Thanks Guys!!!

Sono un pessimo amico, lo so. Tendo a sparire e non farmi sentire, ad evitare incontri nostalgici con milioni di scuse.

Forse per un certo senso di inadeguatezza che mi porto dietro da sempre, ma questa volta ho detto: eccheccavolo non osso sempre dare buca.

E cosi anche se stamattina dovevo fare una levataccia mi sono sforzato e ieri sera sono andato ad un ritrocvo di compafni del liceo, e sono felice di averlo fatto.

Eravamo in pochi al tavolo, in ordine orario:

io, Stefano Previtali, Fabrizio Zucca, Fabio Vaghi, Fabio Palma, Stefano Gregori, Marta Conconi (unica imbucata ma comunque gradita ;-)) e last but not least Sergio Sueri.

Che vi devo dire, magari siamo anche invecchiati, ma al tavolo non si notava. Certo non ci ricordavamo di un sacco di persone dei tempi del liceo (30 anni fa), Marta non è stata riconosciuta da alcuni (vergogna le ragazze si dovrebbero ricordare sempre), ma nel complesso sono stato proprio contento di vedere che in fondo in fondo non cambiamo mai, e le risate che facevamo allora le facciamo anche oggi, anche se parliamo anche di figli e lavoro.

Certo mi rendo conto che persino assieme non siamo riusciti a ricordare tutti, tra comagni e dintori, chi ricordava qui, chi ricordava la, chi non ricordava quasi nulla (he he he). Sarà l’età oramai avanzata.

Chissà se riusciremo prima o poi a ricostruire almeno nomi facce e vicende di tutto il gruppo (di alcuni non so più nulla, di altri ho scoperto che qualcuno teneva i contatti…).

Allora

• Previ ci hai trovato con alzheimer avanzato? Ma come ?!? … se tu ti ricordavi il minimo indispensabile.
• Fabri (o dott Zucca, o l’incommensurabile, o l’ingegnere) ma i ravioli che c’azzeccano con l’enterogermina?
• Cucciolo ma non eri un atleta una volta? (io mai ovvio)
• “daddy” (da oggi ti chiamo cosi) ma come non ricordi la moretti, la marta, la fiorella, la laura …che facevi al liceo?
• Greg, comunque mi devi ancora un compito in classe, non è carino copiare e prendere più di me
• Marta chi?
• Sergio, tu si dai soddisfazione e ricordi tutti e tutte…che facevi al liceo?

Quanto a me non posso che ringraziare tutti per avermi dato una bella serata, divertente come le serate di quei tempi in saletta (tutti uomini ancora una volta?!?) 🙂 e sapete che vi dico, spero ci sia una nuova occasione

 

Ciauuuuuuuuuuuuuuuuuuuuuuzzzzzz

A

Happy Halloween

Happy Halloween! (Photo credit: Wikipedia)

Embed from Getty Images

Embed from Getty Images

English: A Halloween sign, from a shop in Northern London. (Photo credit: Wikipedia)

Jack-o-lantern (Photo credit: Wikipedia)

Happy Halloween!!! (Photo credit: Wikipedia)

No a halloween (Photo credit: Wikipedia)

Happy Halloween (Photo credit: Wikipedia)

Happy Halloween.

This year we will not decorate just because Xiadani is not here, she’s in UK. But Halloween will remain one of our preferred events 🙂

So be scared, be happy

Cheers

Antonio

 

Related articles

• Cool Halloween Pumpkins
• 157 Piece Mega Halloween Toy Novelty Assortment $16.95
• The Perfect Pair: Halloween and The Hot Glue Gun
• Let AnnaLynne McCord Show You What Not To Wear For Halloween
• NEW Halloween Pumpkin Items Available At The Halloween Shop!

Ricordati: Windows 2003 Server sta andando in EOL!

Embed from Getty Images

Ok lo sappiamo, windows server 2003 sta andando in EOL, ma la domanda è noi ci stiamo preparando o faremo la stessa cosa che è successa con windows XP facendoci trovare impreparati?

Quanto hanno pianificato migrazione ed aggiornamento?

La questione sembra banale, ma alla luce dello sviluppo dei rischi di sicurezza legati al mondo dell’informatica, e la lentezza con cui affrontiamo le problematiche di aggiornamento forse la questione non è cosi secondaria e futile.

Windows Server 2003 Standard Edition cover box (Photo credit: Wikipedia)

L’esperienza di WindowsXP

Windows XP ci ha insegnato, o almeno avrebbe dovuto farlo, che non preoccuparsi della attualizzazione dei sistemi può portare a problematiche non indifferenti. Eppure dovrebbe essere abbastanza comprensibile, alla fine del suo ciclo di vita un sistema operativo diventa un oggetto da considerare particolarmente pericoloso in termini di sicurezza.

La mancanza di patching da parte del produttore dovrebbe, da sola, essere un driver per la immediata sostituzione, ma sembra che la cosa in Italia, addirittura oggi sia ancora non chiara ed esiste ancora un parco installato Windows XP e spesso non protetto con sistemi di Hardening (si pensi a Symantec SEP) o a sistemi di virtual patching (come offerti in Trend Micro Offiscan)

Come gestire il passaggio da Windows Server 2003 

Il problema di fondo è che esiste una evidente difficoltà ad aggiornare i sistemi, per motivi in parte economici ma molto per ragioni culturali e di conoscenza. Ma i rischi di sicurezza cui ci si è esposti con la mancata attualizzazione di windows XP si amplificano nel caso di Windows server 2003.

