Hackerspace News

News

Linux Kernel: Il grande silenzio che fa tremare i server

🇮🇹 · /root · Lamberto Tedaldi

Chi l’avrebbe mai detto che il cuore pulsante di Internet sia gestito con lo stesso livello di coordinazione di un gruppo WhatsApp di genitori durante una gita scolastica? È uscito un report piuttosto pepato su Openwall che mette in luce un problema strutturale che definire ‘disagio’ è un eufemissimo. In pratica, quando vengono scoperte delle vulnerabilità critiche nel kernel Linux, non c’è un sistema di allerta rapida o un ‘heads-up’ coordinato verso le principali distribuzioni. In breve: scoprono il bug, si parla del problema, e i maintainer delle distro si ritrovano a gestire l’emergenza quando ormai il codice è già pubblico e gli exploit sono pronti all’uso. Per chi vive di automazione, server domestici o progetti di edge computing, la cosa è decisamente poco divertente. Immaginate di aver appena finito di configurare il vostro nuovo cluster Kubernetes o il vostro server NAS custom per lo streaming di vecchi titoli arcade, e svegliarvi con la notizia che il kernel che state usando ha un buco che permette l’escalation dei privilegi. E la cosa peggiore? Non c’è stata una fase di ‘pre-avviso’ per permettere alle distro di preparare le patch in silenzio. Dal mio piccolo angolo di mondo, dove passo le notti a far girare script Python per ottimizzare il rendering di modelli Blender o a debuggare firmware di vecchi controller, trovo che questa mancanza di comunicazione sia un classico esempio di come l’ecosistema Open Source, pur essendo incredibilmente potente, soffra ancora di una frammentazione pericolosa sul fronte della sicurezza reattiva. Non è colpa dei singoli developer (che fanno un lavoro eroico), ma della mancanza di un protocollo di disclosure che protegga chi ‘subisce’ l’aggiornamento. Cosa significa per noi smanettoni? Significa che non possiamo permetterci il lusso di ignorare gli update. Se usate Linux per compiti critici, la vostra unica difesa è l’iper-vigilanza. Non aspettate che la notizia finisca nel feed di qualche tech-influencer su X. Controllate i mailing list, seguite i repository ufficiali e, se potete, usate distribuzioni che hanno una policy di sicurezza più strutturata. In un mondo dove l’hype per l’AI ci distrae costantemente da ciò che conta davvero (la stabilità del nostro stack software), ricordiamoci che la sicurezza non è un feature che si aggiunge con un plugin, ma un processo che richiede trasparenza. E finché non vedremo un sistema di allerta più serio, l’unica soluzione è restare con le dita sempre pronte sulla tastiera, pronti a compilare il prossimo kernel patchato prima che qualcuno decida di testare un exploit sul nostro server. Source: For Linux kernel vulnerabilities, there is no heads-up to distributions

webnewscybersecuritykernelLinuxopensourceSysAdmin

Rivian e il sogno (distopico) della connessione totale: la tua auto ti spia per il tuo bene

🇮🇹 · /root · Lamberto Tedaldi

Comprare un veicolo elettrico oggi è un po’ come adottare un piccolo server mobile che, invece di far girare script Python, monitora ogni tuo spostamento, accelerazione e, presumibilmente, anche quanto sei stressato nel traffico. Ho dato un’occhiata all’ultimo aggiornamento della documentazione di Rivian e, raga, la retorica aziendale è ai livelli massimi di hype. La loro missione? Preservare la natura e far evolvere i veicoli attraverso un’esperienza «connessa al 100%». Traduzione per noi che mastichiamo bit e circuiti: il tuo R1T o R1S non è solo un mezzo di trasporto, è un nodo IoT gigante che interagisce costantemente con il cloud, con l’app e con il resto dell’ecosistema aziendale. Il marketing parla di comodità e sicurezza, ma noi sappiamo bene cosa significa quel «migliorare nel tempo» attraverso il software. Significa aggiornamenti OTA (Over-The-Air) che possono aggiungere feature fighe, ma anche patch che potrebbero cambiare le regole del gioco senza che tu possa dire nulla. Il problema non è la tecnologia in sé — anzi, l’idea di un hardware che evolve è pura poesia per chi ama il continuous deployment — il problema è la chiusura del cerchio. Se ti piace smanettare con le tue CNC, costruire plotter o modificare il firmware di un vecchio Commodore, sai quanto sia frustrante il vendor lock-in. E qui casca l’asino. Quando un’azienda parla di una connessione così profonda e integrata, sta implicitamente dicendo che il controllo del dato non è nelle tue mani. La domanda che campeggia nel titolo dell’articolo di supporto di Hacker News — «Posso disabilitare tutta la raccolta dati dal mio veicolo?» — è il vero cuore della questione. La risposta implicita, che traspare da tutto quel linguaggio corporate sulla «connessione totale», è un bel no. Per noi che amiamo l’open source, l’estetica del retrocomputing e la libertà di modificare ogni singolo parametro di un progetto, questo approccio è un po’ una pillola amara. È fantastico avere un’auto che è un capolavoro di ingegneria elettrica e software, ma l’idea che la nostra privacy sia il prezzo da pagare per la «preservazione del pianeta» è un trade-off che non abbiamo votato. Speriamo solo che, tra un aggiornamento del firmware e l’altro, non ci dimentichiamo che un oggetto che possediamo dovrebbe restare, appunto, nostro. Altrimenti, non stiamo guidando un fuoristrada, stiamo solo pagando un abbonamento mensile per un sensore su ruote che ci dice quanto siamo bravi a non inquinare. Source: Can I disable all data collection from my vehicle?

