Enoela

SPAM: il problema non è il povero SMTP

Sembra che l’85% dei messaggi email in giro per la rete siano “indesiderati”, UBE (Unsolicited Bulk Email). Il danno prodotto da questa attività “criminale” non è facilmente quantificabile. Dallo spreco di banda (comunque trascurabile rispetto al traffico prodotto da altre applicazioni che utilizzano la rete - p2p) allo spreco di tempo e risorse per cercare di limitare gli effetti negativi di questo fenomeno. Senza dimenticare che lo SPAM non sempre porta con sé semplici messaggi indesiderati e fastidiosi (pubblicità), ma più spesso viene utilizzato come mezzo per propagare infezioni sulle macchine degli utenti meno esperti.

L’articolo apparso oggi su techrepublic presenta un punto di vista interessante sulla soluzione di questo problema. Tutti, me compreso, infatti, usiamo attribuire alle caratteristiche del protocollo SMTP e soprattutto alle sue limitazioni la causa di questo fenomeno.

In realtà, osserva giustamente l’autore, il problema ha una causa diversa: chi manda lo spam normalmente non si fa carico dell’invio materiale dei messaggi, ma utilizza computer “zombie” in giro per la rete. La causa stessa di questo male siamo noi utenti, la nostra scarsa competenza, la nostra scarsa attenzione alla sicurezza.

Cambiare il protocollo SMTP, rendere obbligatoria l’autenticazione, crittografare il contenuto diventa inutile quando una macchina infettata continuerà ad inviare spam per conto terzi senza nessuna difficoltà utilizzando il protocollo “evoluto” in veste della “vittima”, del proprietario della macchina infetta.

La soluzione è a monte. Contrastare le epidemie, educare gli utenti. E, come avviene nel mondo reale ricordare che gli antivirus non rendono le macchine invulnerabili. Il miglior modo per prevenire le infezioni è adottare un comportamento poco rischioso e , soprattutto, compatibile con le proprie competenze.

Oltre a questa conclusione l’articolo, breve e chiaro, evidenzia in modo chiaro ed efficace le accuse mosse all’SMTP. Cinque minuti ben spesi, leggetelo.

Buon compleanno XML

Il 12 febbraio 1998 il W3C pubblicava le specifiche per XML 1.0 ( Extensible Markup Language (XML) 1.0).

The Extensible Markup Language (XML) is a subset of SGML that is completely described in this document. Its goal is to enable generic SGML to be served, received, and processed on the Web in the way that is now possible with HTML. XML has been designed for ease of implementation and for interoperability with both SGML and HTML.

(REC-xml-19980210)

Non un linguaggio, ma un nuovo alfabeto in cui ridefinire tutte le grammatiche e i linguaggi del web e non solo. Utilizzato per ridefinire l’HTML nell’XHTML, ha dato forma a decine di linguaggi di markup specializzati. Ma probabilmente l’effetto più dirompente l’abbiamo avuto in un ambito imprevedibile anche per chi lo stava concependo: la rappresentazione e lo scambio di dati. Dai Web service, SOAP, WSDL alla definizione di formati aperti e proprietari per la rappresentazione dei dati.

B asta con tracciati di scambio a spaziatura fissa, ai comma-separated, ai file pseudo-ini. Caratteri speciali, separatore di campo, separatore di record, documentazione fuori linea e obsoleta. L’XML ha spazzato via tutti questi problemi come una tempesta. Con schemi e DTD si documenta in maniera formale e automatizzata la sintassi del file: il documento di specifica alimenta il parser di validazione. Ma dove era stato tenuta nascosta questa panacea fino al 1998?

In fondo è sempre stata lì, come la pennicellina, ma nessuno aveva capito quanto valesse, visto che l’SGML, di cui XML è un sottoinsieme, deriva a sua volta dal GML, ideato in IBM nel 1960 da Charles Goldfarb, Edward Mosher and Raymond Lorie.

