, più forti siamo. A questo punto ci puoi parlare degli exploit "Ring -1", e della tua "pillola blu"?
Joanna: Ring -1 è un nome informale, coniato quando AMD e Intel introdussero la virtualizzazione a livello di CPU, circa tre anni fa. Quelle nuove tecnologie introdussero un nuova modalità operativa, chiamata "root mode" o anche "host", in base al produttore. A livello informale, questa novità è stata chiamata "Ring -1", per sottolineare il fatto che l'hypervisor ha più privilegi del kernel del sistema operativo, tradizionalmente a livello Ring 0. Ho scritto BluPill nel 2006 per dimostrare come la tecnologia di virtualizzazione a livello hardware può offrire un'occasione per creare malware molto sofisticato: è possibile creare un hypervisor invisibile e, senza grossi ostacoli, spostare il sistema operativo principale in una macchina virtuale, controllate dall'hypervisor maligno. Supponiamo di avere un software per controllare l'integrità del sistema, capace di verificare l'integrità del codice del kernel, strutture di dati e puntatori di funzioni, per controllare se uno di questi elementi è stato compromesso. Anche uno scanner così, del tutto ideale, non sarebbe capace di individuare malware come BluPill. Questo perché, a differenza dei rootkit kernel precedenti, BluPill non tocca nulla del kernel o dei dati. Quello che fa è installarsi sopra al kernel, senza bisogno di fare modifiche. Un altro elemento unico di BluePill, che lo rende davvero unico nel suo genere, è che supporta la virtualizzazione "a nido" (nested). Si può caricare BluePill e poi, dentro alla macchina virtuale creata, avviare un normale hypervisor, come Xen o Virtual PC. Potete persino caricare diverse istanze di BluePill una dentro all'altra. In effetti, sono piuttosto orgogliosa dei risultati che ho ottenuto.In molti hanno cercato di dimostrare che BluePill è individuabile, con diversi software scritti apposta. Il principio generale era che bastasse individuare un processo di virtualizzazione per poter dire di trovarsi dentro a BluePill.Qualche hanno fa, in effetti, si poteva fare un'affermazione simile perché non c'erano altri prodotti che usassero la virtualizzazione a livello hardware. Chiaramente, però, se diamo retta a questa impostazione potremmo anche dire che se un eseguibile attiva o usa connessioni di rete, allora deve essere per forza l'elemento di una botnet.
TH: Proviamo a chiarire: se io sto usando una macchina virtuale legittima e ho accesso a tutti gli strumenti del caso, mi stai dicendo che non ho modo di sapere che il gestore della macchina virtuale, l'hypervisor, è stato compromesso da BluePill? Posso usare lo strumento per individuare la virtualizzazione, ma mi dirà solo quello che già so, cioè che è attiva un macchina virtuale?
Joanna: sì, individuare la virtualizzazione e capire se una macchina virtuale è compromessa sono due cose diverse.



TH: Quindi l'unica ragione per cui le strategie di individuazione funzionano  è il fatto che, in teoria, nel mio sistema non ci dovrebbero essere macchine virtuali attive, quindi se ne viene rilevata una, posso supporre che ci sia un problema, giusto?
Joanna: In teoria puoi investire del tempo per creare le istruzioni necessarie per le misurazioni anche in caso siano presenti macchine virtuali a nido, per scoprire se ce n'è una che non dovrebbe esserci. Lo abbiamo mostrato al Black Hat l'anno scorso, aggiungendo BluePill all'hypervisor Xen. Ma è un approccio molto rischioso e complesso, che dipende molto dall'implementazione dell'hypervisor (quello legittimo). Bisogna esserne ben consapevoli di tutti i parametri per riuscire a "separare i segnali dal rumore", e trovare quello che stiamo cercando. Credo che un approccio simile per risolvere il problema del malware simile a BluePill, anche se si presta bene alla speculazione, sarebbe un vicolo cieco. Non credo che vedremo circolare malware come BluePill nei prossimi tempi, ma solo perché il malware "vecchio stile", che colpisce a livello kernel funziona ancora alla grande. L'industria degli antivirus è un disastro per quanto riguarda l'individuazione e le prevenzione contro questo tipo di minaccia. Quindi chi sviluppa malware ha pochi incentivi a fare un nuovo passo evolutivo verso tecnologie più complesse. Naturalmente noi ricercatori non aspettiamo che i cattivi facciano la prossima possa, e stiamo già pensando a come evitare che questo malware, ancora potenziale, possa arrivare a diffondersi. Una possibile soluzione è la tecnologia Intel TXT (Trusted Execution), anche se in verità siamo già riusciti ad aggirarla qualche mese fa, in occasione del Black Hat DC. 

Superare le protezioni hardware

TH: Con "red pill", invece, hai mostrato come sia possibile capire se un'applicazione sta girando dentro a "The Matrix", cioè l'ambiente virtualizzato nascosto di BluePill. Nella tua dimostrazione, sembra che basti usare l'istruzione SIDT per esaminare i dati IDTR.
Joanna: C'è una differenza tra individuare una virtualizzazione qualsiasi rispetto ad uno specifico hypervisor, come BluePill. RedPill cerca virtualizzazioni basate sul sofware, e infatti usavamo prodotti VMWare, prima che AMD e Intel introducessero le loro tecnologie, nel 2006. La prima versione di RedPill risale al 2004, e non era in grado d'individuare la virtualizzazione a livello hardware. Altri ricercatori hanno presentato strumenti capaci, a volte, d'individuare la virtualizzazione a livello hardware, nel 2006 e nel 2007, dopo la mia prima presentazione di BluePill al Black Hat (nel 2006).
TH: Quattro anni e mezzo dopo, quindi, abbiamo al possibilità di identificare le macchine virtuali, grazie a strumenti avanzati, ma il concetto resta lo stesso.
Joanna: Sì, questo accade perché anche se praticamente ogni macchina in commercio oggi supporta VT-x alcuni prodotti usano ancora la virtualizzazione software. Credo che VMWare Workstation la usi ancora con i sistemi a 32-bit. I nuovi identificatori di virtualizzazione, la prossima generazione di RedPill, possono riconoscere la virtualizzazione VT-x o AMD, ma in genere sono "timing based" o "caching based".
TH: Se sei nella squadra dei buoni, probabilmente ti preoccupa il malware con accesso di livello Ring -1. Identificare la presenza di una macchina virtuale, quindi, può essere un aiuto importante. Se non ci dovrebbero essere macchine virtuali attive, dopotutto, trovarne una è un ottimo campanello di allarme.
Joanna: Certo, ma non dimentichiamo che la virtualizzazione sta diventando un fenomeno di massa, usata persino su sistemi desktop Xen Client Initiative (conosciuto anche come Project Independence) o Phoenix  HyperCore.

 


TH: Detto questo, se fossi uno dei cattivi, potresti alterare i risultati per mantenere nascosto il malware? Se l'antivirus vedesse un'applicazione che richiede l'IDT e la successiva linea di codice è "il risultato comincia con 0xc0 o 0x80", altererebbe i risultati. Come ci possiamo proteggere da questo tipo di attacco?
Joanna: Non si può. Questi attacchi però partono dal presupposto che l'attaccante conosca il codice del programma usato per l'individuazione. In altre parole, dovrebbe avere un database con tutti i possibili codici d'identificazione, e conoscere quali frammenti di codice dovrebbero essere ingannati, così da far credere all'applicazione che non ci sia virtualizzazione. Questi sono attacchi specifici per certe implementazioni, ma si adattano male ad un uso generale. Il loro uso non è necessariamente legato alla virtualizzazione invisibile, quanto piuttosto alla disabilitazione di popolari programmi antivirus. Dal punto di vista dai buoni, purtroppo, non c'è modo di prevenire attacchi del genere se si lavora con privilegi uguali o minori a quelli usati dal malware. Ecco perché gli antivirus stanno perdendo la battaglia con i rootkit a livello kernel, che spesso sono in grado di disabilitare la modalità kernel dell'antivirus, almeno per i prodotti più conosciuti, proprio perché sono famosi, e facili da analizzare e neutralizzare. Quando c'è una nuova versione di un antivirus anche tutto il malware deve essere aggiornato, naturalmente, e quindi si tratta di una corsa senza fine, dove i criminali si divertono e si arricchiscono, così come i produttori di antivirus. L'obiettivo, proteggere gli utenti, non è però mai raggiunto veramente.

