Storia di un bug sfuggente e dalla risoluzione complicata

Come stampare, con una stampante Brother, un documento OpenOffice?

Basterebbe collegare la stampante alla prima porta usb disponibile, configurare quel poco necessario al corretto funzionamento dell’unità e premere con un click deciso il tasto stampa…..siete troppo fiduciosi non è così oggi è martedì ed oggi c’è il giorno di riposo della stampante.

Questo potrebbe essere lo scenario tipo di chi si appresta ad utilizzare la propria stampante Brother di martedì con Ubuntu e badate bene non è una barzelletta o una classica storiella da amministratore.

Esiste un bug, di cui ho avuto modo di testare l’efficacia, che si preoccupa di non mandare in stampa nulla verso le stampanti in questione nel solo giorno di Marte ovvero martedì.

L’errore in questione è il numero Ubuntu bug # 248619, è estremamente interessante leggere la conversazioni che è scaturita dalla segnalazione ed il metodo con il quale gli utenti hanno collaborato con lo sviluppatore per riuscire a correggere quello che si potrebbe definire come un spina in un fianco.

La difficoltà nella risoluzione del problema non è imputabile al codice da modificare, estremamente semplice in realtà, ma al senso di disorientamento che coglie il programmatore quando un bug non si presenta sempre con la stessa modalità ma cambiando aspetto o frequenza.

Una storia in grado di farci capire l’enorme mole di lavoro che la comunità ed i programmatori sono chiamati a fare per fornire a tutti le nostre amate distro.

P.S.: il bug è stato corretto ed ora si stampa anche il Martedì

Ciao a tutti.

Piccole notizie di entità varia che mi sono perso durante le mie giornate di relax estivo

Premetto che per quel che mi riguarda il relax estivo non c’è assolutamente stato, un paio di giorni lontano rispettivamente sull’appennino toscano e in quel del lago Trasimeno hanno allietato il mio periodo estivo che per il restante tempo è stato condito da lavoro, sudore e temperature insopportabili.

Se per noi italiani il mese di agosto corrisponde con la sospensione quasi totale delle nostre attività lavorative così non deve essere per tutti coloro che risiedono fuori dai confini nazionali, il mondo open è stato sempre in fermento e chi, come me, si aspettava un rallentamento del flusso di novità che da sempre il software open ci propone, non poteva commettere errore più grande.

Ma bando alle ciance ed andiamo al sodo.

• Bug nel kernel Linux: è li da 8 anni

Questa è forse una delle notizie più sconcertanti che sono apparse durante l’estate, il kernel Linux presentava una bug vecchio di 8 anni all’interno di una macro la quale permetteva l’esecuzione di codice all’indirizzo NULL.

Parlo al passato perchè il problema è stato prontamente risolto e corretto.

Sorprende però certamente come un errore critico di programmazione come questo ha potuto espandersi indisturbato nel tempo attraverso i vari rami di sviluppo di Linux contaminando il codice del 2.4.x e del 2.6.x partendo dal lontano 2008.

Link

• Continua la campagna diffamatoria Microsoft nei confronti di GNU/Linux

Non è certamente la prima volta che, e non sarà nemmeno l’ultima, la Microsoft dimostra tutta la propria bassezza, attraverso quelle che possiamo definire come campagne diffamatorie.

L’ultima in ordine di tempo vede il colosso di Redmond dare notizia di un maggiore ritorno di laptop Dell equipaggiati con Ubuntu rispetto a quelli con sistema operativo Microsoft.

La stessa Dell però prontamente smentisce questi notizia dimostrando, con dati alla mano, che il tasso di restituzione per uno stesso prodotto equipaggiato con Windows o con Ubuntu è esattamente il medesimo.

Certamente, ammette Dell, ci sono degli sporadici casi nei quali chi acquista pensa di avere ordinato un pc con Windows trovandosi poi tra le mani una macchina con Ubuntu, in questo caso il reso è palese.

Dell però parla anche di resistenza interna circa la pubblicizzazione della propria linea di prodotti forniti di OS open, si sta facendo poca pubblicità e soprattutto si dovrebbe riparare all’attuale tipologia di commercializzazione che vede gran parte dei paesi europei tagliati fuori dalla possibilità di ordinare una macchina con Ubuntu già installato.

A lamentare questi problemi ci sono gli acquirenti ma anche personale importante dell’azienda come Todd Finch, Dell Product Marketing Manager, che spera in una rinnovata linea di condotta per questo settore Dell.

