Sicurezza informatica al Securitydate a Camerino il 7 Maggio 2010

Come ogni anno l’università di Camerino in collaborazione con il Camelug organizzano una giornata informativa che ha come tematica la sicurezza informatica.

Il programma della giornata è molto articolato ed attuale : si parlerà infatti di concetti nuovi e moderni come la Virtualizzazione, Cloud computing, Wi-fi, e concetti più generici come il penetration testing, e il lockpicking; ovvero l’arte di scassinare serrature.

L’evento a cui abbiamo partecipato attivamente nelle scorse edizioni con talk sulla Web security in particolar modo focalizzando sul RFI (Remote File Include) e SQL Injection, quest’anno ci vedrà come “supporter” esterni non partecipando direttamente con nostri talk all’evento ma supportando l’evento a livello informativo e “logistico”.

Ricordiamo che la partecipazione all’evento è del tutto gratuita ed è senz’altro un’occasione importante per tutti gli appassionati (professionisti, docenti e semplici smanettoni) di rimanere aggiornati su un tema così vasto dalle mille sfaccettature e tremendamente moderno.

Per ulteriori informazioni www.securitydate.org e www.camelug.it

Posta elettronica certificata – PEC del Governo : un fallimento in partenza.

E’ di ieri Lunedì 26 Aprile la notizia andata in onda su tutti i TG dell’avvio della Posta Elettronica Certificata (PEC) Nazionale fornita gratuitamente dal governo ad ogni cittadino.

Onde evitare di “riesumare” i vecchi (ma sempre attuali e corretti) discorsi su come questa iniziativa sia stata gestita MALISSIMO e tirare in ballo problematiche non banali sia
dal punto di sicurezza :

sia di problematiche burocratiche che a mio avviso si possono inquadrare in una forma di concorrenza sleale nonchè CLIENTELISMO dei “soliti ignoti”

tramite bandi con requisiti impossibili da raggiungere per ogni piccola/media/grande azienda che attualmente fornisce hosting e servizi internet nel panorama italiano.

e sia del protocollo del tutto “privato” e valido solo in Italia e non nella comunità europea

oggi mi sono limitato semplicemente a raggiungere il sito www.postacertificata.gov.it con l’intento di registrare una casella di posta elettronica certificata.

Inutile dire che tentando a cadenze ripetute di diversi tentativi ogni mezz’ora circa dalle 14 di ieri pomeriggio sino ad ora l’unico messaggio che un utente riesce a ricevere
tentando l’iscrizione è quello seguente :


Inutile dire che un servizio del genere è stato lanciato da sprovveduti (gli stessi di italia.it costato 45 milioni di euro e finito nel nulla) che sicuramente non hanno saputo bilanciare l’accesso concorrente di eventuali richieste contemporane dei cittadini o ben peggio il sistema non è mai partito e fino ad ora è tutta una farsa dato che mi risulta difficile pensare che alle ore 01:00, ora che pubblico questo post ci siano chissà quanti utenti connessi a fare richieste internet banali al loro portale, considerando che siti pesanti come Repubblica, Rai,  Poste Italiane e mostri come Youtube non fanno una piega di fronte a traffico facilmente calcolabile in almeno 100 volte quello che potrebbe esserci su www.postacertificata.gov.it

Giriamo il coltello nella piaga ricordando tristemente il logo di italia.it pagato ben 100 mila Euro che a mio avviso è scopiazzato dal logo della Logitech ed ha un valore commerciale di mercato non superiore ai 2000 euro nella migliore delle ipotesi.

Personalmente ho realizzato loghi di impatto e tecnicamente molto più complessi per un centesimo di quello che è stato pagato per il logo di Italia.it

Come sempre le istituzioni che dovrebbero migliorare la vita a noi cittadini in realtà investono (sprecano) risorse presso i soliti CLIENTI con gare d’appalto non permissive, requisiti assurdi e magari pagando 100 volte tanto quello che normalmente sarebbe il prezzo di mercato in un vero e onesto libero mercato.