(via W3C)

Letterina a Steve Ballmer

Caro zio Steve,

ho saputo che quest’anno hai deciso di devolvere in beneficenza la paghetta annuale di Bill. Quest’anno i 44.6 miliardi di dollari (44.600.000.000$ = 30.490.500.000 euro circa, via yahoo finance saranno utilizzati per salvare i posti di lavoro dei dipendenti di Yahoo. Quanta generosità. Parliamo di 30 miliardi di euro, una cifra non tanto distante da quella della finanziaria lacrime e sangue del 2006 (se non erro 41 miliardi di euro). Una cifra vertiginosa.

Vorrei allora farti una raccomandazione.

Se dovessi decidere davvero di comprare Yahoo non cedere alla tentazione di migliorare l’esperienza di navigazione “ottimizzando” le pagine di Yahoo rispetto al tuo straordinario browser. T’è già andata fatta bene con quegli sfigati di Netscape, sarebbe ingiusto fare lo sgambetto a Firefox proprio adesso.

E se t’avanza qualche spicciolo, che so, un paio di centinaia di milioni di euro dai un’occhiata alle nostre svendite.

Visto che hai voglia di far beneficenza, con gli spiccioli di avanzo da Yahoo ti consiglio di acquistare in liquidazione il portale del turismo della meta turistica per antonomasia: italia.it. No, non cliccare. Adesso non è accessibile perché nonostante noi italiani c’abbiamo speso 6/7 milioni di euro l’abbiamo messo sott’olio per quest’estate (so di mentire, ma lo zio non sarebbe contento di comprare un giocattolo palesemente rotto). Insomma, diciamo che con il 2/3 per mille della paghetta di Bill puoi entrare con forza nel mercato del turismo e sfondare. Ho sentito dire che con pochi euro in più ti prendi anche la fontana di Trevi e un paio di archi del Colosseo.

Potrei suggerirti altri affaroni da fare qui in Italia. C’è, per esempio, una emittente televisiva bella e pronta per trasmettere. Attrezzature, palinsesti, personale. Tutto. Ha anche le sue frequenze. Puoi mettere su la tua TV quando vuoi. Ah, sì, è vero: a dirla tutta, le frequenze sono occupate da un canale che trasmette bei film in orari assurdi e parodie dei nostri telegiornali. Ma è lì solo come riempitivo. Già in tanti gli hanno detto di andarsene: tribunali italiani, corti di giustizia europee (ci sarebbe pronta anche una risoluzione ONU, ma quelle non se le fila nessuno). Ma stai tranquillo, qualche altro percento della su citata paghetta e mettiamo in moto questi meccanismi arrugginiti e via! L’etere diventa tuo.

Allora, caro zietto, pensaci su e salutami il caro vecchio Bill. E attento, che l’anno prossimo la sua paghetta non te la da’.

Mulini nel tempo

Foto scattata andando da Madrid ad Albacete, nella Mancha. Fonte di pensieri diversi. Immagino un moderno Don Chisciotte assalire i nuovi mulini a cavallo di un Enduro. Vedo un paese allegro, dove la gente non si ammazza di fatica e non rinuncia a divertirsi, sparire all’orizzonte dopo averci sorpassato. C’è bisogno di confrontare PIL e redditi pro-capite? Sole, vento, energia. Mulini e pannelli fotovoltaici ovunque. Una landa desolata che trasferisce linfa vitale alle zone abitate. E noi? Assistiamo impotenti al macabro banchetto di un manipolo di politici che litigano le carni di un paese morto e putrefatto. Hanno ragione gli inglesi. Siamo diventati un popolo triste e rassegnato.

Ma non avevi mai visto la pubblicità trasmessa dal tuo blog?

Non so quanto si guadagni con AdSense (credo poco anche chi ha molto traffico). Ma allora perché ci sono tanti che la inseriscono nel proprio sito/blog? Andreste in giro con la pubblicità di un sexishop sulla vostra automobile? Oppure fareste l’uomo sandwitch per riviste di destra? Tutto per qualche euro al mese?