Link

• Mark “mr ubuntu” Shuttelworth parla di cadenze e collaborazioni

Una accorata mail del patron di Ubuntu espone le idee del magnate circa la questione cadenze di release e collaborazioni che si dovrebbero avere all’interno del mondo open.

Impossibile a mio avviso fare un riassunto esaustivo dello scritto pertanto vi invito alla lettura della chilometrica missiva digitale targata Mark.

http://lwn.net/Articles/345353/

Se volete sapere la mia………mi trovo parzialmente concorde con le affermazioni dell’uomo venuto dallo spazio.

Ci sono altre notizie da trattare ma ritengo che esse siano troppo importanti per esser relegate tutte insieme in un post di questo tipo, per ora quindi è tutto in attesa di altri articoli che giungeranno molto presto.

Ciao a tutti.

Collaborazione ed accordo tra Microsoft e Linux Foundation per le preoccupanti proposte europee ed americane volte a fornire una garanzia sul software acquistato il quale deve essere privo di ogni bug.

Scontri, colpi bassi, processi, scorrettezze varie ed alla fine ci si ritrova sempre a combattere per una giusta causa uniti da un male comune che potrebbe mettere in serie pericolo il mercato delle innovazioni e dei prodotti informatici.

Questa è la sorte che sta toccando a Linux Foundation e Microsoft che mettono da parte le loro divergenze per contrastare e cercar di risolvere la questione del sistema delle licenze sul software, argomento che in questi ultimi anni sta limitando sempre di più lo sviluppo di nuove idee bloccando di fatto l’evoluzione del settore….almeno in parte.

Ora, oltre agli spinosi problemi che da sempre esistono in questo campo, entra in gioco un presunto orientamento europeo ed americano che potrebbe portare ad una proposta di legge la quale vorrebbe una garanzia scritta, come per tutti gli altri prodotti del normale mercato, nella quale l’azienda produttrice del software si impegni a garantire l’assenza di difetti “per così dire” di fabbricazione.

Sappiamo tutti che scrivere un software senza errore è praticamente impossibile, per ovviare ai comuni difetti che possiamo riscontrare ogni giorno sulle nostre macchine sarebbe necessaria una fase di debug immensa la quale impegnerebbe moltissime persone intente a testare e correggere il più piccolo ed impercettibile bug.

Realtà eonomiche che producono software a pagamento mal digerisco questo tipo di attività visto che ogni giorno che il software passa in questa fase corrisponde ad una perdita di denaro, ad una possibile fuga di notizie ed una probabile anticipazione dei concorrenti sul mercato con prodotti analoghi.

Dalla parte Open invece questa richiesta sfocerebbe in una estrema lentezza dei progetti che, vista della natura free del codice, non avrebbero risorse sufficienti per affrontare questa fase affidandosi totalemnte alla comunità che, per quanto veloce, ha certamente i suoi tempi.

Giungere al rilascio di una applicazione in modo ufficiale e stabile sarebbe quasi impossibile e sicuramente farà attraversare agli sviluppatori un calvario di modifiche più o meno impegnative.

Questa occasione è stata presa a pretesto da parte di Linux Foundation per stende ancora una volta la mano verso il software proprietario in cerca di una possibile collaborazione, Gutierrez, attualmente responsabile degli affari legali di Microsoft, ha detto che questa è solo una delle tantissme cose che le due entità operanti sul mercato possono fare insieme.

Una lettera scritta da due mani così importanti in questo profondo spirito di collaborazione dovrebbe far capire a coloro che hanno ideato la proposta che forse qualcosa di sbagliato in essa c’è, ovvio che questo non deve essere l’ennesimo pretesto per fornire a noi utenti software scadente o immaturo pagando pero a caro prezzo la sua licenza.

Link

Ciao a tutti.

Fino ad ora quelli di Redmond ci avevano abituato ad un modus operandi che si ripeteva uguale a se stesso nel tempo, genericamente le fasi che anticipavano l’uscita di un nuovo sistema operativo erano:

sembra che le consuetudini si siano interrotte con il nuovo Windows Seven, che sarà prossimamente in RC, visto che le fasi si sono trasformate in:

Forse non ve ne siete accorti ma quel BUG li al centro non è sinonimo di bontà per un sistema operativo che deve ancora uscire in versione definitiva [la à dal carattere differente è sinonimo di bug post rilascio.....;-)].

La falla, che già da ora secondo gli scopritori risulta irrisolvibile, permette  chi ne faccia uso di scavalcare qualsiasi difesa posta a guardia del pc al sistema operativo consentendo all’aggressore di guadagnare il totale controllo della macchina in fase di avvio.