Se l’Italia va male è anche e sopratutto colpa di questi cialtroni buoni a nulla che con la scusa di migliorare la NOSTRA vita migliorano solo la LORO e quella dei LORO clienti.

Occhio ai risultati (e alle truffe) quando commissionate un sito internet.

Questo articolo vuole essere una guida e un avvertimento a tutti coloro che necessitano di un sito web e non hanno la minima idea sul processo di realizzazione e sopratutto dei propri diritti e doveri.
Bisogna fare una doverosa premessa. Lavorare nell’ambito web non necessita di una qualifica specifica, ne l’iscrizione ad un albo, ne il superamento di alcun esame abilitativo.
Chiunque può in qualsiasi momento delle propria vita lasciare l’attuale lavoro (e data la rovinosa precarietà italiana) e cimentarsi nel webdesign.
Dunque potrete incappare in individui che avendo conoscenze pressochè nulle o comunque molto ma molto limitate si spacciano come webdesigner o webmaster.
Ciò non significa assolutamente che un webmaster autodidatta non sia bravo o non possa soddisfare le vostre aspettative, ma significa semplicemente di stare comunque attenti a chi vi rivolgete dato che nella nostra professione non esiste (purtroppo o per fortuna) delle garanzie.
Una volta che commissionate un sito web a questi individui dunque se non osservate delle linee guida che tutelano voi e il vostro investimento (tempo e denaro) potrete ritrovarvi con sito internet orribile, non funzionale e sopratutto INUTILE che comunque va pagato.
Come tutelarsi dunque da codesti signori pescecani che nella più rosea delle ipotesi riescono a maneggiare con scarsi risultati delle tabelle tramite Frontpage e “incollarci” immagini e gif animate prese da altri siti internet ?
Primo : conoscere i propri doveri e diritti.
Secondo : conoscere le modalità di sviluppo di un sito web.
Voi siete clienti e avete il diritto di ottenere il risultato richiesto nelle tempistiche e nei compensi pattuiti.
Fate un contratto in cui saranno scritte nere su bianco le vostre richieste e le specifiche tecniche del vostro sito.
Se già conoscete il webmaster e lo reputate una persona affidabile e vi fidate ciecamente di lui potete anche affidargli carta bianca nella realizzazione del vostro sito, ma se così non fosse e avete dei dubbi sul risultato finale è meglio procedere a step.
Cosa significa dunque procedere a step ? Significa esattamente procedere passo passo, valutare e rifiutare/approvare ogni step intermedio che compone il risultato finito.
1 – Iniziamo subito con lo step dello studio del colore :
Quali colori verranno utilizzati nel mio sito Web ? Siamo sicuri che per la mia attività balneare una palette di colori neri e verdi siano più indicati di palette bianchi e blu ?
Fate attenzione che i colori rispecchino il vostro brand aziendale, non siano fastidiosi da leggere e riescano ad esaltare le giuste emozioni nei vostri visitatori.
Vi piace la scelta del colore ? Bene. Step superato.
Non vi piace la scelta del colore e ritenete che il rosso troppo acceso possa generare nervosismo e sia un colore poco rilassante ? Step bocciato.