Superare le protezioni hardware, continua

TH: E c'è chi si arricchisce su entrambi i fronti, proprio come i mercanti d'armi. Alcuni malware attuali sono progettati per fermare tutte le azioni sospette se si trovano dentro a una macchina virtuale. In questo modo l'autore del codice cerca di evitare che i ricercatori come te possano individuare il malware e le sue caratteristiche, o almeno tentano di renderlo un lavoro più difficile. Il malware cerca di sfruttare la IDT (Integrated Device Technology) nella memoria di alto livello, dove possiamo trovare anche i sistemi operativi. D'altra parte, però, l'autore del malware non ha modo, con questo metodo, di sapere se ha colpito un utente inconsapevole che sta sfruttando queste tecnologie (che però sarebbe quantomeno insolito), oppure un abile ricercatore che gli ha teso una trappola.
Joanna: Gli autori di malware capirebbero rapidamente che non vale più la pena di evitare i sistemi virtualizzati, e ci ritroveremmo al punto in cui siamo oggi.
TH: Al momento tu però sei un passo avanti, perché il malware non può nascondersi dentro ad una VM. In un certo senso, la tua proposta riduce il tempo necessario a trovare le soluzioni, giusto?
Joanna: Come dicevo prima, questo modo di pensare è un po' ingenuo. In verità questo approccio non offre protezione a lungo termine.
TH: Ok, la tua squadra però non si è fermata al livello Ring -1. Cosa succede a Ring -2?
Joanna: In effetti il malware a livello Ring -1 è del 2006! Ogni CPU x86 ha un cosa chiamata System Management Mode (SMM), che in sé non è nulla di nuovo, visto che è stata presentata con i processori 80386.  Ciò che lo rende interessante, oggi, è che quando fu aggiunta la virtualizzazione ai processori, è emerso che il sistema SMM aveva privilegi maggiori di quelli introdotti con la virtualizzazione, cioè Ring -1, dati all'hypervisor. S'introdusse quindi il concetto di livello Ring-2, per enfatizzare la loro maggiore potenza, rispetto a Ring-1. Il nostro gruppo, in ogni caso, non è stato il primo a sfruttare la SMM. Nel 2006, infatti, Loic Duflot presentò un attacco contro OpenBSD che usava la modalità SMM, sfruttandola come strumento, non come obiettivo. All'epoca, in effetti, era normale che la SMM non fosse protetta in alcun modo sulla maggior parte dei sistemi, quindi se si aveva un accesso di root (kernel mode), era possibile iniettare codice liberamente ed eseguirlo con i privilegi, altissimi, della SMM. Per fortuna, tuttavia, c'èra comunque bisogno di privilegi di root per sfruttare questo meccanismo. Poi i produttori hanno cominciato a proteggere la SMM. C'è una parte della DRMA usata per ospitare il codice eseguito in SMM, chiamata SMRAM, alla quale sono state applicate speciali protezioni tramite il chipset (tramite il Memory Controller Hub, per essere precisi). Sulla maggior parte dei sistemi moderni, quindi, non è facile eseguire del codice con privilegi SMM. Bisogna trovare un bug nel chipset o nel BIOS per farlo (anche con accesso kernel). All'ultimo Black Hat di Las Vegas Sherri Sparks e Shawn Embleton hanno presentato un rootkit SMM, ed era chiaro che il rootkit poteva essere caricato solo su sistemi vecchi, precedenti al 2006.  Nei giorni successivi, curiosamente, vedemmo diverse comunicazioni inerenti ad attacchi a Xen, e parlammo di un bug nei BIOS di Intel che permetteva l'esecuzione di codice arbitrario in modalità SMM. Credo che sia stato il primo bug di questo tipo di cui si è parlato pubblicamente; da allora abbiamo trovato altri modi di aggirare la protezione della SMM su molti sistemi. Alla fine del 2008, per esempio, abbiamo scoperto che molti sistemi Intel (e potenzialmente anche altri BIOS) erano vulnerabili, e abbiamo usato la falla per aggirare la Intel TXT al Black Hat DC di febbraio. Questo bug non è ancora stato risolto, e non è l'unico. Ne abbiamo trovato un altro nella semantica di caching usata dalle CPU Intel, confermato anche da Loic Duflot, con cui ci siamo accordati per la pubblicazione contemporanea della documentazione relativa.In conclusione, i rootkit SMM (o rootking Ring -2) hanno bisogno di un accesso alla memoria SMM, che è molto ben protetta sui sistemi moderni, quindi un attaccante dovrebbe trovare e usare exploit davvero molto complessi, anche per i più bravi di noi.
TH: Questi attacchi SMM sono legati ad hardware specifico?
Joanna: In generale sono limitati a certe versioni di certi BIOS, o famiglie di BIOS, e anche a famiglie di chipset.

Il malware può flashare il BIOS?



TH: Un programma maligno potrebbe aggiornare (flashare) il BIOS?
Joanna: No! C'è stata molta confusione negli ultimi mesi. Alcuni credono che gli attacchi SMM siano automaticamente in grado di aggiornare il BIOS, ma non è vero. C'è stata una presentazione, non molto fortunata in verità, all'ultimo CanSecWest, fatta da due ricercatori di Core, su "Infezioni resistenti del BIOS". Ho visto le loro diapositive, e facevano sembrare che avessero trovato un modo di aggiornare il BIOS, e che non ci fossero protezioni possibili contro questo attacco. Nulla di più lontano dalla verità. Per cominciare hanno scelto di colpire BIOS di fascia bassa: un Award BIOS e anche un BIOS VMWare (che di per sé non conta molto, visto che non è un vero BIOS). Questi due BIOS non richiedevano che gli aggiornamenti includessero la firma digitale del produttore, quindi non era particolarmente difficile aggiungerci del codice nona autorizzato. La maggior parte dei BIOS moderni, invece, accetta solo firmware certificati come aggiornamenti, ed è una cosa che succede da anni, che non ha nulla a che fare con la TPM o altre tecnologie Trusted Computing.Questa situazione non è molto buona per noi, perché al prossimo Black Hat Rafal e Alex presenteranno dei veri attacchi che aggiornano il BIOS, che includono l'aggiramento della protezione dei BIOS Intel. È una cosa molto complicata, e il vero exploit è davvero un capolavoro. Dubito, però, che il malware potrebbe cominciare a sfruttare attacchi simili, che sono semplicemente troppo complessi, e devono essere adattati ad ogni BIOS. Dal punto di vista della ricerca, però, si tratta di un passo avanti molto importante, con un potenziale impatto enorme, che potrebbe diventare praticamente permanente, su una macchina infetta.



TH: Non vediamo l'ora. Parlaci degli attacchi Ring -3.
Joanna: È una cosa del tutto nuova, e molto complicata. Potrebbe dare ancora più potenzialità ai rootkit SMM. Com'è possibile ottenere privilegi ancora maggiori rispetto a quelli della SMM? Purtroppo non posso dirvi molto ora, se non che siamo in contatto con Intel riguardo la vulnerabilità che abbiamo trovato, e che loro sono già al lavoro su una patch che dovrebbe essere disponibile a breve.
TH: Cosa puoi dirci dell'HyperCore?
Joanna: HyperCore è un hypervisor leggero per i portatili sviluppato da Phoenix Technologies. Siamo stati assunti da Phoenix per fare ricerche su diverse tecnologie che potrebbero, potenzialmente, servire a rendere più sicuro questo prodotto. Non posso parlare liberamente di questa ricerca, come d'abitudine in questo settore.
TH: Gran parte delle tue ricerche, fino ad ora, consistono nell'avvicinarsi sempre di più alla CPU. Cosa ci dici dell'approccio contrario, cioè avvicinarsi all'utente. Se fosse possibile, per esempio, impossessarsi della memoria della GPU, sarebbe possibile visualizzare una falsa richiesta di password e spingere l'utente ad inserire dati sensibili. Oppure si potrebbe entrare nel controller USB, e usare per registrare ciò che viene digitato sulla tastiera. Cosa ne pensi?
Joanna: Credete che avvicinarsi alla CPU significhi allontanarsi dall'utente? Davvero? La CPU è il centro del sistema, ogni utente la usa, ogni programma, tutti i dati passano da lì. È l'elemento del sistema più vicino all'utente che si possa immaginare. È nella CPU che i dati vengono decodificati, se protetti da crittografia, e sono eseguite tutte le azioni.
TH: Non è insolito pensare che la GPU sia "più vicina all'utente", se si pensa alla grafica 3D, al GPGPU, e ai tanti utenti che hanno l'hobby del fotoritocco. È un po' come dire "occhio non vede cuore non duole".
Joanna: Consideriamo la possibilità di sfruttare la memoria della GPU: non sarebbe una soluzione molto pratica per chi scrive malware, perché le password sono visualizzate come asterischi, ed è questo che vede la GPU!