Cosa fare allora? Se non si è già fatta una pianificazione di migrazione comincia ad essere un po tardi, certe cose dovrebbe essere fatte con un certo anticipo, per assicurarsi che tutti i test di compatibilità, design ed architettura siano completi e garantiscano un passaggio il più indolore possibile.

Che fare allora?

Un suggerimento che mi sento di dare è iniziare a pensare ad un percorso di migrazione che preveda per un certo tempo una sovrapposizione di piattaforme che devono coesistere fino a che non si sono svolti i necessari tests. Per poter agire in tal senso è opportuno però pensare ad agire per dare un minimo di copertura di sicurezza su windows server 2003.

Le possibilità sono molteplici, un possibile percorso è utilizzare un prodotto che possa fare virtual patching, dal momento che gli aggiornamenti microsoft di sicurezza non saranno presto disponibili.

Un percorso possibile è quello di virtualizzare la piattaforma da migrare e poi utilizzare un prodotto come Deep security di Trend Micro per proteggere il server per il tempo necessario. La stessa licenza potrebbe poi essere utilizzata per proteggere il nuovo nodo in produzione una volta esaurita la vita del server 2003, mantenendo quindi anche la protezione dell’investimento.

Ovviamente il fatto di introdurre soluzioni di Virtual patching non giustificano assolutamente il fatto di non aggiornare la piattaforma, ma almeno possiamo offrire un innalzamento del livello di protezione in termini di sicurezza fino al raggiungimento dell’obiettivo di sostituire la piattaforma obsoleta.

Related articles

• Windows 2003 End of Support Poll By @AppZero_Inc | @CloudExpo
• Any known conflicts with having Windows Server 2008 R2 Standard and Enterprise
• End of support for Windows Server 2003 to affect schools
• Resources for your Windows Server 2003 Migrations

E se i tedeschi non si fidassero di noi?

ultimamente sembra che la germania sia la colpevole di tutti i mali, la ostinata caparbietà con cui si ostinano a perseguire il rigore in un momento di crisi sembra quasi ottuso.

Perchè i tedeschi non vogliono politiche economiche più flessibili?

Perchè questa ostinazione che rischia di piegare ulteriormente la nostra economia?

Non sono in grado di dare giustificazione economica, ne in un senso ne in un altro, ma ultimamente un sospetto me lo sono fatto: non è che l’opinione pubblica tedesca, e quindi i suoi governanti, non si fidano di noi?

se è vero che scelte economiche non espansive rischiano di comprimere ulteriormente i consumi e rendere piu faticosa, se non impossibile, la uscita dal tunnel della crisi economica, mi viene da pensare che i tedeschi temono di più che una maggiore apertura della esposizione finanziaria dei paesi come l’Italia porti non ad un miglioramento della economia ma un miglioramento della, scusatemi il termine, ruberia.

In effetti se guardiamo l’italia dagli occhi di un tedesco, non gli si può dare proprio torto: negli ultimi 20 anni la nostra economia è stata sempre in calo, mentre le spese dello stato sono aumentate esponenzialmente.

Ma a fronte di un aumento delle spese i servizi non sono aumentati ne in quantità ne in qualità, ou contraire vi è stato un continuo e costante degrado delle prestazioni dello stato.

In compenso sempre nello stesso lasso temporale la nostra immagine internazionale si è offuscata anche grazie ad una classe politica che faceva del gossip e delle brutte figure la bandiera. Del resto siamo noi ad avere in parlamento un soggettino come l’onorevole Antonio Razzi a capo della commissione esteri del senato.

E non si creda che la battuta sul Kapò di Silvio Berlusconi fatta nei confronti di Martin Schulz al parlamento europeo abbia migliorato la nostra immagine.

E che dire dei continui scandali, si veda la divertente epopea di Expo a Milano tanto per citarne una…

La cosa che agli occhi di un tedesco però risulta piu indigesta è il fatto che sembra che l’opinione pubblica italiana invece di stigmatizzare questi comportamenti li giustifichi e se ne compiaccia.

Non è che in germania, intendiamoci, non esista corruzione, stupidità o altre delizie. La differenza più grossa è che li se un politico ruba anche poco e viene scoperto, viene stigmatizzato dalla pubblica opinione e dal suo stesso partito, mentre da noi si grida al martirio e si cerca di giustificare l’ingiustificabile.

Non si tratta però di stolido bigottismo, come potrebbe affermare il buon Giuliano Ferrara durante una delle sue arringhe pro Berlusconi, ma di senso dello stato ed etica del medesimo.

Se la ci sono politici che si dimettono perchè hanno usato i punti della carta fedeltà della compagnia aerea maturati con i voli di stato, da noi non ci si dimette neanche davanti ad una condanna in primo grado. Questo per i nostri amici d’oltralpe è incomprensibile.