Fate le vostre considerazioni al webdesigner e fate in modo che si ripresenti con uno studio colore che possa soddisfare le vostre aspettative.
2 – Layout e bozza grafica.
Come verrà strutturato il mio sito ? Header (banda superiore), parte centrale, footer (parte in fondo) ? I menù come saranno ? Orizzontali, verticali, testo, bottoni …
Quante “colonne” avrà il mio sito ? Il logo sarà a destra o a sinistra ? Sarà troppo piccolo in confronto al resto degli elementi del sito web ?
Fatevi fare una bozza grafica dal webdesigner in cui andrete a visionare personalmente tutti questi aspetti e qualora non vi piaccia ordinare ritocchi o bocciare completamente un layout e farne rifare uno che soddisfi le vostre necessità specificando le vostre correzioni al webdesigner.
Quando la grafica del sito web vi soddisfa possiamo passare al prossimo step ovvero …
3 – Realizzazione Layout HTML.
Ovvero portare la bozza grafica (di solito in formato photoshop o illustrator) sul web e sostituire tutti gli elementi (testo e immagini ad esempio) con i relativi elementi HTML.
Attualmente potete trovare 2 tecniche di realizzazione.
Tramite tabelle o tramite Livelli.
Un layout che si possa definire tale al giorno d’oggi non deve utilizzare modalità implementative di 15 anni fa. Ovvero un layout NON DEVE usare le tabelle se non solo ed esclusivamente per la rappresentazione di dati tabellari.
Tutto il resto del layout deve essere sviluppato tramite l’utilizzo di livelli e fogli di stile (CSS).
Possibilmente (ha qualche costo in più) pretendete che l’XHTML sia validato dal w3c e che la visualizzazione del sito sia uniforme in tutti i browser comunemente utilizzati : (Internet Explorer, Opera, Firefox, Safari, Chrome).
Fate attenzione ai webmaster che vi propongono di realizzare tutto il sito con le tabelle perchè “tanto il sito è facile e le tabelle vanno bene lo stesso” o meglio perchè in realtà non sono delle cime con l’XHTML e CSS, in alcuni casi potreste pentirvene come nel caso in cui vogliate sostituire la presentazione del vostro sito con una presentazione più lunga che va fuori cella e spagina l’intero sito.
Quando anche il layout è funzionale e bello implementato possibilmente con livelli (DIV) e fogli di stile (CSS) tramite XHTML, potete passare all’ultimo step ovvero alla verifica totale del vostro sito web, e ritoccare le piccolissime sbavature che possono ancora esserci. (Il font di un punto più piccolo, cambiare il font da Arial a Verdana, cambiare il margine di rollover di un menù, allineamento dell’immagine a sinistra, ecc… ecc…) e concludere il lavoro con una bella stretta di mano tra committente e webmaster (e il relativo saldo della fattura).
PS : In questo caso è stato preso in esame un sito Web classico che non avesse ricerche di dati, ecommerce, funzionalità dinamiche con linguaggi server side o PHP.
Nel caso comunque non siate persone informate in materia onde evitare fregature vi consigliamo di far seguire il vostro progetto da una vostra persona di fiducia che non abbia conflitti di interesse e che possa indirizzarvi verso un ottimo risultato.
Entrare in rete … non significa cascarci dentro !