Per riuscire a far ciò due ricercatori che operano nel campo della sicurezza informatica si sono avvalsi di VBootkit 2.0 ovvero un programmino del peso di 3Kb che permette di sostituire all’avvio i file che vengono caricati in ram la quale, per propria caratteristica, si svuota completamente una volta spento il computer permettendo così di ottenere un attacco totalmente trasparente e difficilmente smascherabile.

Fortunatamente il software può essere usato solo ed esclusivamente in locale è impossibile quindi, per ora, riuscire a sfruttare questo software da remoto.

Purtroppo questa limitazione non ne riduce la sua pericolosità, niente vieta di aggredire un pc lasciato incustodito per 10 minuti in qualsiasi posizione della rete, usare il software per aprire la strada ad altri tipi di attacchi e riavviare la macchina.

In un secondo tempo ecco l’aggressore che da remoto riuscirà a mettere in crisi l’intera rete dopo che si è facilmente aperto una falla senza troppa fatica.

Sicuramente qualcuno di voi avrà già pensato che il problema non si pone visto che il sistema operativo non è uscito ed una bella risistemata al tutto non lascerebbe spazio a falle di sicurezza; mie cari vi sbagliate, almeno stando a quanto dichiarato dai due ricercatori (Vipin Kumar e Nitin Kumar), che hanno presentato il loro lavoro alla Hack In The Box (HITB) Security Conference di Dubai, il problema risiede nel design del sistema operativo e quindi non potrà mai essere risolto.

Datemi retta e passate a GNU/Linux.

Link

Ciao a tutti.

Un fastidioso bug affligge la nuova release di Ubuntu 9.04 che in questo periodo si trova nella fase di RC (release candidate), una volta acceso il sistema mi sono ritrovato un desktop senza quei pochi ma essenziali effetti grafici che ho provveduto a configurare tramite l’ottimo pannello di setting del progetto.

Per prima cosa mi affido alla parte grafica del sistema operativo e dal pannello che regola le impostazione dell’aspetto del sistema cerco di riattivare il tutto incappando in un nulla di fatto ed una finestrina simpatica che mi dice che i driver non sono stati trovati.

La cosa mi prende una strana piega visto che l’hardware in questione è una Intel x3100 notoriamente correttamente supportata in tutte le sue parti da GNU/Linux.

La finestra di errore dice sicuramente il falso e non mi lascio convincere da essa, tento la via del terminale che al comando compiz risponde in malo modo:

e cosa è successo…..come mai un errore del genere?

Faccio un giro su Launchpad e trovo un paio di segnalazioni qui e qui, uno con un fix già rilasciato ed un’altra in approvazione.

Ok vediamo di risolvere il problema, mi metto a ravanare nel file compiz locato in /usr/bin e scopro che all’interno delle varie schede in blacklist c’è anche questa famigerata 8086:2a02 segnalata dal terminale.

Primo tentativo, editiamo il file mettendo un bel cancelletto davanti alla riga incriminata che passa da:

1

T="$T 8086:2a02 " # Intel GM965

a

1

#T="$T 8086:2a02 " # Intel GM965

vediamo se funziona?

Ok funziona, tutto è tornato alla normalità.

Esiste anche un secondo metodo per risolvere questo inconveniente ed è quello di avviare compiz da terminale tramite questa stringa:

1

SKIP_CHECKS=yes compiz

se compiz si avvia correttamente potete includerla all’interno del file di configurazione in questo modo:

1

sudo nano /etc/xdg/compiz/compiz-manager

per permettere al sistema di avviare il gestore grafico sempre con l’opzione attiva.

Mi sembra di capire che questo sia un vecchio bug che si è nuovamente fatto vivo……la cosa mi disturba visto che si tratta di un bug precedente alla data del 25-10-07.

Ho anche notato certa difficoltà della parte grafica nella corretta gestione delle finestra con e senza compiz attivo, brutti artefatti e finestre che si smontano mentre vengono trascinate non è proprio quello che mi aspetterei di vedere per i prossimi sei mesi, che mi dite, avete anche voi gli stessi problemi o è solo una mia botta di “fortuna”??

Ciao a tutti.

Dopo la vicenda Google/Miller, dove lo scopritore di bug aveva pubblicamente annunciato di aver scoperto un bug nella piattaforma Android, la grande G è corsa ai ripari correggendo prontamente il proprio sistema operativo per dispositivi mobili.