Come incomprensibile è come possiamo permettere ai nostri politici o dirigenti di dire cose imbarazzanti o comportarsi in maniera non consona. Insomma ce lo vedete il presidente della federazione calcio tedesca fare le stesse affermazioni di Carlo Tavecchio senza dimettersi?

Morale, etica, onestà, serietà. Sono questi gli elementi che sembrano mancare nel nostro rissoso, inconcludente, ferito paese.

Allora agli occhi di un tedesco, dare vincoli più laschi per l’indebitamento dello stato significherebbe, in Italia, dare il via a nuove ruberie e mal gestioni.

Questi soldi andrebbero, per loro, non a favorire la ripresa della economia, della occupazione e dei consumi, ma ad ingrassare i soliti noti che farebbero quello che hanno fatto negli ultimi decenni: asciugare le risorse dello stato per i propri interessi. E siccome il debito dello stato lo comprano gli stati esteri, ed il primo acquirente è la Germania…..

Insomma l’impressione è che il contribuente tedesco non voglia alimentare, con i suoi soldi, una classe dirigente (politica e non) corrotta e collusa con la criminalità o, nel caso migliore, inetta.

Ora prima di levare gli scudi ed iniziare a cercare i difetti tedeschi dovremmo osservare che, tutto sommato, il modello tedesco ha reso i tedeschi più ricchi di noi, con servizi migliori, con un costo della vita più basso (nonostante gli stipendi più alti), con un welfare migliore del nostro e un sistema di protezione dei lavoratori migliore.

Se vogliamo anche aggiungere che il tasso di criminalità è più basso, e che nel parlamento federale tedesco il numero di inquisiti è decisamente più basso del nostro, potremmo tirare conclusioni ovvie.

Quindi prima di offendersi, gridare allo scandalo e incitare all’odio per la mitteleuropa forse varrebbe la pena chiedersi: se noi fossimo in Germania, da tedeschi come vedremmo gli italiani?

Cosa diremmo agli italiani?

Probabilmente la prima cosa che diremmo è che siamo scandalizzati dall’atteggiamento accondiscendente che hanno gli italiani col malaffare, e gli suggeriremmo di iniziare a ricostruire una etica che premi l’onestà. Del resto non vorremmo certo dare i soldi a dei ladri o sostenitori di ladri, no?

Poi magari chiederemmo una rigorosa operazione di pulizia, che vada a togliere il marcio presente nella classe dirigenziale ed aspetteremmo di vedere se tali operazioni sono in grado di aumentare il livello di efficienza del sistema italia. Dove per efficienza si intende il rapporto tra i soldi impegnatirisultati ottenuti più che un calo delle spese.

Certo non siamo tedeschi, siamo italiani, per noi la fantasia conta di più, sappiamo cavarcela sempre, siamo furbi e ammiriamo i furbi, che cosa vogliono loro che mangiano solo krauti wurstel e patate….

Eppure, se fossimo onesti con noi stessi, alla fine non possiamo dargli torto è difficile fidarsi di chi continua a dare brutti esempi.

Non ci fidiamo di noi stessi:

• diamo scontato che per expo ci saranno ruberie,
• che quelli di equitalia e della agenzia delle entrate dono delle sanguisughe senza cuore,
• che i politici sono tutti ladri,
• che alla fine è tutto un “magna magna”
• …

e quando il buon Antonio Razzi dice ripreso di nascosto che li, in parlamento, “tutti si fanno i cazzi loro” noi siamo concordi con un sorriso amaro.

Allora prima di lamentarsi del fatto che i tedeschi insistono sul rigore dei conti forse dovremmo chiederci perchè…

 

Festival ICT

Ciao,

Giovedì 6 Novembre parteciperò come Relatore al festival ICT 2014 (http://www.festivalict.com) al comodo Mediolanum Forum di Assago.

Ti invito ad ascoltarmi. Farò un intervento dal titolo: Advanced Persistent Threat: come muoversi tra il marketing e la realtà?

SALA 9. ore 9:25-10:05

Su  trovi l’abstract del mio intervento, oltre che gli altri 69 interventi disponibili oltre al mio.

La partecipazione è gratuita e ci si iscrive su 

Ti aspetto.

Ciao e grazie

 

Ho paura della legge di stabilità

Diciamolo, questa volta la legge di stabilità, nota in passato come finanziaria (perche con questa lo stato si finanziava?), ci mette in apprensione.

Non si tratta della stangata, che tutti ci aspettiamo in una maniera o nell’altra, ma di come questa colpirà le nostre attività.

Leggendo i giornali sembrerebbe di capire, ad un non esperto come me, che ci si aspetta di operare su 3 aree distinte:

1) tracciamento di tutti i pagamenti, rendendo l’uso dei contanti una frazione minima delle transazioni.

2) aumento delle accise e dell’iva per compensare gli sgravi di tasse

3) una nuova stretta per quello che riguarda la lotta alla evasione.

dal mio punto di vista il punto 1 può rappresentare una seccatura, ma non incide in maniera pesante sulle mie abitudini, ma vorrei capire come faranno a gestirla persone come mia madre che tutt’ora hanno i tremori di fronte ad un bancomat. … Già ma loro sono anziani, cosa ci frega a noi giovani (sic).