Strategie di difesa

TH: A meno che non si stia usando un iPhone, con cui le password non sono coperte da asterisichi. Scusa l'interruzione …
Joanna: Sfruttare la tastiera o il controller USB, invece, sarebbe una strategia valida, ma funzionerebbe solo in scenari molto semplici, come quelli rappresentati da siti bancari che usano pratiche di sicurezza scadenti. Un attacco migliore, dal punto di vista del malware, sarebbe colpire semplicemente il browser; il difetto principale di questo approccio, invece, starebbe nel fatto che un antivirus con privilegi kernel potrebbe individuarlo, almeno in teoria, perché in realtà fanno tutti pena. Un altro problema di questo approccio potrebbe essere un utente un po' più attento della media, che usa browser diversi per le sue attività quotidiane, e magari li tiene dentro a una macchina virtuale, e uno dedicato per l'online banking. In questi casi non sarebbe facile colpire il browser che usa per accedere alla banca, e ci vorrebbe un po' di lavoro aggiuntivo. La ragione per la quale ci concentriamo su attacchi di basso livello basati sull'hardware è che siamo convinti che un sistema sicuro deve essere costruito su fondamenta solide, altrimenti le pratiche di sicurezza non avrebbero senso. Questo è specialmente vero se si crede, come me, all'approccio "Sicurezza tramite l'isolamento". (Potete leggere un post specifico di Joanna qui: http://theinvisiblethings.blogspot.com/2008/09/three-approaches-to-computer-security.html)
TH: Ma perché concentrarsi su un solo approccio. Un sviluppatore non dovrebbe lavorare sul principio di "Sicuro per progettazione ", e poi declinarlo in quello di "Sicurezza per isolamento".
Joanna: Certo, ma dovremmo progettare i nostri sistemi a partire dall'idea che ogni applicazione può avere dei bug, e il SO dovrebbe essere in grado di proteggere le altre applicazioni da quelle malfunzionanti o malevole.
TH: Puoi darci qualche consiglio pratico? La maggior parte delle tue ricerche riguarda aspetti estremi della sicurezza, e attacchi molto sofisticati, e la maggior parte del malware in circolazione nemmeno si avvicina a certi livelli. Cosa consigli ai nostri lettori per rendere più sicuri i propri sistemi.
Joanna: Si tratta di una domanda molto generica, ed è difficile dare un'unica risposta che soddisfi tutti i bisogni.



TH: Che cosa fai per i tuoi sistemi di uso quotidiano?
Joanna: Come dicevo, credo nell'approccio dell'isolamento. Il problema è che tutti i sistemi operativi più popolari, Windows, Mac OS e Linux, non offrono un isolamento accettabile per le applicazioni. Questa situazione è la conseguenza di kernel monolitici pieni zeppi di driver di terze parti che hanno gli stessi privilegi del kernel. Come risultato, è relativamente facile, per un'applicazione malware, introdursi nel kernel e aggirare tutte le impostazioni di sicurezza del sistema operativo. Cerco quindi di migliorare questo debole isolamento con la virtualizzazione. Uso diverse macchine virtuali per eseguire diversi tipi di browser, che uso per diverse attività. Così mi ritrovo con una VM "Rossa" per la navigazione quotidiana, cioè le attività poco sensibili, come la lettura di notizie, le ricerche, etc., una"Gialla" per cose di media criticità, come lo shopping, l'aggiornamento del blog, e simili, e infine una VM "Verde" per le cose delicate, cioè l'accesso al conto bancario. Non m'importa molto dei rischi che ha la VM "rossa", e infatti la ripristino ogni settimana. Curo un po' di più quella gialla, per esempio disattivando gli script nel browser, fatta eccezione per alcuni siti che m'interessano davvero. Qualcuno potrebbe usare un strategia "man-in-the-middle" (MITM) su una connessione HTPP inserita tra quelle permesse, e iniettare del codice pericoloso, ma, trattandosi della macchina "gialla" me lo posso permettere. La macchina "verde", invece, ammette solo connessioni sicure HTTPS da e verso il sito della banca. È molto importante assicurarsi che questa macchina usi solo connessioni HTTPS per ridurre il potenziale pericolo degli attacchi MITM, che potrebbero verificarsi, per esempio, con il WiFi di un albergo.Uso queste impostazioni da un po' di tempo, e devo dire che mi ci trovo piuttosto bene. La mia compagna, che non ha nulla a che vedere con la tecnologia, usa impostazioni simili sul suo Mac, e ci si trova bene. Immagino che non sia una cosa troppo tecnica, dopotutto. C'è qualche altro dettaglio che va preso in considerazione, riguardo a queste impostazioni, per esempio la gesione degli aggiornamenti, l'uso della clipboard, il trasferimento di file, dove tenere il client di posta, perché usare la VM verde solo per tenerci un browser, e altre ancora. Immagino però che questa non sia la sede adatta per parlare di tutti i dettagli, altrimenti questa intervista diventerebbe una guida. In ogni caso, non posso dire di essere del tutto soddisfatta. Per attivare tutte le mie macchine virtuali uso un hypervisor di tipo II (VMWare Fusion), che è una pesante applicazione attiva sulla macchina principale. Da un punto di vista teorico, non ci sono ragioni per credere che sia più difficile trovare un bug nell'hypervisor rispetto al sistema operativo in sé. Entrambi sono grandi e grossi, e accolgono molti driver. Praticamente, però, sembra più difficile violare un hypervisor: un malintenzionato dovrebbe trovare un modo di eseguire del codice nel kernel virtualizzato. Ricordate che l'attacco si base sulla possibilità di eseguire codice nel browser, da cui poi bisogna trovare un modo di attaccare la VMM (hypervisor). Poi bisogna uscire dalla VM e colpire il sistema operativo sottostante, che potrebbe anche essere un SO del tutto diverso da quello della VM. Nel mio caso, per esempio, uso Windows virtualizzato su Mac OS.

Quanto è corretta la "Sicurezza per correttezza"?
TH: Usi Googla Chrome?
Joanna: Sì, lo uso sulla macchina rossa. La ragione principale è la sua GUI, la velocità e il fatto che supporta praticamente ogni cosa, dagli script al flash, necessaria per la navigazione quotidiana. In ogni caso, si tratta sempre di una soluzione temporanea. L'ideale sarebbe avere un hypervisor molto leggero, come Xen, caricato in maniera sicuro al momento dell'avvio (tramite qualcosa simile all'Intel TXT), e poi usare questo hypervisor leggero per gestire tutte le VM. Naturalmente per alleggerire davvero un hypervisor bisognerebbe rimuovere tutti i driver e gli emulatori di I/O, e per farlo abbiamo bisogno delle tecnologie Intel VT-d (da non confondere con VT-x) o la AMD IOMMU. Allo stato attuale delle cose, è possibile farlo un con portatile basato su una CPU Centrino 2, e l'Hypercore Phoenix e il Project Independence di Xen rappresentano dei tentativi in questa direzione. Ad oggi, però, gli hypervisor ti tipo II, quelli "grassi", sono l'unica opzione.
TH: Passando al livello successivo, quindi, cose come i firewall, i software anti-spyware a antivirus non sembrano essere una protezione adeguata, almeno non contro il malware più sofisticato. Al momento non crediamo che ci sia in circolazione malware simile ma, dopotutto, potremmo semplicemente non esserne al corrente. Cosa possiamo fare?Joanna: Quello che ci può proteggere è un buon design del SO (o un hypervisor e un SO), non un'applicazione di terze parti applicata ad un design non sicuro.
TH: Quindi la sicurezza della progettazione è importante?
Joanna: Solo quella di alcuni componenti critici del sistema (kernel/hypervisor), non di tutto il software in generale.