12designer.com : il contest creativo che rovina il mondo della grafica e del web professionale.

E’ stato osannato e pubblicizzato in tutto il mondo, 12designer.com, il portale per la realizzazione di Loghi, Flyer, Banner, website e il naming.

Esso è un mediatore, un punto di incontro tra clienti e designer.

Funziona pressapoco così : L’azienda ACME (A Company Making Everything) decide di voler entrare in rete con un nuovo sito web.
Essa si registra al portale www.12designer.com e lancia un contest, un concorso insomma.

A questo concorso potranno partecipare i vari grafici iscritti al sito presentando i loro lavori nella speranza di essere scelti dall’azienda committente (ACME in questo caso) come vincitori e dunque incassare il “premio” messo in palio dall’azienda.

Attualmente (Domenica 28 Febbraio alle 20:24) sono in gara 89 progetti e ben 4881 designer iscritti.

Cercando ad esempio tra i vari progetti Web (solo design, ovvero solo il layout photoshop) troviamo solo 2 contest :

Creation d’un charte graphique – Settore: Pret a porter feminin – Brief anche in Inglese che offrono 300 Euro

e il “Portale per maneggio e mondo del cavallo” che offrono 300 Euro (garantiti).

Cercando invece tra coloro che propongono progetti web completi (Xhtml+CSS per intenderci) troviamo 1 solo progetto :

Vaibmu Website – settore consulting che offrono 250 Euro (garantiti).

Prendendo in esame quest’ultimo caso (Vaibmu Website) notiamo che sono stati proposti 10 lavori creativi da 3 designer.
La qualità dei lavori proposti a nostro avviso è molto bassa e sopratutto improvvisata, ma sicuramente al di sopra del budget proposto dall’azienda committente ovvero 250 euro.

Perchè dunque 12designer.com non potrà mai essere a rigor di logica un buona strada per ottenere un buon sito web ?

Vediamo i principali motivi che ci sono saltati in mente.

  • In primis ci sono solo grafici dilettanti e che non sono dei professionisti, altrimenti lavorerebbero tramite agenzie o come freelance a listini di mercato che non scendono MAI sotto i 1000 euro per un design grafico e adattamento XHTML+CSS per il web. Questa affermazione è stata confermata appunto dal fatto che solo 3 designer su bel 4881 hanno proposto qualcosa di vagamente assomigliante a un sito web.
  • Bisogna lavorare GRATIS. Prendendo ad esempio il portfolio e le statistiche del designer dg9ban leggiamo che :

dg9ban ha partecipato a 29 progetti :

  • 43 lavori creativi in 29 progetti
  • 1 lavoro creativo vincitore

Facendo dei calcoli prettamente matematici ovvero stimando un minimo di 300 euro a lavoro e moltiplicandolo per il numero di lavori presentati (43) ci si rende facilmente conto che il designer ha lavorato per una somma di 12900 euro che in ambito di prezzi di mercato sarebbe stata almeno 40 mila euro.

Per far cosa poi ? Tutto questo tempo, fatica per vincere un solo progetto, ovvero nella più cattiva delle ipotesi 250 euro, e nella migliore 1000 euro.

Ecco perchè nessun designer professionista accetterebbe MAI l’idea di lavorare a quei prezzi e a quelle condizioni,considerando appunto che è molto ma molto più facile avere clientela disposta a pagare dai 1500 ai 3000 euro piuttosto che vincere un concorso di quel genere che richiede comunque tempo, per il misero premio di 500 euro.

Sicuramente un buon punto di ritrovo per aziende che vogliono “il sitarello”, ma siamo sicuri che il sitarello porti vantaggi nel lungo periodo ?

Che tipo di contatti avrete col webdesigner ? Chi vi curerà le modifiche, gli aggiornamenti in futuro ? A quali costi ?

Come sempre ricordiamo: la qualità, la competenza e la professionalità si pagano.

L’importanza dei backup : cronaca di un disastro annunciato.

Salve, il computer non si accende più e da una schermata blu che segnala la rottura del disco“.

Sono queste le povere ma eloquenti parole ricevute in prima mattinata da un nostro cliente.
Domandando nello specifico di quale computer stesse parlando, ci viene poi risposto che il guasto riguardava il server dove veniva gestita e archiviata la contabilità.

Ad un tratto capiì e ricordai che circa un mese prima avevo chiaramente avvertito i titolari di questa media azienda sull’incoscienza e ottimismo immotivato di tenere un gestionale con oltre 7 anni di contabilità fiscale e logistica su un “server” che non aveva nemmeno un RAID1 e nessun sistema di backup ne tantomeno procedure di disaster recovery.

Rendere atto nero su bianco dell’incompetenza del loro precedente fornitore e della pericolosità di non utilizzare opportune procedure di disaster recovery evidentemente non è bastato per accettare il nostro modesto preventivo per l’aggiunta di un disco in RAID1 (mirroring) e un disco esterno (o interno hot swap con slitta estraibile) da utilizzare come destinazione per i backup incrementali generati tramite il software Acronis True Image.

Un prezzo molto modesto da pagare confrontato al beneficio che un sistema funzionale di disaster recovery possa portare ad un’azienda quando un disco si rompe.