Tutti i terminali già venduti hanno la possibilità di essere aggiornati e protetti, operazione da effettuare da parte degli utenti proprietari dopo che un messaggio, in arrivo sullo stesso telefono, avvertirà degli aggiornamenti indispensabili per la sicurezza.

Ricordiamo come Google sia rimasta delusa dai comportamenti di Miller visto che lo stesso scopritore di bug non aveva rispettato il codice non scritto secondo il quale, una volta scoperto il bug, è buona norma comunicarlo prima all’azienda responsabile del progetto in modo da dare del tempo per porre rimedio all’errore.

In questo caso Miller, pur non rilasciando dettagli di tipo tecnico, aveva annunciato il problema pubblicamente, questa mossa, che alcuni hanno giudicato come scorretta, ha (IMHO) aumentato la velocità di risoluzione del bug in modo notevole visto che a distanza di una settimana si può registrare una patch da parte di Google.

Link

Ciao a tutti.

OpenOffice, la nota suite di produttività completamente open e gratuita, incappa in una vulnerabilità abbastanza grave.

L’errore di programmazione che rende il software insicuro risiede nell’errata gestione dei due formati grafici Wmf ed Emf.

Gli errori di gestione sono stati prontamente corretti dal team del progetto ed è essenziale, per essere al riparo da qualsiasi rischio, aggiornare alla release 2.4.2 oppure passare direttamente alla versione 3.0 rilasciata pochi giorni fa.

Anche se passato in sordina il problema è stato etichettato da Secunia come “altamente critico” il rischio infatti è che immagini appositamente costruite possano dare privilegi speciali ad un codice maligno che potrebbe essere eseguito sulla macchina in questione recando notevoli danni al sistema (buffer overflow).

Come sempre lode al team di OpenOffice che in modo estremamente veloce si è attivato per ridurre al minimo il rischio per gli utenti della suite libera per eccellenza.

Link

Ciao a tutti.

Importante notizia che riguarda Android, l’ormai famoso sistema operativo open sources per il settore mobile sembra soffrire di una prima falla di sicurezza.

Tale vulnerabilità è stata scoperta da Charles A. Miller ormai famoso per essersi intrufolato in un MacBook AIR in occasione del contest di sicurezza organizzato dal CanSecWest dove veniva richiesto ai partecipanti di violare tre macchine equipaggiate con i sistemi operativi più famosi, GNU/Linux, MacOSX e Windows.

Lo stesso Miller ha pensato bene di testare la sicurezza del nuovo progetto nato in casa Google ed i risultati non sono tardati ad arrivare, la falla scoperta dal bug hunter è stata scovata all’interno del browser dell’os il quale permette di eseguire codice malevolo da remoto dopo che l’utente abbia visitato un particolare indirizzo internet facente capo ad una pagina web appositamente strutturata.

Quanto scoperto da Miller è stato subito corretto da Google che insieme alla collaborazione di AT&T sta sviluppando una patch per i sistemi immessi sul mercato e già nelle mani degli acquirenti.

Per la verità la vicenda, se pur di ordinari amministrazione, ha scatenato un polverone vista la decisione del cacciatore di bug di informare Google e rendere il fatto pubblico nello stesso tempo.

Solitamente un codice d’onore non scritto impegna le parti al reciproco rispetto, quindi la comunicazione da parte dello scopritore del problema all’azienda responsabile va fatta in tempi utili per permettere alla stessa di improntare una soluzione utile e solo dopo che questa sia stata applicata con successo ci si può concedere alcuni attimi di gloria attraverso la divulgazione delle informazioni raccolte.

Miller in questo caso non ha gestito la cosa in termini canonici e si è concesso il privilegio di informare stampa di settore ed azienda nello spazio di poche ore una dall’altra, ovviamente estremo malcontento è stato manifestato dalla stessa Google che si è sentita offesa.

Personalmente ritengo giusto seguire questo codice di condotta non scritto ma questa volta non capisco proprio dove sia il problema visto che Miller non ha fornito nessun dettaglio ma si è solo limitato a dire che aveva scoperto una falla di sicurezza senza per altro scendere in dettagli che avrebbero potuto favorire le attività poco legali di qualcuno in ascolto.

Riflettendoci bene posso dire invece che in questo modo, ossia segnalando il problema senza per questo rendere pubblico alcun dettaglio, il cacciatore di bug è riuscito nell’intento che IMHO si era prefissato fin dall’inizio e cioè costringere Google ad operare nel più breve tempo possibile alla riparazione dell’errore onde evitare che orde di BlackHat si gettassero sul codice di Android alla ricerca della falla da sfruttare per fini illeciti.