TH: Come consumatori abbiamo un modo di spingere le aziende ad assumere un approccio più attivo per quanto riguarda la sicurezza?
Joanna: Sfortunatamente non credo che esista un modo semplice di farlo. Molto semplicemente, non ci sono in circolazione prodotti validi tra i sistemi operativi. Che sia Mac, Windows o persino Linux, tutti questi SO usano grossi kernel monolitici, ricolmi di driver di terze parti. Questa situazione crea un enorme vettore per possibili attacchi contro i dispositivi d'isolamento del sistema operativo, come la separazione dei processi, quella degli account utente o la protezione del kernel.
TH: Il furto d'informazioni è una cosa molto delicata. Se ti sottraggono i dati della carta di credito, la puoi bloccare, e la polizia potrebbe persino riuscire a trovare i colpevoli. Se invece ti rubano, per esempio, dati riguardanti la tua situazione sanitaria, le conseguenze potrebbero essere disastrose.
Joanna: Verissimo. D'altra parte sembra che molte persone non abbiano problemi a usare servizi online per tenerci informazioni personali sensibili, dalle agende ai documenti, e persino i dati sanitari, tramite Google Health. Prendiamo pure per vero il fatto che Google, o altri servizi simili, sia del tutto affidabile come azienda; non significa che ci si possa fidare al 100% di chi ci lavora. Ad oggi, per fortuna, la maggior parte delle informazioni personali è sui nostri computer, e non online. Se (quando) saremo tutti passati "nella nuvola", un computer infetto potrebbe comunque rappresentare un pericolo, se è quello che usiamo per accedere ai servizi online. Quindi sì, la sicurezza del PC è l'aspetto più importante della sicurezza informatica in generale, e le implicazioni di una scarsa attenzione potrebbero andare ben oltre il furto del numero della carta di credito.
TH: La maggior parte delle persone obietterebbe che comunque la si metta la base di tutto sta nella sicurezza "per design".  Bisogna verificare attentamente il codice, che deve essere scritto con cura sin dal primo momento. Solo in questo modo di ottiene la migliore probabilità di successo, rispetto ad un approccio di correzioni (patch) successive, dovute al fatto che si riutilizza codice che è stato scritto in un periodo nel quale la sicurezza non era una questione importante. Tutti gli altri elementi, come l'isolamento, aggiungono ulteriori layer di sicurezza. È corretto?
Joanna: Io sono piuttosto scettica verso l'idea di "Sicurezza dalla correttezza". Non mi aspetto che le applicazioni, i driver, e il software in generale possano diventare privi di bug in tempi ragionevoli, e probabilmente non potranno mai. Sarebbe meglio concentrarsi sulla creazione di componenti leggeri, che potrebbero davvero essere privi di bug, come gli hypervisor di tipo I, e poi inserirli in un ambiente ben isolato rispetto agli altri componenti, per limitari i possibili danni (per esempio un browser danneggiato, usato per le ricerche quotidiane, non influenzerà il browser sicuro usato per l'home banking). L'industria della sicurezza sembra invece credere all'approccio "Sicuro perché corretto", e che gli sviluppatori, un giorno, smetteranno di fare errori e di inserire bug nel proprio lavoro. O almeno è quello che vogliono farci credere.Quando leggo notizie su un nuovo bug in IE, o Adobe Reader o Flash Player non posso fare a meno di scrollare le spalle e dire "e allora, che cosa cambia?"
TH: Oggi niente, ma dovremmo comunque tentare di rendere il codice più sicuro, specialmente quando creiamo cose nuove. Prendiamo il tuo esempio del browser compromesso sulla macchina rossa, a confronto con un browser più sicuro su una macchina separato, usato per accedere alla banca. Dov'è il vantaggio nel proteggere un browser che ha uno o più bug, che mi permette di vedere le informazioni di altri?
Joanna: Qui parliamo però di sicurezza dal lato server, mentre fino ad ora ci siamo concentrati sui computer personali. Si tratta di una cosa molto diversa, così come le soluzioni necessarie. Permettimi di chiarire un punto: rispetto molto l'abilità di quelli che cercano e sfruttano i bug nei browser, è un'attività davvero notevole. Ma è irrilevante per chi cerca di sviluppare macchine più sicure, perché non riusciremo mai a chiudere tutti i buchi presenti in IE o Firefox, che sono applicazioni in continuo sviluppo ed espansione. Quando IE7 sarà stato completamente rivisto, bisognerà ricominciare con IE8, e così via. Naturalmente per i produttori di software come Microsoft è più facile rispondere ai problemi, quando compaiono, con una patch. È certamente molto più semplice che prendere un sistema operativo e riprogettarlo da zero, e poi far riscrivere tutti i driver ai produttori di hardware.Mi sembra curioso come tanti esperti di sicurezza si concentrino su temi di alto profilo tecnico, come l'heap-based overflow, e allo stesso tempo non siano coscienti delle novità introdotte dalle tecnologie recenti e del loro potenziale per aumentare la sicurezza. Certo, è divertente scrivere exploit per le applicazioni, ma entrare in questo rincorrersi senza fine non è certo il modo migliore di rendere i computer più sicuri. Non si migliora la sicurezza cercando bug e scrivendo exploit.

 


TH: Forse l'approccio giusto è l'isolamento delle applicazioni e lo sviluppo di servizi sicuri "by design" I server usati per i servizi cloud dovrebbero avere molte applicazioni isolate, ma in questo caso dovremmo ancora fare affidamento sulla "sicrezza per design", giusto?
Joanna: Certo. Come dicevo la sicurezza dal lato server è una questione completamente diversa rispetto a quella dei desktop.
TH: Sembra che noi, come comunità, dovremmo evitare la standardizzazione e la diffusione di massa di hardware e software. Un ospedale, per esempio, può comprare centinaia di computer in colpo solo, tutti dello stesso modello. Se emerge che la scheda madre, o la CPU, hanno un difetto, allora tutta l'istituzione è a rischio. Dovremmo, in casi simili, considerare ecosistemi più eterogenei? Magari dei sistemi Intel e alcuni AMD? Magari mischiando Windows, Mac OS e Linux?
Joanna: Una cosa del genere potrebbe chiamarsi "sicurezza tramite l'oscuramento". Se ci preoccupano gli attachi DoS sarebbe certamente d'aiuto. Se, invece, ci preoccupa il furto d'informazione, che implica un attacco più mirato, allora avremmo solo un falso senso di sicurezza, dando per scontato che l'ospedale usi sistemi operativi comuni, non versioni personalizzate e ricompilate di Linux.
TH: Probabilmente dipende da quanto è sofisticato l'ospedale. Ci sono i server, che hanno un sistema operativo dedicato, e poi i terminali, che in generale sono Windows o Mac.
Joanna: Potrebbero essere anche distribuzioni Linux generiche. Per l'attaccante non farebbe nessuna differenza.

Quanto è affidabile un ecosistema eterogeneo?

TH: È l'approccio "a strati". Si può andare a cercare direttamente l'informazione, che è conservata da qualche parte di un sistema cloud. Oppure si può andarla a cercare nel sistema dell'utente finale, che accede a quel sistema. Se si trova, per esempio, un bug in Windows che permette di compromettere un intero sistema, un organizzazione dotata di un sistema eterogeneo potrebbe isolare velocemente tutti i sistemi Windows, e continuare a lavorare con Linux e OS X.
Joanna: Come dicevo, questo sistema può servire solo a limitare gli attacchi DoS, non a prevenire il furto d'informazioni. Una variante dell'approccio "per oscuramento" in molti SO. Per esempio c'è la tecnica ASLR, che agisce sul layout della memoria, e che fu introdotta su Linux con la patch PaX, poi portata su Windows Vista, e che arriverà anche su Mac OS X, Un'altra tecnica è la protezione degli stack tramite i cosidetti "canaries", che sono valori inseriti in uno stack per individuarne e controllarne l'overflow. Anche in questo caso siamo in presenza di un approccio "per oscuramento". L'idea fu introdotta da Stack Guard su Linux circa dieci anni fa, ed è presente da tempo anche nel compilatore Visual Studio di Microsoft. Quindi raccomanderei di usare approcci specifici che sfruttano anche questo il concetto di eterogeneità, piuttosto che investire molto denaro in un ecosistema con tre diversi sistemi operativi, affinché sia possibile isolarne uno in caso di bisogno. Sarebbe, tra l'altro, una scelta probabilmente inutile e potenzialmente dannosa.
TH: A meno che fossimo paranoici e preferissimo applicare tutti gli approcci di cui abbiamo parlato su diverse macchine.
Joanna: Quale sarebbe il beneficio, a parte la protezione da attacchi DoS?



Qualche raccomandazione

TH: Se dovessi dare qualche raccomandazione, consiglieresti Mac, PC o Linux. O piuttosto ritieni che siano altrettanto (in)sicuri?
Joanna: Dipenderebbe dalle cose che si vogliono fare con il sistema. Se una persona davvero paranoica mi chiedesse aiuto su come impostare un sistema per attività critiche, potrei suggerire misure estreme come uno Xen personalizzato, che userebbe cose come la VT-d per la disagreggazione Dom0, TPM e TXT per l'avvio sicuro, e isolamento di alto livello tramite partizioni personalizzate DomU. Ogni DomU, poi, avrebbe una versione rinforzata di Linux. Per usi generici e comuni mortali, tuttavia, raccomanderei tanto Windows quanto Mac. Linux, purtroppo, è ancora indietro quanto a supporto periferiche. Non potete sincronizzare l'iPhone con Linux, per esempio, ed è difficile anche impostare la connessione 3G, con un portatile Linux. Chi non ha molto a cuore l'estetica probabilmente sceglierà un sistema Windows, mentre altri non possono fare a meno delle linee eleganti di un Mac. A conti fatti, è solo una questione di estetica e d'interfaccia, secondo me. Non importa se si sceglie un PC o un Mac, l'unica risposta seria, oggi, al problema della sicurezza è la virtualizzazione, per ottenere l'isolamento necessario tra le varie applicazioni, o almeno tra i browser, come dicevo prima. Un antivirus, almeno uno di quelli odierni, sarebbe uno spreco di denaro e di risorse, per come la vedo io. È successo persino che l'antivirus stesso avesse dei bug, che introducevano delle vulnerabilità ai sistemi che dovevano proteggere! Io non uso nessun antivirus, nemmeno sulle macchine virtuali, e non vedo come uno di questi programmi possa offrire un qualche miglioramento alla sicurezza, con le impostazioni che ho creato per rafforzare la virtualizzazione.
TH: Ultima domanda. Uno studio recente mette in evidenza come nel settore dei computer le donne siano ancora poco rappresentate. C'è un qualche consiglio che vorresti dare alle donne che interessate alla tecnologia?
Joanna: Vorrei avere la risposta. Molti studi suggeriscono che le ragazze e le donne vanno peggio, quando si tratta di scienza e tecnologia, soprattutto perché tutti si aspettano che sia così. In ultima analisi, si tratta di una manifestazione della società patriarcale. Fortunatamente in molte parti del mondo questo sistema, fatto di uomini forti e intelligenti e donne belle e sensibili, sta diventando obsoleto, quindi c'è speranza per il futuro.
TH: Speriamo che qualcuno dei nostri lettori trovi ispirazione nelle tue parole. Grazie per il tempo che ci ha dedicato, Joanna.
Joanna: È stato un piacere, e congratulazione a tutti i lettori che sono riusciti ad arrivare in fondo.

