Oggi ho ricominciato a volare dopo 6 mesi di stop dovuto alle mie disavventure con GS Aviation di Malpensa. Come forse sapete, GS Aviation ha grossi problemi a causa di mancanza di aerei e di mancanza di istruttori: da Maggio 2008 ho infatti volato una sola volta, mentre nei mesi precedenti se volavo una volta al mese era un vero “miracolo”, con gravi conseguenze al mio addestramento. Ho quindi dovuto scegliere un’altra scuola, scelta caduta sull’Aeroclub di Varese, e chiedere a ENAC il cambio FTO. Ricevuta l’autorizzazione, oggi ho ripreso a volare sul Cessna 172N I-CCBF con un volo locale sul lago di Varese e sul lago Maggiore.

Ho cambiato il mio nominativo radioamatoriale in K2GIU, molto più semplice da ricordare.

Milano, Sabato 18 Ottobre 2008 - Sono stato relatore a SMAU 2008 con una confenza dal titolo “Proteggere i files sensibili da accessi non autorizzati: case study“.

Un buon numero di persone ha partecipato attivamente all’intervento: non mi aspetttavo certamente una sala così numerosa. Estratto dal whitepaper “Proteggere i files sensibili con SE-Linux”, ho voluto illustrare il progetto eseguito presso un’agenzia governativa. Ho anche provveduto a fare una demo sulle potenzialità del sistema messo in produzione, facendo vedere che anche diventando l’utente root non era possibile accedere in nessun modo ai documenti sensibili.

E’ possibile scaricare le slides da questo link, oppure andando nella sezione pubblicazioni di questo sito. Grazie a tutti quelli che sono intervenuti nella sessione.

Sabato 27 Settembre 2008 ho superato a Sasso Marconi (Bologna) gli esami da Radioamatore della FCC presso la fondazione G. Marconi. Apprendo ora, 8 Ottobre alle 23, di aver avuto assegnato il nominativo KC2UAH: da oggi quindi sono ufficialmente autorizzato alla trasmissione in bande radioamatoriali.

Sognavo da tempo questo momento, da quando avevo 12 anni, quindi da ben 20 anni! Questo sogno è stato realizzato grazie alla mia tenacia, ma soprattutto grazie a Maria che mi ha supportato in questo.

73 de KC2UAH (aka Gippa)

Un piccolo addendum al whitepaper “Proteggere i files sensibili con SE-Linux”.

Se vi ricordate, uno dei problemi principali era il fatto di non poter concedere attraverso sudo tutti i privilegi di root, perchè il super user poteva disabilitare le protezioni SE-Linux tramite il comando setenforce oppure disabilitare l’audit tramite il comando auditctl.

Dopo alcune prove, ho scoperto che posso proteggere auditctl e setenforce in una maniera analoga a come avevo protetto la directory dei documenti /documents, ovvero l’uso degli stessi MLS. Nel mio caso, ho creato un secondo livello MLS che ho chiamato Serights e l’ho inserito in /etc/selinux/targeted/setrans.conf:

s0:c4=Serights

Poi, tramite chcat, ho protetto i due comandi:

chcat +Serights /usr/sbin/setenforce

chcat +Serights /sbin/auditctl

Ho reso permanenti questi files ad un relabel inserendo nel file “docsecret.fc” le seguenti righe:

/usr/sbin/setenforce        gen_context(system_u:object_r:sbin_t,s0,c4)

/sbin/auditctl              gen_context(system_u:object_r:auditctl_exec_t,s0,c4)

Ho poi permesso ad un utente, es: l’utente secofr (=security officer), di poter abilitare/disabilitare selinux con:

chcat -l +Serights secofr

Ovviamente, sempre da quello descritto nel paper, l’utente secofr è stato aggiunto nel gruppo wheel. In questo modo solo collegandosi come secofr e poi facendo “su -” si potrà disabilitare selinux, oppure collegandosi a root da console.
Tanto per essere un po’ piu’ paranoici …

Oggi rilascio pubblicamente il whitepaper dal titolo Proteggere i files sensibili con SE-Linux.