webnewsAutomotiveInternet of ThingsprivacyRiviantech ethics

Belgio: il grande reboot nucleare (perché spegnere tutto non sempre è la soluzione)

🇮🇹 · /root · Lamberto Tedaldi

E se vi dicessi che a volte l’unico modo per non far crashare il sistema è ignorare il comando ‘shutdown’ e cercare di patchare il kernel in corsa? Sembra il tipico fix disperato di un sysadmin alle tre di notte, ma è esattamente quello che sta succedendo in Belgio. Il Primo Ministro Bart De Wever ha appena annunciato che il piano di decommissioning delle centrali nucleari è ufficialmente saltato. Sì, avete letto bene: niente smantellamento, si continua a far girare i vecchi reattori. La notizia, filtrata dalle testate internazionali, parla di un governo che vuole negoziare con ENGIE per nazionalizzare l’intera flotta nucleare. L’obiettivo dichiarato? Sicurezza, controllo della supply e meno dipendenza dalle importazioni di gas. In pratica, invece di fare un clean install di un sistema energetico nuovo (e costoso), hanno deciso di fare un upgrade forzato dell’hardware esistente, sperando che le dipendenze non vadano in conflitto. Dal mio punto di vista, questa è la classica situazione in cui la realtà si scontra con le intenzioni idealiste. Dal 2003 il Belgio aveva deciso di chiudere tutto entro il 2025. Poi, tra crisi energetiche, costi folli delle rinnovabili e la necessità di non restare al buio mentre si aspetta che la tecnologia sia pronta, hanno cambiato idea. È come quando provi a migrare un vecchio server legacy su un’architettura cloud moderna, ma ti rendi conto che il budget è finito e i dati sono troppo critici per rischiare un downtime. C’è però un aspetto che mi fa storcere il naso: la gestione della ‘nazionalizzazione’. Se il governo prende in carico non solo i reattori ma anche le responsabilità del decommissioning e le passività, stiamo parlando di un debito tecnico (e finanziario) mostruoso. È un po’ come quando compri un vecchio modulo CNC usato su eBay, scopri che ha tre motori bruciati e una scheda madre che gira su un microcontrollore custom che non trovi più in commercio, ma decidi di tenerlo perché ‘beh, è un pezzo storico’. Per noi che amiamo smanettare, la cosa interessante è il messaggio sottinteso: la transizione energetica non è un semplice switch ON/OFF. È un processo di refactoring continuo. Non puoi semplicemente cancellare le vecchie istanze di produzione senza avere un piano di failover solido. Se il Belgio riuscirà a gestire questa transizione senza far esplodere i costi, potrebbe diventare un caso studio interessante su come gestire sistemi legacy critici. Speriamo solo che questa ‘patch’ di emergenza non si trasformi in un memory leak che prosciugerà le casse dello Stato nei prossimi decenni. Intanto, io torno al mio Blender, che almeno lì, se crasho, posso sempre ripartire dall’ultimo autosave senza dover nazionalizzare l’intera industria del rendering. Source: Belgium stops decommissioning nuclear power plants

webnewsbelgioenergiaLegacy Systemsnuclearetech-politics