---

I prezzi pazzi di Apple per l'Europa

A marzo l'iPad potrebbe arrivare in Europa e quindi, presumibilmente, anche in Italia. Ma a che prezzo? Se non fosse stato per T-Mobile che, nel suo sito tedesco, ha pubblicato (per cancellarla precipitosamente un paio d'ore dopo) una pagina con il listino dell'iPad, oggi saremmo ancora qui a lambiccarci il cervello per capire quale politica dei prezzi abbia in mente Steve Jobs.

Bene, adesso lo sappiamo: il cambiavalute di riferimento del patron della Apple ha deciso che il cambio dollaro-euro è in perfetta parità: 499 dollari il prezzo base negli Usa, 499 euro lo stesso prodotto in Germania (e verosimilmente anche in Italia). Poco importa che una stanza d'albergo prenotata allo stesso prezzo e pagata con American Express da Milano, venga addebitata 358,941 euro, oltre un terzo in meno! Tutta Iva e dogana? Non dimentichiamo che le tasse, sia pure non così alte, ci sono da sempre anche negli Stati Uniti.



Ecco, comunque, il listino pubblicato da T-Mobile:

- iPad Wi-Fi 16GB - 499 euro
- iPad Wi-Fi 32GB - 599 euro
- iPad Wi-Fi 64GB - 699 euro
- iPad Wi-Fi e 3G 16GB - 629 euro
- iPad Wi-Fi e 3G 32GB - 729 euro
- iPad Wi-Fi e 3G 64GB - 829 euro

Il tutto senza considerare che, almeno all'inizio, i modelli che sbarcheranno in Europa saranno privi di iBook, l'applicazione che li trasforma in eReader, cioè in grado di leggere libri in formato digitale. E questa è una delle caratteristiche che negli Stati Uniti è stata sbandierata come la killer application, l'asso nella manica per il successo della tavoletta.

Resta da osservare, inoltre, che quelli appena pubblicati sono i prezzi al pubblico slegati da qualsiasi operatore e ai quali occorre poi aggiungere, nel caso dell'iPad con tecnologia 3G, il costo di un adeguato piano dati. E non è impossibile che qualche operatore confezioni pacchetti/offerta variabili in base alle soglie dati che il cliente considera adeguate alle proprie necessità.

Ma anche questo, se si ripeterà l'esempio iPone, sarà fonte di nuove polemiche. Terremo le orecchie alzate e vi informeremo non appena circoleranno altre notizie.

di Redazione, 2/2/2010, fonte.

---

Le ultime indiscrezioni su Chrome Os

Chrome Os, il sistema operativo di Google non si aprirà la strada sui netbook prima della fine dell’anno, ma diventa sempre più chiaro il suo obiettivo di attaccare il sistema operativo Windows di Microsoft su ogni fronte.
Chrome Os e il web browser Chrome disporranno di un media player completo con le medesime funzionalità di quello presente in ogni versione di Windows Chrome Os è un sistema operativo di derivazione open source che Google sta scrivendo appositamente per netbook in alternativa ai sistemi operativi tradizionali di Microsoft e Apple. La velocità di caricamento in pochi secondi sarà la sua prima prerogativa. Attraverso il browser che porta lo stesso nome le applicazioni web si caricheranno ugualmente in pochi secondi. Naturalmente Gmail, Youtube, Google Voice e altri servizi web di Google saranno i più favoriti . Ora anche il nuovo media player contribuirà a far crescere le quote di mercato del browser Chrome che ha già sorpassato in popolarità Safari di Apple con il 5 % delle quote di mercato.
Ad esempio una chiavetta Usb che contiene file mp3 permetterà l’ascolto dei file musicali appena dopo essere stata inserita nel computer. Google ha già messo in chiaro che il suo sistema operativo sarà leggerissimo e non richiederà il download delle applicazioni come ora fa Windows.
Un altro esempio: cliccando un link di posta si aprirà Gmail automaticamente senza passare dal sistema operativo e o da altri client di posta . Allo stesso modo un file doc utilizzerà Gview.
Chrome Os allinea già partner come Acer , Asus , Hp e Lenovo e rappresenta un minaccia più temibile per Windows di quanto non lo siano stati Linux con Ubuntu o altre distribuzioni.

di Francesco Medaglia, 28/01/2010

---

Microsoft: «In Europa senza Explorer»

 

In attesa della decisione della Commissione EU sulle accuse antitrust a Microsoft, la società di Bill Gates ha deciso di distribuire la nuova versione di Windows 7 senza il browser Explorer. In tutta l'Europa la nuova versione del S.O. Windows 7 sarà venduto senza il browser Internet Explorer.
Questa decisione arriva dopo le preoccupazioni per la possibile concorrenza sleale verso altri produttori di browser, e pochi giorni prima dell'attesa decisione della Commissione europea sulle accuse antitrust presentate contro Microsoft a gennaio, secondo cui il leader mondiale di software abuserebbe della propria posizione dominante includendo nel sistema operativo il browser Internet Explorer, sottraendolo a una giusta competizione con i prodotti rivali.

 

 

Fino ad oggi, Microsoft ha sostenuto che il browser è parte integrante del sistema operativo e che non può esserne separato, ma adesso progetta di farlo per la versione europea di Windows 7, in arrivo quest'anno. «Per garantire che rispetti la legge europea, Microsoft consegnerà una versione diversa di Windows 7, appositamente creata per la distribuzione europea, che non includerà Internet Explorer» ha annunciato il produttore di software in una nota pubblicata sul sito Cnet. La mossa di Microsoft potrebbe dare un grande aiuto ai browser concorrenti, come Firefox di Mozilla, Chrome di Google, Opera e The World.

Voce,video e dati sicuri con PGP Mobile

Zimmermann, l’inventore del PGP, programma per la cifratura di email più conosciuto e diffuso nel mondo, ha creato un nuovo software per la criptazione di audio e video per cellulari, denominato ZRTP.
Un lungo periodo di gestazione è stato necessario a Philip Zimmermann, alla sua compagine tecnica ed ai partner internazionali che hanno integrato il protocollo, per rendere disponibile il programma di criptazione ZRTP per telefoni cellulari in versione VoIP.
ZRTP cripta le chiamate voce e video rendendo le telecomunicazioni cellulari non più intercettabili.
Erano già disponibili sul mercato software per cifrare le conversazioni, ma con caratteristiche che ne hanno limitato fortemente la diffusione. Costi elevati, necessità di impiego della linea dati GSM da richiedere espressamente al proprio operatore. Qualità delle chiamate scarsa, eco, ritardi nella trasmissione della voce. Ancora, impossibilità di effettuare chiamate internazionali e problemi di copertura di rete.

Il più piccolo elaboratore al mondo

Il World Mobile Congres di Barcellona ha visto la presentazione, seppur a livello di prototipo, del più piccolo elaboratore mai costruito.
Non si tratta nè di un netbook, i cui display hanno una diagonale minima di 7", ormai in disuso a favore dei 10", nè di un MID vero e proprio, bensì un UMID col quale è stato chiamato.
UMID: Ultra Mobile Internet Device, con caratteristiche tecniche davvero spinte a fronte di un piccolo display di 4,8".

La sua dotazione hardware è realizzata con CPU Interl Atom con frequenza operativa compresa fra 1,1GHz 1,33GHz, memoria DDR3 533MHz da 512MB o 1GB, mentre sul fronte immagazzinamento dati si può ordinare con 8, 16 o 32GB di memoria NAND Flash.Connettività completa con Wi-Fi, DVB-T, HSDPA, WiBro e WiMAX, il tutto in un apparecchietto di soli 315 grammi di peso. UMID sarà distribuito con i S.O., Microsoft Windows XP e Windows Vista.

Qui il raffronto con il già piccolo Sony Vaio.