Eppure tanti hanno la pubblicità e spesso è imbarazzante.

C’è poi chi si stupisce per essere “bannato” dai proxy aziendali e si chiede se fargli causa.

A proposito, anche noti siti istituzionali non scherzano per il tipo di pubblicità.

Fax-phishing

Mai abbandonare le vecchie tecnologie. I browser si sono attrezzati con sistemi che rilevano l’accesso a pagine potenzialmente fraudolente? I client di posta si rifiutano di seguire i link a siti clonati per carpire i nostri dati?

Beh, allora mettila sul fax una barra antiphishing se ci riesci!

Caro Cliente,
PosteItaliane si impegna nell’applicazione della legge nel tentativo
di combattere le eventuali frodi o furti. Le informazioni saranno
fornite su richiesta alle agenzie legali per accertarsi che i falsi
possessori siano proseguiti nella misura adeguata dalla legge.
Diventare utente verificato è una semplice procedura che richiediamo
per fornirti il servizio più completo e sicuro possibile.
Invia tramite fax ( Numero di fax 39-049-xxxxxxxx ) i
documenti attestanti la tua identità , il tuo indirizzo e
tutti dati identificativi:
Nome utente:
Password:
Numero della carta postepay:
Scadenza mm/aa:
CVV2/CVC2:
Digita i dieci caratteri del tuo codice:
L’Assistenza Clienti, dopo aver ricevuto la documentazione e aver
verificato la completezza e la veridicita.

© Poste italiane 2008

La barra antiphishing va messa sulla testa degli utenti. Se anche poste italiane decidesse di rivedere le sue procedure di autenticazione, forse, tutti ne trarremmo giovamento, visto che il 90% del phishing riguarda i loro servizi e questo lascia pensare che i suoi clienti siano, per tanti motivi, bersaglio prediletto.

L’idea non è nuova, è del 2005 questo avviso di Sophos su paypal.

italia.[fu]it

Non so se considerarla una buona o cattiva notizia. Scopro ieri, via Feba, che hanno staccato la spina all’agonizzante italia.it. E ancora non abbiamo capito come siano stati spesi 60 milioni di euro.

Visto che almeno il dominio è ancora nostro

Domain:             italia.it
status:             ACTIVE
Created:            2004-06-03 00:00:00
Last Update:        2007-06-19 00:03:55
Expire Date:        2008-06-03
Registrant
Name:             Presidenza del Consiglio dei Ministri
ContactID:        PRES2-ITNIC
Address:          P.zza Colonna, 370
Roma
00187
RM
IT
Created:          2007-03-01 10:26:04
Last Update:      2007-10-31 12:36:09

potremmo approfittarne, con poche decine di euro in più, per pubblicare online, a mo’ di lapide alla memoria, tutta la documentazione del progetto.

Quanti soldi sono stati spesi e da chi.
Chi li ha presi per fare cosa.
E anche per dare il giusto spazio a chi in questo progetto ha fatto qualcosa di buono.

Gentilissimo Ministro Rutelli, almeno questo ce lo deve.

(continua…)

Il sesso degli angeli

Il “blog” di Beppe Grillo è un “vero blog”?

Cosa definisce un “vero blog” o un “vero blogger”? La piattaforma software utilizzata? Le sue funzionalità? La possibilità di lasciare commenti? Il comportamento del suo titolare?

Il sito di Beppe Grillo ha tutte le funzionalità di un blog. Il problema sembra risiedere quindi nel suo autore, che non si comporterebbe come “blogger” perché non interagisce con la “blogsfera”, non la vede, non la considera. Parla e basta. Accetta che si pubblichino commenti ai suoi post, ma non replica (questione sintetizzata in un post magistrale da Stefano Epifani).