Tratto dall’esperienza di un caso reale, il documento descrive come proteggere alcuni files sensibili (nel caso in questione dei PDF) da accessi non autorizzati utilizzando i sistemi ad accesso mandatorio (MAC) tipicamente utilizzati in ambienti militari.

La particolarità di questo documento è la metodolgia utilizzata in quanto i sistemi MAC sono tipicamente difficili da amministrare. Sono riuscito a trovare una formula per coniugare la necessità di riservatezza di files, proteggendoli anche dalle utenze di amministrazione, senza però introdurre troppe complicazioni di gestione. Un sistema protetto da SE-Linux è molto difficile da amministrare, ed è raro trovare competenze in questo ambito, ad esempio io sono l’unico in Europa per Red Hat. Attraverso la personalizzazione di SE-Linux e di alcune configurazioni del sistema operativo, sono riuscito ad ottenere un ottimo compromesso tra sicurezza/riservatezza e gestione.

Potete scaricarlo gratuitamente dalla sezione pubblicazioni. L’annuncio ufficiale con la press release è disponibile qui.

Buona lettura e buone vacanze a tutti!

Maria si è presentata a casa con un regalo per me: un adorabilissimo pupazzo della Trudi. Non è carino??

Dice che è perche -con me- c’è un “alieno” in casa: tutto nasce da quando -più di un anno fa- ho cominciato a fare gli esperimenti con VoIP e facevo le telefonate provando audio feedback e codecs. In quel momento mi ha chiesto se cercavo gli alieni …. e allora me ne ha portato uno! Subito è diventata la mia mascotte!! Lo chiamo affettuosamente “Ciao Mondo” (ovvero “hello world”), perchè nelle varie telefonate VoIP rispondeva la voce di Asterisk con “Ciao Mondo”.

E’ con un pizzico di orgoglio che vi annuncio che la piattaforma ADSL+VoIP di Vodafone è entrata in produzione e ora commercializzata verso gli utenti finali.

Ho lavorato a questo progetto per quasi un anno, in cui ho studiato interamente l’architettura, la realizzazione, lo stress test e la messa in opera del back-end della centrale telefonica, sia sul sito di test/integrazione che portandola in produzione a Roma.

Si tratta di un’architettura LDAP ad altissime prestazioni acceduta da due principali “blocchi”: da un lato il customer care che carica le utenze telefoniche, dall’altro la Internet Station che si registra alla centrale telefonica via degli SBCs e va a richiedere le autorizzazioni e le informazioni sui sistemi LDAP. L’architettura è capace di reggere 22.000 queries al secondo con un average service time di 14ms a singola richiesta.

La foto a lato è stata scattata il giorno della messa in esercizio della piattaforma VoIP di Vodafone nel sito di Roma, con Arialdo e Domenico.

Ho publicato le slides sulla mia ricerca dal titolo “Exploring Smartcards: an independent look to technologies and market”: si tratta di un overview del mercato e delle tecnologie inerenti alle smartcard per condividere con voi i risultati e le conclusioni che ne ho tratto.

Potete scaricare le slides qui, oppure scaricare le slides con le note qui. In alternativa, sono disponibili nella pagina Pubblicazioni, nella sezione “Presentazioni ed interviste”

L’incontro fissato per il 13 Giugno verrà cancellato a causa dell’esiguo numero di persone, ma sono ben lieto di partecipare a vostri incontri e discuterne insieme i contenuti.

Ho iniziato il passaggio macchina sul Siai 205. E’ un aereo molto stabile rispetto al Grob, di cui rimpiangerò (penso) solo i flaps elettrici e il DME. E’ un po’ un più complesso, bisognerà essere molto più veloci durante i controlli.