Ogni alternativa sarebbe stata comunque più dispendiosa in termini di costi, tempo e sicurezza dei dati.

Mandiamo a recuperare tutto in un centro specializzato di recupero dati ?

Costo dell’operazione non minore di 1000 euro e senza nessun risultato garantito.
Tempo di intervento e riconsegna non minore ad una settimana.
E in quel periodo come vive l’azienda ?

E’ valsa davvero la pena risparmiare 250 euro per ritrovarsi in situazioni folli e difficoltose come questa ?

Diffondere l’idea che la tecnologia è soggetta a guasti e che un investimento di 250 euro può salvarvi davvero la vita in casi estremi come questo, non è terrorismo ma realismo allo stato puro.

Se non avete nessuna procedura di backup dei vostri dati, non pensateci troppo contattateci.

Domani potrebbe essere troppo tardi.

Attacco hacker a 2.500 aziende in ben 196 paesi.

Oltre 75.000 tra computer e server di circa 2.500 aziende violati in 196 Paesi: è il bilancio del più grande e sofisticato attacco hacker mai registrato sino ad oggi. Lo rivela il Washington Post. L’attacco telematico è stato scoperto da una ditta della Virginia, la Netwitness, ed è iniziato alla fine del 2008. La scoperta è avvenuta il mese scorso: sono state prese di mira email, dati aziendali, carte di credito, le credenziali di accesso dei dipendenti delle aziende della sanità e della tecnologia. Tra i Paesi più colpiti da una rete di hacker est-europei figurano gli Usa, il Messico, l’Arabia Saudita, l’Egitto e la Turchia.
L’intrusione è stata scoperta il 26 gennaio scorso da Alex Cox, un ingegnere di NetWitness: l’esperto ha individuato il cosiddetto Kneber bot, un sistema interlacciato di almeno 20 server e computer gestito da un gruppo di hacker localizzati nell’Est Europa, che avevano creato un centro di controllo in Germania. Secondo gli esperti, gli attaccanti sono riusciti a far scaricare ad ignari dipendenti di molte aziende dei software da siti controllati dagli stessi hacker, oppure inviando mail infette che hanno aperto loro le porte dei sistemi informatici di migliaia di aziende. Per l’intrusione è stato utilizzato uno tra gli spyware più insidiosi, denominato ZeuS. Secondo il Wall Street Journal, l’attacco ha colpito anche dieci agenzie governative statunitensi. In almeno un caso, ha scoperto NetWitness, gli hacker sono riusciti ad entrare in possesso dei dati di accesso email di un soldato. Un portavoce del Pentagono sentito dal quotidiano Usa ha detto che i militari non sono usi commentare specifiche minacce o intrusioni.
Tra le aziende colpite, i giganti farmaceutici Merck & Co. e Cardinal Health Inc., che hanno confermato l’attacco, ed altri colossi come la Paramount Pictures – che ha rifiutato di commentare l’episodio. La NetWitness, guidata da un ex ufficiale dell’aviazione americana, Amit Yoran, si occupa di sicurezza telematica e fornisce i propri servizi ad agenzie governative e a numerose aziende.
(Fonte ANSA.IT)

Quanto costa un sito web ?