Link

Ciao a tutti.

Per il vostro palato fine tre notizie di media importanza da leggere velocemente.

• Uno sguardo ad Open-moko

I ragazzi di ars technica hanno tetstato, per tutti coloro che vogliano leggere l’articolo in inglese, il software che equipaggia il telenonino Linux per eccellenza e cioè il Neo.

Tra le varie foto riportate protrete leggere di prestazioni ed impressioni d’uso, insomma una recenzione fatta con i fiocchi da leggere tutta in un fiato.

Link

• Fennec in arrivo…..la volpe in versione “deserto” colpisce ancora

Quanti di voi hanno per le mani un palmare o pocketPc di tipo evoluto con sistema operativo Windows mobile sa quanto sia importante un buon browser per affrontare quelle fugaci sessioni di navigazione in mezzo al marciapiede.

Come tutti sappiamo benissimo il browser già integrato nel sistema operativo non è dei migliori (non voglio scendere in offese gratuite) ed è necessario ricorrere a software alternativi come Opera mobile.

Anche Mozilla tempo fa annunciò la sua voltà di creare qualcosa di estremamente funzionale per i dispositivi mobili ed ecco che nacque Fennec.

Ora è il momento di fare il punto della situazione che vede la fondazione impegnata al rilascio della versione alpha tra un paio di mesi e, secondo pronostici, della versione finale entro l’anno prossimo.

Gli sviluppatori, come sempre in questi casi, dichiarano di volere un software leggere, funzionale in grado di destreggiarsi tra tutti gli standard della rete e compatibile con i sistemi dei plugin che ha creato la fortuna del browser della volpe, staremo a vedere.

Link

• Malware hardware con i processori Intel

Se le prime due notizie hanno una importanza di tipo relativo questa che vi vado a presentare è decisamente importante quanto meno sotto il profilo della sicurezza dei vostri dati.

Qualche tempo fa era possibile leggere in rete la notizia di bug dei processori AMD in fase di costruzione e fu scandalo.

Prontamente AMD dichiarò che quei bug esistevano ma erano stati corretti in fase di testing dei loro processori ed allo stato attuale nessun utente correva alcun rischio.

I bug in questione non mettevano certamente in crisi  la sicurezza del sistema ma piuttosto lo rendevano per così dire “meno performante”.

Ora lo stesso problema sembra essersi profilato per Intel ma in questo caso ci sono problemi ben più gravi.

Voci vogliono infatti che i bug che affliggano le cpu Intel siano potenzialmente pericolosi in quanto permettono ad un malintenzionato di crashare sistemi, prendere il controllo del kernel o disabilitare protezioni varie il tutto indipendentemente dal sistema operativo installato nella macchina.

Ad annunciare il tutto è stata qualche tempo fa l’Università dell’ Illinois ma ora Kris Kaspersky ha deciso che è l’ora delle dimostrazioni che ha intenzioni di proporre durante Hack In The Box Security Conference 2008 nel quale si prodigherà nel mostrare, a noi comuni mortali, esempi di queste tecniche applicate via javascript e pacchetti TCP/IP con qualsiasi sistema operativo.

Lo stesso Kris ha dichiarato poi di voler rendere pubblico tutto il codice utilizzato per la demo.

Link

Ciao a tutti.

Potrebbe suonare più o meno la richiesta di un programmatore intenzionato a scovare e correggere in tutti i modi possibili ed immaginabili un bug.

Pochi giorni fa uno sviluppatore OpenBSD, mentre era intento in una nuova implementazione di malloc, ha scoperto un bag Unix risalente al 1975 e mai corretto.

Bug quindi d’annata, ben 33 anni, nascosto all’interno di yacc; non mi crea stupore comunque che il bug sia stato scoperto da uno del team OpenBSD in quanto conoscendone qualcuno vi posso dire quanto siano attenti alla sicurezza di ogni riga di codice scritta.

Il bello della storia è che è stato rintracciato anche il programmatore colpevole, il suo nome è Stephen C. Johnson ed in quegli anni era dipendente della AT&T e ad oggi è ancora attivo sul campo con alcuni progetti.

Dimenticavo un dettaglio………il problema è riscontrabile solo su piattaforme utilizzanti processori Sparc64 e quindi su di un ridotto numero di macchine ma si sa che gli errori vanno corretti anche se l’utenza che potrebbe incapparvi è veramente minima……..santa pignoleria OpenBSD.

Link

Ciao a tutti.