Per venire in contro alla categoria degli attempati  comunque si sposta avanti il pagamento delle pensioni cosi l’inps ci guadagna in valuta mentre loro ci perdono in salute (per non considerare quisquilie com gli affitti e le scadenze di inzio mese).

Ma ancora una volta perchè preoccuparsi di queste sciocchezze di fronte al bene più grande del paese.

Il punto 2 è un classico, ci aspettiamo aliquote IVA fino al 25,7%. Il discorso dell’aumento dell’va è un vecchio adagio, il fatto che ad ogni aumento ci sia un calo dei consumi tale da rendere non solo inutile l’aumento in termini di flusso di cassa ma addirittura di provocarne un calo è lettera morta. Gli esperti economisti della pubblica finanza sanno usare bene la calcolatrice e non si preoccupano di queste quisquilie.

C’è da dire che il calo dei consumi non può continuare in eterno, e che se gli economisti hanno stimato bene le cose avranno calcolato che arrivati al fondo del barile ogni aumento ulteriore di iva non potrà che far aumentare gli incassi perchè si è già arrivati al minimo livello di acquisti per la sopravvivenza.

Mi spiego:

se io ho 100 da spendere magari ne uso 50 per le cose indispensabili e 50 per le cose “futili”.

Ad ogni aumento dell’iva posso far calare le cose futili, ma non posso contrarre piu di tanto le spese indispensabili (tipo cibo, riscaldamento….). Ora se io aumento l’iva, ad esempio potrei dover spendere 49 nelle cose indispensabili ma solo 30 nelle futili. Il calo di 21 punti però potrebbe essere tale da annullare l’effetto dell’aumento dell’iva a causa della contrazione dei consumi.

Oora se aumento ulteriormente l’iva più volte contraggo sempre piu la parte futile e meno la parte indispensabile, supponiamo di arrivare allora ad un punto in cui ho contratto a 45 la parte indispensabile e a 5 la parte futile, un ulteriore aumento di iva potrebbe anche portare la parte futile a 0 ma non potendo contrarre ulteriormente la parte indispensabile della spesa ecco arrivare i tanto agognati aumenti di incasso per l’erario.

Certo in questo modo si è ammazzata l’economia, ma queste sono sottigliezze di fronte al bene più grande.

Il punto 3 è un atto di doverosa giustizia sociale se non che…. come viene fatta in italia la lotta alla evasione?

C’è stato un momento in cui lo stato italiano decise che era immorale e non etico procedere al sequestro di case di proprietà, mobili e strumenti lavorativi in caso di contenzioso fiscale. la idea era che il recupero da parte dello stato non poteva arrivare al punto di rendere impossibile o danneggiare il livello minimo di vita del cittadino.

Insomma bloccare la attività lavorativa, privarlo del domicilio…che stato si macchierebbe di tali nefandezze?

Per fortuna l’agenzia delle entrate per evitare di dover incorrere in tale increscosa attività si trovò coadiuvata da un nuovo soggetto, equitalia, che aveva meno vincoli in questo senso e quindi poteva operare più efficacemente (qualcuno, io no ovviamente, potrebbe dire in barba all’etica e alla morale?) procedendo anche al sequestro di immobili di residenza e strumenti di lavoro.

Ora questo fatto, apparentemente ininfluente, ha una valenza strategica enorme; le statistiche della sofferenza dello stato nei confronti di chi deve pagare le tasse dicono che la maggior parte di questo credito appartiene ad un numero relativamente esiguo di grandi evasori, mentre una minoranza è divisa su una grandissima fetta della popolazione. La ragione per cui tanti piccoli contraggono debiti con lo stato potrebbe essere l’alto livello impositivo e la crisi economica ma, diciamolo, perchè andare cosi per il sottile?

Ora supponiamo che la differenza sia dell’ordine 70% il capitale in carico ai grandi evasori e 30% in carico ai piccoli…con chi si muove equitalia e l’agenzia delle entrate? Ma ovviamente con il 30%.

La ragione è abbastanza semplice: mentre chi detiene il 70% dell’evaso è comunque abbastanza ricco ed esperto da poter muovere avvocati ed alimentare un lungo contenzioso il 30% di solito si trova nella condizione di non potersi neanche permettere la copertura legale per un contenzioso con lo stato. Come risultato colpire nel 30% risulta molto più facile. Certo questo significa alimentare una maggiore quantità di azioni piccole per lo stato, ma spesso devastanti per il piccolo contribuente. Ma via dura lex sed lex no?

Ora se sei un dirigente di equitalia sarai misurato indipendentemente dalla origine dei recuperi  ma solo dalla sua quantità (pecunia non olet, alla faccia dell’etica) e quindi ti muoverai di conseguenza sparando nel mucchio, peccato se qualcuno ci lascia le penne.

Va da se che questo potrebbe portare ad un ulteriore impoverimento del tessuto sociale, ma la colpa non è di nessuno. Mi sembra di ricordare che una volta qualcuno parlò di evasione di sopravvivenza, e un alto dirigente non ricordo se di equitalia o dell’agenzia delle entrate chiosò con un “se è vero che esiste una evasione di sopravvivenza, gli evasori sono comunque parassiti”; si potrebbe obiettare, mi io mai lo direi, che parassita è una entità che consuma le risorse dell’ospite sino ad ucciderlo, il che assomiglia molto a quello che fa equitalia, ma ripeto io mai sosterrei una cosa del genere.