ASUS Eee PC 1000HE: il 1° marzo in Italia

Con inizio dal 1° marzo 2009 sarà disponibile anche in Italia l’ ASUS Eee PC 1000HE. Il nuovo netbook è equipaggiato con la CPU Intel Atom N280 (1,66 GHz) che gli garantisce un'autonomia fino a 9,5 ore, per l’ausilio dell’esclusiva tecnologia ASUS Super Hybrid Engine per il risparmio energetico.

Con un display WSVGA (1024x600) da 10” con retroilluminazione a LED per immagini più brillanti e consumi ridotti, il netbook ASUS sfoggia un elegante restyling, che si nota ad iniziare dalla cornice del display lucida, per finire allo chassis, ma soprattutto dalla rinnovata tastiera nel nuovo layout con tasti a isola, progettata da ASUS per unire un'estetica aggiornata unita ad una confortevole digitazione.
Il nuovo ASUS è disponibile nei colori bianco oppure nero. Equipaggiato con un disco fisso tradizionale da 160 Gb per dare un’ottima archiviazione. Completo di una webcam da 1,3 Mpxl integrata nella cornice del display, il 1000HE consente l'accesso ad Internet in wireless con tecnologia Wi-Fi 802.11 b/g/n ed offre anche la connettività Bluetooth.
Eee PC 1000HE, coperto da 2 anni di garanzia con formula di pick up and return come tutti gli Eee PC, sarà in vendita al prezzo al pubblico di 399 euro Iva inclusa.

Archos: un interessante device Android based.

Il sistema operativo Android non è soltanto un sistema operativo per PDAPhone e smartphone, ma una piattaforma adatta anche a dispositivi più grandi e con vocazioni diverse, almeno questa sembra essere l'opinione di Archos, notissimo costruttore francese di dispositivi. Come riporta un comunicato stampa congiunto Texas/Archos. apparso sul sito Texas Instruments, il produttore transalpino è intenzionato a produrre un Internet Media Tablet (IMT) basato sulla piattaforma della Open Handset Alliance, che abbia tutte caratteristiche per fruire al meglio i servizi offerti dalla rete, oltre ad essere, forse, anche un classico telefonino, considerato il modulo 3.5G HSDPA e HSUPA.
Il nuovo Archos è basato su piattaforma hardware TI OMAP 3, che offre una migliore esperienza multimediale, campo in cui Archos è attiva da anni, unita alle nuove tecnologie per tenersi in contatto, tra cui la connettività 3,5G HSDPA e HSUPA per la navigazione internet in mobilità, e le funzionalità voce. Il processore è un TI OMAP3440, basato su architettura ARM Cortex.

L'Archos Internet Media Tablet nasce con un display touchscreen da 5", sul quale fruire contenuti multimediali anche grazie al supporto per le tecnologie Adobe Flash e Flash Video, oltre alla possibilità di ricevere e registrare progammi TV in alta definizione. Per lo storage si parla di uno spazio fino a 500GB. Un dispositivo dall'ampio display, ma che mira ad essere ultraportatile, con uno spessore di 10 millimetri. L'autonomia video viene dichiarata in 7 ore di riproduzione continua.
Remi El-Ouazzane, vice presidente e general manager della business unit Texas Instruments OMAP platform, ha dichiarato: "The OMAP 3 platform, with its support for the Android OS, is a powerful tool to support HD video, high quality multimedia and connectivity anytime and anywhere. ARCHOS' use of TI technologies, including connectivity and analog solutions, helps to push the boundaries with new products and as we see today, new business models, to be a leading innovator with its new IMTs."
Il nuovo Archos Internet Media Tablet basato su Android dovrebbe arrivare sul mercato nel terzo trimestre di quest'anno. Al momento non si conosce il prezzo.

Nuovo tool d'accesso

Da tempo vari produttori vedono nei dispositivi di riconoscimento biometrici il futuro dei dispositivi di identificazione personale. Alle ricerche già compiute in materia va ad aggiungersi una nuova tecnologia ideata da Sony, basata su un sistema in grado di identificare le vene presenti all'interno delle dita umane. E non solo: per molti, password e PIN ormai hanno i giorni contati.
Il sistema dell'azienda nipponica, denominato Mofiria, è costituito da una serie di LED il cui scopo è quello di illuminare il dorso del dito. L'immagine che ne segue viene quindi decodificata da un piccolo sensore CMOS che ne valuterà la somiglianza con l'immagine autentificata all'accesso. Il tempo di identificazione sembra essere molto breve, grazie ad un algoritmo speciale ideato da Sony: 0,015 secondi se il calcolo viene effettuato dalla CPU e 0,25 secondi se, invece, il dispositivo viene posto su un device mobile.
La decisione di utilizzare proprio le vene è tutt'altro che casuale, poiché la loro struttura sarebbe diversa non solo da un individuo all'altro ma anche da dito a dito. Inoltre, la loro forma non è soggetta a modifiche con il passare degli anni. Nei progetti di Sony per il dispositivo, le cui dimensioni sono davvero minime, vi sarebbe infatti l'intenzione di integrarlo sui dispositivi più disparati, notebook e smartphone su tutti. A tal proposito l'azienda ha espresso, nel comunicato stampra relativo alla nuova tecnologia, l'intenzione di commercializzare il prodotto finito entro l'anno fiscale 2009.
Il dispositivo in sé sembra riprendere i progetti iniziati già nel 2005 da parte di Hitachi e Fujitsu, con l'annuncio della progettazione di scanner basati sulla stessa tecnologia: la differenza sostanziale potrebbe essere nel suo costo, dal momento che Sony si dichiara disposta a veder proliferare la nuova tecnologia su diverse piattaforme.
Sempre in materia di dispositivi di identificazione, anche il classico PIN potrebbe subire un restyling volto a migliorarne la sicurezza: PINoptic, azienda che opera nel settore della sicurezza per i dispositivi di autenticazione e di accesso ai sistemi, ha di recente annunciato la creazione di un nuovo software il cui scopo sarebbe quello di aumentare la sicurezza del "vecchio" PIN di ben 37 volte. -1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:1; mso-generic-font-family:roman; mso-font-formatther; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-1610611985 1073750139 0 0 159 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:""; margin-top:0cm; margin-right:0cm; margin-bottom:10.0pt; margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sa ns-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoPapDefault {mso-style-type:export-only; margin-bottom:10.0pt; line-height:115%;} @page Section1 {size:612.0pt 792.0pt; margin:70.85pt 2.0cm 2.0cm 2.0cm; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.Section1 {page:Section1;} --> Il device, pensato soprattutto per l'e-banking, piuttosto che basarsi sulla classica combinazione a 4 o più cifre utilizza un sistema basato su numeri, immagini e colori: quando viene richiesta l'autorizzazione all'accesso, l'utente vede comparire sullo schermo il particolare tastierino formato da numeri e simboli, la cui disposizione è casuale di volta in volta. Per autentificare l'accesso l'utente dovrà quindi decifrare la sequenza numerica che corrisponde alla sequenza esatta memorizzata nella propria mente. La diversa disposizione dei simboli permette di volta in volta di generare un nuovo codice. A questo punto, per autorizzare il tutto, basta inviare un SMS al server del sistema con il nuovo codice.

Fonte news

USA: connessione a Led luminosi

A Gennaio la scheda GeForce GTX 200 a due GPU

“Previsto per Gennaio il debutto della prima scheda dual GPU di NVIDIA basata su architettura GT200: il nome previsto è GeForce GTX 295”

Sembra sempre più vicino il debutto delle prime soluzioni NVIDIA dual GPU basate su architettura GT200, nome in codice che contraddistingue le GPU NVIDIA adottate nelle schede della famiglia GeForce GTX 200.

Di queste scede si vocifera da lungo tempo, in quanto proposte alternative alle schede ATI Radeon HD 4870 X2 disponibili sul mercato sin dal mese di Agosto 2008. Queste schede sono attualmente le proposte più veloce disponibili sul mercato desktop, ma richiedono necessariamente l'utilizzo di driver ottimizzati e di titoli che possano beneficiare della presenza di due GPU in parallelo.

Quali saranno le caratteristiche tecniche di questa scheda video? Due GPU GT200 costruite con tecnologia a 55 nanometri, ciascuna dotata di 216 stream processors al proprio interno. Di fatto, quindi, si otterrà come risultato una scheda a singolo connettore con una potenza elaborativa paragonabile a quella di due schede GeForce GTX 260 core 216 abbinate tra di loro con tecnologia SLI.

Non è detto tuttavia che NVIDIA possa riuscire a mantenere, per la propria proposta dual GPU, le stesse frequenze di clock di GPU e memoria video delle soluzioni GeForce GTX 260 core 216 a singola GPU, replicando in questo quanto sviluppato da ATI con le proprie soluzioni Radeon HD 4870 X2. Queste ultime, di fatto, sono per caratteristiche tecniche identiche a due schede Radon HD 4870 1 Gbyte affiancate sullo stesso PCB.