Purtroppo viviamo in un epoca in cui conosciamo il prezzo di tutto ma il valore di niente e magari spesso si ritiene normale pagare 150 euro all’idraulico per il lavoro di 20 minuti nel cambiare una guarnizione e lanciamo occhiatacce al webmaster che ci chiede 1000 euro per un sito web che comporta magari 2 settimane o più di lavoro.
Il cliente spesso e volentieri naviga nella più totale e genuina ignoranza su cosa sia un sito web e di come debba essere fatto per portare vantaggi alla propria attività e al proprio business.
Non basta dire “anch’io ho il mio website” per poter dormire sonni tranquilli e la certezza di aver dato quel valore aggiunto ai vostri affari.
Un sito fatto male, non usabile, non piacevole graficamente crea solo dei danni alla vostra immagine, in quanto chi non vi conosce, già dal sito si fa un’idea di voi e della vostra azienda.
L’abito non fa il monaco, ma fa buona impressione a prima vista.
Sul mercato ormai ci sono sedicenti Webmaster che offrono siti web a 100,  50 euro, cifre che ovviamente dovrebbe farvi seriamente riflettere su chi vi state affidando.
Considerando che dietro lo sviluppo di un sito web ci sono diverse fasi :
  • Colloquio col cliente e si ascoltano le sue esigenze le due idee (almeno un paio d’ore)
  • Brainstorming sui suoi competitor, analisi della concorrenza (mezza giornata)
  • Studio del colore (qualche ora solitamente)
  • Reperimento materiale (dal cliente o da servizi di photo stock)
  • Preparazione bozza grafica da discutere col cliente (almeno un paio di giorni)
  • Rivisitazione e adattamenti secondo le indicazioni del cliente (un altro giorno)
  • Ripresentazione della bozza grafica ed eventuali ulteriori modifiche fino a quando il cliente non l’accetta.
  • Conversione “slicing” della bozza grafica in XHTML+CSS.(un paio di giorni)
  • Revisione layout HTML e test cross browsing tramite Internet Explorer, Firefox, Opera, Chrome e Safari(un giorno)
  • Inserimento animazioni
  • Inserimento contenuti
  • Pubblicazione FTP
e ho portato l’esempio di un sito semplice (niente ecommerce e niente backend per l’amministratore, niente database, niente programmazione lato server PHP o ASP).
Se per fare un buon sito ci vuole almeno un paio di settimane come fanno questi signori a vendere siti internet a 50, 100, 200 euro ?
La risposta è semplice : vi danno una qualità a dir poco scadente. Nel caso vi diano ottima qualità siete pregati di invitare il vostro webmaster a contattarmi per proposte di collaborazione.
Spesso prima di prendere il primo che capita o il cugino, o l’amico del cugino della sorella del cognato che è bravo coi piccì è meglio vedere cosa offre il mercato farsi un giro sui siti delle agenzie o dei webdesigner freelance e osservare il loro portfolio, valutare se lo stile può essere di vostro gradimento, se i risultati sono soddisfacenti e solo allora approcciare al primo contatto con colui che può migliorare davvero la vostra attività o che può peggiorarvela ridicolizzandovi agli occhi dei vostri potenziali clienti con prodotti non idonei al vostro scopo.
Se dovete scegliere tra un sito fatto bene che costa 2000 euro o un sito da schifo da 300 euro, scegliete senza pensarci due volte quello fatto bene.
Se poi non avete un budget così “elevato” da investire, non fatelo per niente il sito.
Aspettate un anno magari, ma fate un investimento serio e non buttate via i soldi regalandovi al primo ragazzino “bravo coi piccì” che conoscete.
Meglio senza sito web che con un sito da schifo.

Grillisas.com

Grillisas.com nasce come punto di riferimento per l’azienda Grilli S.a.s. Officina meccanica navale, con l’intenzione di pubblicizzare il loro operato e i loro prodotti per la pesca.

Il sito è stato sviluppato da zero progettando e studiando sia il colore che il layout.

Il sito pur essendo statico e piuttosto semplice da un punto di vista prettamente tecnico include un intro Flash, e la visualizzazione prodotti AJAX ovvero evitando il caricamento di tutta la pagina. (Utilizzando le proprietà InnerHTML).

Dal lato amministratore, abbiamo sviluppato un semplicissimo backend che permette l’inserimento di nuove categorie e nuovi prodotti con le relative descrizioni multilingua.

Tecnologie usate :

Xhtml + CSS + PHP5 + MySQL5

Utilizzo di Adobe Flash per il breve slideshow iniziale.

Link : www.grillisas.com