Certo si potrebbe invece pensare ad un simbionte, che vive delle risorse dell’ospite dando in cambio del valore indispensabile per questo, come la nostra flora batterica, ad esempio, che ci è indispensabile per vivere. Ma uno stato così sarebbe una chimera utopistica …

Quindi ricapitolando la nuova legge di stabilità potrebbe portare da un lato tagli fiscali alle imprese, ma come controparte la uccisione della gran parte della capacità economica del paese. Insomma le imprese potrebbero anche tornare ad assumere, ma se nessuno può comprare…..

Ora il problema è solo marginalmente la partita finanziaria, se ci fosse ad esempio una indicazione che il recupero fiscale sarebbe fatto al 90% sul 70% mancante e il rimanente 10% sul 30% a scalare per valore di evasione (dal più grande al più piccolo, insomma) con possibilità di sospensione o rimodulazione del debito per chi abbia problemi economici si potrebbe fare un sospiro di sollievo, se gli sgravi contributivi per le nuove assunzioni fossero dati solo a chi presenta un saldo positivo di assunti (evitando quindi il fenomeno della sostituzione della forza lavoro per approfittare della detassazione) si potrebbe pensare ad una manovra che effettivamente cerca di aumentare l’occupazione… ma di tutto questo io non ho sentito nulla, mentre sento dell’aumento dell’IVA e delle accise (su cui per altro paghiamo l’iva).

Dato che il paese negli ultimi 20 anni non mi ha dato motivi per essere fiducioso, posso mostrare segni di leggera inquietudine e dire che continuo ad evere paura?

 

Ogni commento è benvenuto.

 

 

 

Sandboxing, utile o no?

Sul mercato oggi ci sono diversi prodotti di sicurezza che utilizzano la tecnologia delle sandbox per offrire un nuovo livello di protezione nei confronti di target attack, vulnerabilità “0”days, advanced persistent threat e via dicendo.

La domanda che dovremmo porci è se le tecnologie di sandboxing sono, in questo senso, una soluzione efficace per proteggere le strutture aziendali odierne.

Innanzi tutto capiamo cosa significa utilizzare il sandboxing. L’idea di base è quella di creare un ambiente virtuale che simuli l’ambiente standard al fine di testare il comportamento di oggetti potenzialmente dannosi.

I potenziali vettori di infezione vengono dirottati verso questa macchina “virtuale” che viene monitorata al fine di vedere se durante l’esecuzione avvengano fenomeni anomali, quali comunicazioni di rete, modifica di configurazionifiles, escalation di diritti amministrativi e via dicendo.

Il pregio maggiore di questo tipo di tecnologia consiste nella capacità di identificare problematiche “sconosciute” riproducendo l’ambiente di esecuzione e registrando i comportamenti anomali. Questa caratteristica rende le tecnologie di sandboxing estremamente interessanti per coadiuvare eventuali processi di identificazione e monitoraggio di attività malevoli nella rete.

Vi sono però da valutare delle limitazioni che affliggono l’uso delle sandbox.

• la prima osservazione è che una sandbox per essere il piu efficace possibile dovrebbe replicare con la massima attenzione lo status dei sistemi che si vuole proteggere. Le caratteristiche dellae sandbox deve replicare  Sistemi operativi, livello di patching, applicazioni e configurazione.

Questo implica che il lavoro di costruzione dell’ambiente che deve fungere da test può essere estremamente complesso o, quantomeno, richiedere un certo numero di macchinvirtuali. Si pensi infatti agli ambienti reali dove la “standardizzazione” è solitamente una chimera.

Ciononostante anche se gli ambienti non sono perfettamente replicati le tecnologie di sandboxing possono ancora giocare un ruolo notevole nel coadiuvare la lotta alle intrusioni.

• un’altra limitazione è legata al fatto che le sandbox hanno bisogno di sistemi di monitoraggio che, nei fatti, alterano il comportamento della macchina stessa. Dover mappare l’accesso alla memoria, la modifica di registri, file ed altro rende la macchina virtuale comunque “diversa” da una reale, e su queste differenze si giocano le tecnologie stealth e anti sandbox sviluppate dagli attaccanti.

In altre parole le tecnologie di sandboxing non sono nuove a chi sviluppa sistemi di attacco, alcuni “malware” sono capaci di riconoscere se l’ospite è una sandbox e adottare tecniche di evasione opportune. In alcuni casi si usano tecnologie capaci di nascondersi ai sensori installati, altre volte semplicemente il malware diventa quiescente interrompendo qualsiasi attività al fine di non essere scoperto.

• va infine considerato il fatto il fatto che le stesse sandbox possono essere oggetto di attacco eo vulnerabilità più o meno note. Questo può essere un limite soprattutto in caso di APT ed attacchi mirati.

I prodotti che si appoggiano a tali tecnologie, quindi, vanno valutati con attenzione. Le tecnologie di sandboxing, come quelle che utilizzano sistemi di reputation, sono efficaci solo se introdotte in contesti in cui esistono altri componenti che coadiuvano l’analisi, va quindi valutato con attenzione in termini di cosa sia già presente e cosa offre la soluzione proposta oltre alle tecnologie di sandboxing.