La scheda dual GPU NVIDIA basata su GPU GT200 dovrebbe prendere il nome di GeForce GTX 295; questa scelta è allineata a quello che dovrebbe essere il nome della evoluzione a 55 nanometri della scheda GeForce GTX 280, che dovrebbe per l'appunto prendere il nome di GeForce GTX 290. Il debutto di queste nuove soluzioni avverrà presumibilmente nel mese di Gennaio 2009, assieme alle altre schede GeForce GTX costruite con tecnologia a 55 nanometri e dotate di architettura a singola GPU.

di Paolo Corsini

PIMP My Supercomputation

Immaginate un supercomputer di quelli davvero super, roba da trilioni di operazioni al secondo. Roba da finire nella top-five dei compu-mostri in giro per il globo, dietro a colossi come il Roadrunner di IBM, vale a dire il misterioso megacalcolatore dei lab di Los Alamos (quelli dove si studiano le esplosioni nucleari). Immaginate ora di prenderlo e potenziarlo, fino a raggiungere e superare la vetta di quanto di più potente (informaticamente parlando) si sia mai fatto fino ad oggi. E poi di trasformare il tutto in una specie di auto vistosa.

Se avete immaginato bene, davanti vi troverete una immagine che ricorda questa:

Il Jaguar del Oak Ridge National Laboratory è al momento il supercomputer più potente del mondo: con i suoi 45mila Opteron quad-core, 326 terabyte di RAM e 10 petabyte di spazio disco, è in grado di raggiungere e superare il quadrilione di operazioni al secondo (mille milioni di milioni) toccando la punta massima di 1,64 petaflop di potenza. Il tutto grazie ai 578 terabyte di ampiezza di banda della sua memoria, che si sommano ai 248 gigabyte di bandwidth messi a disposizione attraverso i suoi ingressi e uscite I/O.

Il Dipartimento dell'Energia USA, che ha pagato il conto di 100 milioni di dollari presentato da Cray per la costruzione del mostro e che paga la bolletta della luce, è entusiasta di Jaguar: "È uno dei più incredibili strumenti per il progresso della scienza e della tecnica - dichiara soddisfatto il sottosegretario Raymond Orbach - consentirà ai ricercatori di simulare processi fisici fino ad oggi impossibili da replicare, trasformando la computazione su vasta scala nel terzo pilastro delle scoperte scientifiche assieme a sperimentazione e teoria".

Dati di targa a parte, Jaguar è stato già in grado di portare a termine una complessa simulazione di un superconduttore che ha richiesto uno sforzo continuato di 1,3 petaflop di capacità: una potenza decine di migliaia di volte superiore al più accessoriato dei PC presenti sopra e sotto i tavoli di un comune ricercatore, e il bello è che tutta questa forza sarà liberamente accessibile a chiunque ne faccia richiesta - naturalmente attraverso i consueti canali accademici e di ricerca.

Jaguar è infatti il più potente supercomputer per uso scientifico mai realizzato nella storia dell'informatica. Esiste un solo compu-mostro più grande, il già citato Roadrunner di IBM, che basa la sua architettura sulle CPU Cell - quelle che monta anche la PlayStation 3 - tenuti insieme da una spina dorsale di Opteron, e potenzialmente in grado di spingersi fino a 3 petaflop di potenza. Tuttavia, secondo quanto riferito (Los Alamos è un laboratorio militare e le sue attività sono coperte da segreto) al momento Roadrunner girerebbe a un terzo della sua capacità potenziale, forse in attesa di qualche aggiornamento di Big Blue.

Il colosso dell'Oak Ridge National Laboratory detiene quindi il trono della categoria, in attesa di veder confermata con tutta probabilità la sua leadership nella classifica Top500, il cui aggiornamento finale per il 2008 dovrebbe essere imminente. Sempre che Los Alamos e IBM, in un moto d'orgoglio, non decidano di guastare la festa ai colleghi e non piazzino la zampata prima del weekend: chi sarà più veloce tra l'uccello corridore e il felino?

Fonte: PI.it by Luca Annunziata

fonte immagine 

ESCLUSIVA: Windows 7, prime schermate e funzionalità

Svelate agli sviluppatori riuniti alla PDC di Los Angeles le caratteristiche del nuovo sistema operativo di Microsoft. Il kernel e' quello di Windows Vista, ma non mancano novita' e miglioramenti significativi per ogni categoria di utenti. Ecco tutti i dettagli di Windows 7 nella prova in anteprima

Arriva Windows 7 e alla PDC 2008 di Los Angeles abbiamo provato la pre-beta in anteprima sia nella versione Build 6933, disponibile solo su alcune macchine per la presentazione (la stessa utilizzata in sala per il keynote), sia con una Build un po’ meno recente (6810), ma con buona parte delle caratteristiche, su una macchina dedicata Dell Xps M1330.

Windows 7 non si presenta come un sistema operativo rivoluzionario rispetto a Windows Vista, tutt’altro. Sviluppato raccogliendo le note critiche (ma anche i consensi) di addetti ai lavori e utenti finali, nasce per funzionare bene, dal primo giorno, con la stessa dotazione hardware in grado di far girare il suo predecessore e con la piena compatibilità software con le applicazioni nate per Windows Vista. Steve Ballmer era stato più sincero che mai, presentando Seven, solo pochi giorni fa, come “Windows Vista, ma meglio di Windows Vista”.

                                                Il desktop di Windows 7: trasparenze e grafica 3D, con i gadget

                                                 possono essere tranquillamente liberati all'interno del desktop.

La prima Build (6810) a una prima occhiata può far sembrare Windows 7 un semplice aggiornamento della major release Windows Vista, ma già la Build 6933 porta in dotazione novità interessanti. L’esperienza di Windows 7 inizia con un avvio sensibilmente più rapido di quello di Windows Vista (nell'ordine di una manciata di secondi), altre caratteristiche balzano subito all’occhio perché riguardano proprio l’interfaccia immediatamente visibile, altre meno perché dedicate al mondo enterprise o intrinseche al sistema, come il tool di gestione della durata delle batterie che fa registrare migliori performance rispetto a Windows Vista perché Seven agisce disabilitando il funzionamento di alcune applicazioni in background, ma anche una maggior possibilità di integrazione delle caratteristiche dei firewall delle aziende di sicurezza con quello Windows. Vi spieghiamo in dettaglio le novità principali.

                                                 Il tool di gestione e stato della batteria

Una Taskbar tutta nuova

Certo una delle prime e più interessanti novità è proprio la taskbar di Seven. Rinnovata sia nel design (ma non nella Build 6810), sia nelle funzioni. Le icone sono più grandi, passandovi sopra il mouse compare una thumbnail espandibile a una preview a tutto schermo, sono state facilitate le possibilità di spostamento delle icone (basta trascinarle) e la possibilità di appuntare le applicazioni utilizzate più di frequente. La facilità di accesso alle informazioni è integrata dalla funzione Jump Lists, da ogni programma nella TaskBar si accede con facilità alle informazioni inserite di recente o agli ultimi file utilizzati.

                                            La TaskBar: ogni icona ha la sua anteprima

Aero Desktop prevede ora un pulsante supplementare collocato nel punto estremo della Taskbar a destra che trasforma le finestre visibili in finestre trasparenti e ne permette la gestione affiancandole o portandole in primo piano nel modo più intuitivo, una sorta di esperienza multidesktop. Ma il Desktop è piacevolmente cambiato anche per altri aspetti, innanzitutto è semplicissimo ora impostare una nuova connessione wireless, perché il menu nella SysTray provvede a evidenziare subito quali siano le reti disponibili ed eventuali informazioni da inserire per la sicurezza.

                            L'accesso ai programmi e alle risorse tramite il menu di avvio. Windows 7 perde la tripla

opzione (mantieni sessione in memoria, blocca computer e spegni) a vantaggio di un

unico pulsante ShutDown, che offre tutte le opzioni.

Inoltre anche impostare tinte e trasparenze nella scelta dello sfondo o cambiare il tema della scrivania si può fare con nuovi strumenti. Senza contare che i gadget della sidebar sono stati finalmente svincolati dalla barra che li conteneva e possono essere disposti liberamente sulla scrivania.

                                 I temi grafici per personalizzare l'interfaccia utente di Windows 7

Da tempo poi si parla di Windows 7 come il primo sistema operativo Microsoft in grado di offrire l’esperienza Touch e così sarà. Se l’hardware su cui è installato il sistema è touchscreen (come Hp TouchSmart su cui noi abbiamo provato le nuove caratteristiche), Seven permetterà lo zoom semplicemente allargando le dita, lo scroll dei documenti di Word e delle pagine Web, la localizzazione veloce del tocco di puntamento, ma anche l'esperienza di inserire effetti speciali nelle proprio foto o semplicemente prendere un pennello e sovrascrivere alla foto una dedica o un messaggio.