(continua…)

Music taxonomy

Non amo le classificazioni. Non sopporto che nei negozi i gruppi siano relegati su scaffali diversi in base al “genere”. Trovo spesso difficile classificare in un particolare genere un singolo album, figuriamoci l’intera produzione di un gruppo. Tuttavia trovo molto utile poter “provare” nuovi gruppi e nuovi generi affini e probabilmente adatti ai miei gusti musicali.

Tempo fa, tramite Rumore, avevo scoperto gnoosic in grado di visualizzare in forma di grafo le relazioni esistenti tra gruppi musicali basandosi sui gusti dichiarati dagli stessi visitatori del sito. Si tratta di uno strumento molto interessante, in grado di rendere in forma grafica il concetto del “generalmente a chi ascolta x piace anche y”.

Oggi grazie a Giavasan scopro questo fantastico Music Roamer, da Tanya Cashorali, molto simile allo strumento che credevo perduto. Fornisce per l’autore richiesto, in forma grafica, gli stessi risultati che last.fm presenta in forma testuale. Infatti si alimenta dal medesimo database e l’ascolto dei brani avviene attraverso lo stesso sito.

Cercando di ripescare il vecchio sito mi sono imbattuto in altri interessanti strumenti utilissimi per esplorare e in qualche modo comprendere meglio l’articolatissimo universo musicale.

Per esempio Kenneth John Taylor (ishkur) pubblica una guida interattiva alla musica elettronica. Sul suo sito sarebbe disponibile la versione 3.0, che non sono riuscito a utilizzare (sembra ancora una coming soon). Tuttavia qui è disponibile la versione 2.5 (basata su flash, sigh) ma in grado di proporre una complessa mappa dei diversi generi con citazione dei gruppi e dei rispettivi brani più significativi.

Musicmap costruisce una mappa di relazioni lavorando (più correttamente) a livello di singolo album.

Liveplasma lavora a livello di gruppi e permette di costruire grafi anche in base ai gusti cinematografici (film o regista).

Mi fermo con una meta-segnalazione: VisualComplexity presenta innumerevoli strumenti in grado di produrre visualizzazioni grafiche di tassonomie basate su musica, cibo, arte, web, … social networks.

Phishing più veloce ed efficace della pubblicità

Prendo spunto dalla recente nota di redlo (ma non mi avevi detto di lasciarli lavorare in pace?) sul phishing per tornare anch’io sull’argomento.
E’ di qualche giorno fa un tentativo di phishing ancora una volta indirizzato ai servizi online di poste italiane.

Non avevo ancora saputo dei nuovi servizi di poste italiane su piattaforma mobile. Per fortuna c’é il phishing che mi pubblicizza i nuovi ed eccezionali servizi.

Devo ammettere che non sono correntista di poste italiane, ma sono cliente del loro sito. Regolarmente registrato ho spedito diversi telegrammi. Pochi euro, ma è sorprendente che una simile iniziativa non fosse stata ancora pubblicizzata a tutti i “potenziali” interessati.

Per fortuna, in soccorso arrivano i phisher e ci pensano loro a farmi sapere della nuova iniziativa. Insomma, sono quasi d’aiuto.

In realtà il messaggio è ancora una volta estremamente insidioso e solo l’approssimazione linguistica può allarmare i meno esperti:

Accedi ai servizi online per accreditare il gratuito telefono !

C’è da chiedersi cosa aspettino ad assoldare dei madrelingua in grado di tradurre meglio le loro esche.

Il phishing resta un’insidia serissima per gli utenti di servizi online. Le tecniche di seduzione diventano sempre più raffinate e le competenze necessarie per navigare con sufficiente sicurezza non sono diffusissime.

Ma l’aspetto più interessante di questa riflessione è il fatto che io ho effettivamente notato la massiccia campagna pubblicitaria off-line (tv e giornali) solo dopo aver ricevuto il messaggio, prima di allora non mi ero accorto di nulla. Avrei sviluppato una discreta capacità di ignorare la pubblicità, ma il phishing è riuscito laddove gli esperti di marketing avevano fallito. Nuove frontiere della pubblicità, …