 

Related articles

• How to Install Hortonworks Sandbox on Windows 7 ?
• Sandboxie: Run Windows Applications in Sandboxes and Protect Yourself from Malware
• FreeBSD Security Advisory – namei Memory Leak
• Digital Sandbox Lab Pack (LAB-13111)
• Sandboxie 4.14 Final
• Executive Sandbox – The Sand Trap
• Sandboxie 4.14 Multilingual (x86/x64)
• Critical Vulnerability Found in Cuckoo Sandbox
• Sandboxie 4.14 Multilingual (x86/x64) & Win7dl.co download

Is Sandboxing technology the answer?

Most of the security solutions in the market those days leverage sandboxing technologies to deal with Advanced Persistent Threats,  “0”days vulnerability, target attack and so on.

It would be interesting to analyze the good and the limits of this kind of technologies to be able to better choose our security solutions.

What is a Sandbox?

sandboxing means to create a “virtual”, “fake” image that can be targeted by malware attackers o unknown security problems.

Monitoring the change that happen to this decoy it is possible to understand if something strange is going on. The idea basically is that since the fake machine should perform just a serie of deterministic actions anything that goes out of the baseline is something that require further investigation.

So configuration changes to files or registry, unwanted external communications, different memory load everything can be used to understand if something is going weird.

The hardest part in creating a sandboxing system is that the target should look like a normal environment, while it has to be deeply monitored, far beyond the usual monitoring needs.

another hard point for sandboxing technology is that the decoy should be as close as possible to the used systems you want to protect, otherwise you could not be able to look at what is happening in the real environment.

Last, but not least, we should remember that some of malware and attack that are outside come against sandboxing technology using stealth or anti sandbox technology. While the first try to hide and be undetectable, the second try to understand if the target is a real or fake one, and in the second case stop any execution in order to not be detected.

Sandboxing techniques are effective and a powerful tools when dealing with security but should be implemented carefully.

we should take in account some considerations:

1) the less standard is your environment the less effective is the sandboxing approach. This is related not only to operating systems in the several version, patch level and so on, but also to all the software running on the platform.

If we think, as an example, to a microsoft environment we should be able to duplicate all the existing configuration: Windows version, service pack, Office version and patches, browsers and so on.

Now this seems easy but if we do not have a strict control we could be in need to create a great number of sandbox units in order to fit the various configuration. And I’m not considering hardware drivers….

2) a sandbox can be exploited

The sandbox itself can be exploited. Usually we are dealing with some sort of virtual image that is monitored by its drivers, this means that the sandbox itself is not immune to attacks. Target attacks or APT can have all the interests to leverage eventual vulnerability of the sandbox systems in order to be successful.

3) an evolving environment needs an evolving sandbox systems

as for the other security technologies the sandboxing is useless if not insert in a series of process that deal with the security, a process that has to take into account the evolution of the systems and user behaviours as well as of the external environment in terms of threats and technologies.

So are sandboxing technologies worth the effort? The answer is simply yes but in a clear security context. As for reputation technologies, sandboxing could not be, alone, the answer but sure is a powerful tool if used correctly. Beside marketing effort that sometimes present those technologies as the holy grall of security we should be aware that are just tools to be wisely used .

 

Related articles

• Sandboxie: Run Windows Applications in Sandboxes and Protect Yourself from Malware
• Innovating the Mobile Internet
• How to Install Hortonworks Sandbox on Windows 7 ?
• Wiktionary:Sandbox
• Critical Vulnerability Found in Cuckoo Sandbox
• FireEye founder: McAfee copied my design
• FireEye aims for a cultural shift around advanced security
• The Basics of Sandbox Maintenance
• Hackers exploit two more Windows zero-day bugs
• Malware attacks almost double in EMEA – FireEye report

On the HP and Symantec split

HP and Symantec: You two I split in two…..

 

So seems a few days I wrote about gigantism in the tech industry (see my articles on Daft Blogger Magazine)and just as a quick answer we have had new split decisions coming from two big giants…HP and Symantec. Come on guys I didn’t know my opinions were so important for you…

 

In a period of hard recession it is quite normal to see companies that try to cut costs and staff, but HP and Symantec goes further and decided to split themselves: is this a good and sound operation? And what does it means for those companies?

 

Let’s talk first about HP.

 

HP –> “Hewlett-Packard Enterprise” and “HP Inc.”

The continuous growth of HP, and the continuous acquiring of companies has always been quite curious. It is seldom followed by an understandable sales and product strategy and so the company has been always be a strange mix of never solved identities.

 

We can easily name at least 3 critical areas in the soft belly of this giant whale:

• Consumer
• EnterprisePrint integration
• EDS and services

 

Consumer:

The consumer area has always been a really competitive area, and HP product have had big troubles to emerge. It was not really a problem related to quality but to marketing, communication and strategy. We can hardly name HP consumer’s product for something amazing or thrilling, nor for design nor for introduction of new technologies nor even for low prices. Basically the offering has been anonymous both in the computer and the printer area. While we can expect more technical considerations in the purchasing process in the enterprise (although this is quite not always the case) we, for sure, can’t expect it in the consumer space where “feelings” takes a big part in the purchasing strategy.