                                               Nuova grafica anche per la calcolatrice di Windows 7

Un’altra delle novità che riguardano in primo luogo gli utenti del PC da casa è il sistema HomeGroup per la condivisione delle informazioni. In pratica tutti i PC che funzionano con Windows 7 si identificano e si collegano automaticamente gli uni con gli altri, in questo modo è semplicissimo non solo condividere i file multimediali, ma anche i diversi media, ed è possibile inviare la riproduzione di una canzone su un media differente dai propri. E per Windows Media Player (nuova versione) sono stati studiati interessanti miglioramenti per rendere ancora più veloci le operazioni più frequenti e agevolare la fruizione dei contenuti multimediali,

anche la semplice Previews di brani e filmati.

                                                          Windows Media Player di Windows 7

Device Stage

Del tutto differente e sostanziale cambiamento rispetto a Windows Vista è Device Stage, in pratica una volta collegato al computer un nuovo device, come una stampante o il vostro smartphone, oltre alla rappresentazione fotorealistica dello stesso, si potranno visualizzare in dettaglio i task che si possono portare a termine con il device, ma non solo. A seconda dell’impegno profuso in questa direzione dal produttore, potranno essere immediatamente visualizzate le caratteristiche, gli aggiornamenti disponibili, eventuali accessori acquistabili e così via. Il device compare direttamente nella taskbar al collegamento e da lì partirà direttamente l’azione richiesta.

                                  Windows Device Stage, l'interfaccia per la gestione di dispositivi collegati al PC.

Tutto è molto più Live

Infine una parte non indifferente di novità consumer viene dalla cosiddetta Live Wave 3 Experience. Anche sulla Build 6810 preinstallata per la prova sono precaricate tutte le applicazioni Live nella nuova versione beta: Live Call, Live Mail, Messenger, Movie Maker, Photo Gallery e Live Writer. Spiccano le novità di Messenger con una serie di facilitazioni nel controllo del proprio account.

                            Nuova interfaccia anche per Windows Live Messenger, con la possibilità di ricevere

                            notifiche su cosa stanno facendo i nostri contatti e l'inserimento guidato di brevi

                            clip invece dell'immagina statica.

Per esempio l’inserimento di una mini clip video tramite procedura guidata, e il controllo diretto dei contatti Favoriti, ma anche delle ultime attività degli altri utenti, così come, per quanto riguarda PhotoGallery un corposo potenziamento delle possibilità di elaborazione (compresa la creazione di panoramiche a 360 gradi con procedura guidata), e la procedura diretta per la pubblicazione delle foto sui server dei servizi più conosciuti (Flickr, SmugMug, Picasa, etc.).

                                       Nuova interfaccia anche per Windows Live Mail

Per i professionisti in azienda

Non tutto quello che Windows 7 ha di nuovo è per gli utenti consumer. In ambito professionale, a diretto vantaggio delle imprese Seven porta come novità principale DirectAccess, un sistema di accesso flessibile alle applicazioni da remoto che consente l’accesso diretto ogni volta che il sistema individua una connessione Internet, senza bisogno di approcciare una connessione VPN. Questo vuol dire accedere ad informazioni riservate sul network aziendale anche semplicemente aprendo il link di un’email. L’unica condizione per beneficiare di questa caratteristica è il deploying di Windows Server 2008 R2 (con implementazione di IPv6 e IPSec).

                                                                  Menù START

Anche la ricerca delle informazioni, grazie a Search Federated, dovrebbe essere del tutto trasparente e procedere per l’utente finale nello stesso modo con cui si ricercano i file in locale, anche nel caso di repository come siti SharePoint. Una volta che l’informazione poi è stata utilizzata dall’utente l’accesso successivo avverrà in modo più rapido, così come la sincronizzazione di eventuali aggiornamenti questo perché Windows 7 introduce BranchCache che mette in cache contenuti da file remoti e da Web Server. Branchcache supporta http, e https ma anche SMB, SLL e IPsec, per il controllo della sicurezza.

                               Il tool di ricerca Search Federated è integrato in Windows 7.

Infine novità anche per BitLocker, basta un clic con il tasto destro per abilitare automaticamente il sistema, creare la partizione nascosta per il boot e accedere al controllo di gestione perfezionato. Inoltre viene introdotto BitLocker To Go, che offre il controllo di protezione anche ai dispositivi di storage rimovibili. Riguardo a Vista erano state raccolte decine di lamentele legate alla gestione degli Alert. Ora è possibile configurare non solo la ricezione dei messaggi di attenzione, ma anche gestire da un unico punto se si preferisce la visualizzazione delle applicazioni nella Systray o meno.

Molto meglio di Windows Vista, ma sulla base dell'esperienza fatta con Vista, senza rivoluzioni. Questo in sostanza è Windows 7. Da qui alla versione finale gli step non mancano.

Fonte Esclusiva: vnet

USB: arriva la versione 3.0

Dieci volte più veloce: 4,8 GB al secondo. Le specifiche saranno presentate la settimana prossima. Alla prossima conferenza dell’USB Implementer Forum che si terrà a San Jose in California la settimana prossima, saranno annunciate formalmente le specifiche tecniche della prossima generazione della tecnologia di connettività Universal Serial Bus.

Nonostante una gestazione complicata - ostacolata da battaglie interne e imbrogli politici tra i grossi attori in gioco tra cui Intel, Nvidia e Amd - il nuovo standard dovrebbe essere ben 10 volte più veloce delle attuali specifiche USB 2.0.

Secondo quanto riportato da Everything USB, un file da 25 GB può essere trasferito in soli 70 secondi utilizzando il nuovo sistema, in confronto ai quasi 14 minuti necessari con la connessione USB 2.0 e alle 9,3 ore del lentissimo USB 1.0.

In pratica fino a 4,8 Gb al secondo. Altri miglioramenti riguarderanno la gestione del consumo energetico e l’utilizzo di cavi ottici.

VMware virtualizza i cellulari

Nata sui server, ed in seguito diffusasi sui PC mainstream, la virtualizzazione è pronta a sbarcare anche sui telefoni cellulari. A preannunciare questo debutto è VMware, già pioniera delle tecnologie di virtualizzazione per PC, che ha svelato di essere al lavoro su di un prodotto specificamente progettato per i dispositivi mobili.

VMware Mobile Virtualization Platform (MVP) viene descritta dalla società californiana come un "sottile layer software" che, inglobato in un dispositivo mobile, è in grado di far girare sistema operativo, applicazioni e dati all'interno di una macchina virtuale. Lo scopo è quello di separare il software che gira sul dispositivo dall'hardware sottostante, così da permettere a produttori e operatori di sviluppare un singolo stack di driver e applicazioni compatibile con tutti i telefoni prodotti o venduti, indipendentemente da quale CPU o chipset essi utilizzano. Questa possibilità, secondo VMware, abbatterà i tempi di time-to-market ed eliminerà i costi di porting del software.

L'azienda di Palo Alto sostiene poi che la propria MVP possa essere utilizzata dai carrier per far girare i servizi di sicurezza e trusting, come DRM e autenticazione, in una macchina virtuale ad hoc: anche nel caso in cui il sistema operativo dovesse venire compromesso, ha spiegato VMware, tali componenti rimarrebbero inviolati. L'azienda ritiene che questo aspetto della virtualizzazione possa incentivare i carrier ancora legati a sistemi operativi embedded non mainstream a migrare verso piattaforme come Windows Mobile, Symbian e Linux, ritenute intrinsecamente meno sicure degli OS meno noti e "blindati" ma capaci di offrire agli utenti un bacino vastissimo di applicazioni.

Ma a beneficiare della virtualizzazione, dice VMware, non saranno soltanto produttori e carrier, ma anche gli utenti finali. Questi ultimi potranno infatti creare più profili e farli girare in macchine virtuali distinte: in questo modo sarà possibile tenere separati, ad esempio, i file e i dati del profilo "privato" con quelli del profilo "lavoro". Questo sistema, secondo VMware, potrebbe entrare a far parte delle policy di sicurezza aziendali.

La software house americana ha poi citato come ultimo vantaggio la possibilità di creare l'immagine di un profilo utente e migrarla su qualsiasi altro dispositivo dove giri MVP: in questo modo, sarà possibile portare file, contatti, applicazioni e dati personali da un device all'altro senza sforzo.

La piattaforma di virtualizzazione mobile di VMware si fonda sulle tecnologie che quest'ultima ha recentemente acquisito da Trango Virtual Processors. Inizialmente MVP supporterà Windows CE 5/6, Linux 2.6.x e Symbian 9.x, oltre ad alcuni altri sistemi operativi embedded specializzati, ed è già in piano il futuro supporto di Android e Palm OS.

VMware prevede che i primi dispositivi mobili dotati del proprio software di virtualizzazione debuttino sul mercato tra circa un anno o, al massimo, 18 mesi. L'azienda sostiene che diversi produttori stanno già testando il prodotto, ma per il momento ha preferito non fare i nomi di queste aziende.