At the same time we can’t see HP as a competitor in the low targetprice market. So It was hard to understand why HP was there.

It could have been a smart idea, may be, after Compaq acquisition trying to have a brand for enterprise product and a brand for consumer product? Too late to give an answer, but for sure the consumer segment has been bad managed. Will the split help to solve this?

 

Enterpriseprint integration

So we have a company who is dealing in the enterprise market selling quite everything: printers, servers, networking, software, security….. the problem here for people who knows HP is that different BU does not talk together. Printer and Servers does not have anything in common, I know, but we could expect that if you’re a salesperson trying to sell a printer system to a company and hear that they could need also some datacenter stuffs you could call your colleague….well it is not the case in HP.

This split from this point of view will just communicate to the external world what is happening since the beginning in HP, the printing division has nothing in common with the data center one, not even the company global target, so splitting it in two is just a logical result.

Is this something we could not have afford differently? Again integration and a common direction is a tough goal it needs great management and almost better leadership, things that have lacked according to the people who have worked with or in HP in the last years.

But the complexity inside HP was affecting all the aspect: sales process and product development are just the spotlights.

While in the printing space is still a nightmare to ask to HP a cost for page when dealing with high volume printing systems (guys give your sales people the right tools to compete) in the enterprise space things are not always so clear as well.

And some acquisitions did not help to clarify the efforts: may be you remember the 3com affair……

So lack of vision, strategy, execution or all of them?

Will the split help to solve this?

 

EDS and services

And now the most painful part, this is a never-ending story, since acquisition. Profit were not just good, complexity and resistance basically never allowed a real integration. We know that as an Enterprise Service Division the HP guys were not even committed to offer HP HWSW. This is understandable of course while we want to compete as system integrator, but would not help the rest of the company to watch those people in a friendly way. At the end HP started to lay off people from the former EDS starting, of course, with packages and sending away the top performer salespeople and not the underperformer management, but this is quite common in all the recent companies layoff. Hardly the management assume the consequences of their poor management and strategy and so they just lay off people because is the quickest way to make savings, no matter the consequences in mid-long terms (should I talk about  recent laying off announcement of engineering in networking company?).

Will the split help to solve this?

We’ll see but my personal opinion is that the split itself will not be the solution, unless the split will be the via for other operations, at the moment untold but present as a white noise in the market: Acquisition..dismissions… and so on…

 

Symantec –> “Symantec Security” and “Symantec Storage aka VERITAS software” (?)  

Sometimes they come back.

In 2004 Symantec announced the acquisition of VERITAS software, the acquisition was completed in 2005. The underline idea in this operation was partially due to broad Symantec portfolio merging a leader in software security with a leader in software storage management.

One of the desiderata of Symantec higher management at those time was to bring inside Symantec some “enterprise” knowledge in terms of management and customer relationship. The truth at those time was that Symantec was trying to change its identity as a “antivirus” company into something more “enterprisish” , the acquisitionmerge with VERITAS software should have brought a different image to the company.

Veritas salesperson were used to talk with higher level contacts than Symantec ones, you usually do not talk with a CEO or a CTO if it is just an antivirus you’re dealing with. The change would have brought a different perception of Symantec in the large enterprise space, and would have bought the chance to offer differently the portfolio.

But things gone differently, storage and security market are not the same, and security competition landscape was completely different from the storage one at that time. The merging was not so successful, and a lot of the previous Symantec people leaved, making VERITAS management and salespeople the real winner of the internal battle, but at what cost? The cost have been painfully clear erasing little by little the idea of Symantec as a security company, while dealing with internal never-ending politics and a few good product management Symantec started to lose the channel who was driving most of its security market while not able to gain a direct enterprise touch.

So rumors started to comes, selling the consumer area? But it was basically giving Symantec 50% of its revenues, so let’s Norton brand come and disappear and comes again. Making acquisition? Brightmail leadership and brand was used and then forgotten and then used again…

A few but well confused ideas…

Lack of direction and management has been affecting the company image and performance: this affected product development as well disaffecting customers and partners, discouraging internal salesforces and engineering…

And now … Will the split help to solve this?

 

The Split

So two giants have realized that sometimes gigantism could affect performance and identities: without a common vision, a sound strategy and a great tactical direction merges could become just a way to broaden complexity. But splitting what has been done in the past can’t be the solution itself, if it is not followed by a clear understanding of what the split means. The underline suggestion is that a split should be followed by a radical change in the management, because this is where the two companies failed.

It is not a problem of not-committed salespersons or bad engineering, this is a problem of identity and strategy that means bad MANAGEMENT. And this is the truth at the highest level as well as the forwarder level (those layers of managers whose activities seems to be based on collecting spreadsheets from the bottom and forwarding them to the upper level, have you ever met those kind?).

I have great personal memories of Symantec, so I truly hope that this move will help them to gain back the role they used to have, as well as I have a lot of great friends that work or have worked in HP and EDS so I wish all of them the best of luck in those hard days.

That those splits be the beginning of a reborn and not the last cry of a dying whale.

Related articles

• After eBay and HP’s breakups, Symantec may be next in line for a split
• Analysis: Symantec split was a long time coming
• Symantec split could lead to more innovation, says AISA
• Breakup Fever? Symantec Latest to Talk Company Split
• In the latest business strategy, Symantec plans to split in two
• Is Symantec’s Breakup a New Beginning or the Beginning of the End?
• Market Update (NASDAQ:SYMC): Symantec says it will split into two companies
• Symantec confirms split into two public companies: one focused on data, the other on security (Jordan Robertson/Bloomberg)
• Symantec Split Divisions in 2 entities by Jason Galanis

Il prossimo avvocato che parla di privacy a sproposito lo mordo...

Ok l’argomento è ostico, lo so, e le leggi italiane che hanno a che fare sulla privacy sono tutto fuor che chiare e comprensibili. Scritte in un limbo che si trova tra il non capire l’argomento, non avere le corrette referenze tecniche informatiche, e una area nuova anche dal punto di vista della tecnica legale, soffrono di uni problema di diffusione, comprensione ed interpretazione.

Ma a fronte di taluni esperti che sanno di che cosa si parla, spesso mi trovo di fronte ad imbarazzanti affermazione da parte di soggetti che la questione dovrebbero conoscerla almeno in maniera minima: avvocati e magistrati.

L’ultima terreno di contesa è stato la questione della registrazione delle telefonate. come molti sanno oggi sono disponibili sul mercato molte app, android, iOS o Windows che consentono di registrare le telefonate in uscita ed in entrata dal proprio smartphone.

L’oggetto del contendere è la liceità dell’uso di tali applicazioni. Una superficiale linea di pensiero, comune purtroppo anche presso molti che operano nel settore legale, associa l’atto di registrare la propria telefonata (in ingresso o in uscita) alle famigerate intercettazioni telefoniche.

Questa interpretazione è non solo sbagliata dal punto di vista tecnico, ma anche abbastanza curiosa. Nel concetto di intercettazione vi è la attività di un terzo che si appropria del contenuto di una comunicazione, mentre la registrazione effettuata da una delle due parti non implica la presenza di terzi.

E qui stà proprio la grande differenza, se durante lo scambio tra due controparti dirette vi è da parte di una delle due parti l’intenzione di registrare o in qualche modo memorizzare il contenuto della comunicazione questi non stà effettuando una “intercettazione” in quanto non è lemento terzo allo scambio di informazioni, ma parte in causa diretta. Non si può invocare, parimenti, la violazione della privacy, dal momento che il contenuto stesso della comunicazione è direttamente riservato ad entrambi le controparti.

Dal punti di vista tecnico informatico la cosa è anche più evidente se si considerano sistemi di comunicazione “asincroni” o con streaming via proxy. traducendo in linguaggio imano, se comunichiamo con sistemi che gestiscono i dati col meccanismo dello “store and forward” , tipico ad esempio di molte soluzioni Voip o di messenging, la registrazione della cominicazioneavvviene comunque persono durante la trasmissione per motivi strettamente tecnici (cache, performance, ottimizzazione e compressione …).  La registrazione e lo store dei dati di comunicazione è, ad esempio, obbligatorio nella trasmissione della mail. ma ricevere una mail da qualcuno non è “intercettarla” anche se rimane salvata sui client di posta e sui server.

Registrare una telefonata rientra nella stessa casistica. Non può essere considerato in alcun modo una violazione della privacy. Dobbiamo eventualmente chiederci quali siano i limiti di uso di tali registrazioni.

In questo caso la questione si fa più delicata, in effetti potremmo dover distinguere diverse casistiche, dovendo tenere in considerazione se l’oggetto della comunicazione può essere sottoposto a vincoli di uso perchè, ad esempio, contiene dati sensibili, o se vi è stato in precedenza un agreement sulle modalità di uso di tali dati tra le controparti, se le controparti sono civili o unaa o entrambe sono società….

In linea di massima si può dire che la registrazione può essere effettuata, quanto alla sua divulgazione dipende dalla natura delle informazioni scambiate. Ma questo è vero per qualsiasi modalità di comunicazione diretta o indiretta, la registrazione non ne altera lo status.

Altro punto da tenere presente è che la registrazione può essere comunque utilizzata, ad esempio, in sede legale tanto quanto sms o mail, persino se ci sono vincoli di non divulgazione.

Quindi il prossimo avvocato che mi dice che le registrare le telefonate non è legale, lo MORDO 🙂

PS1: in caso qualche avvocato\magistrato legga il post; ovviamente la ultima affermazione va intesa come scherzo e non vuole essere, in alcun modo, una minaccia rivolta ad alcun individuo specifico o categoria di lavoratori. Qualsiasi interpretazione diversa dal tono scherzoso è quindi da considerarsi arbitraria, fallace e, alla luce della presente dichiarazione, mendace.

PS2: in caso che qualche magistrato\avvocato legga il post: il post è presente su un blog che non può essere in alcun modo associato alla legge sulla pubblicazione a mezzo stampa ancorchè digitale sia a causa della aperiodicità del medesimo, sia per la natura personale dei contenuti, Va inoltre osservato che dominio e locazione dei server contenenti i post di questo blog sono situati al di fuori del territorio della comunità europea e quindi nessun provider europeo può essere considerato corresponsabile per la distribuzione di tali contenuti.

PS3: In caso che qualche magistrato\avvocato\giudice legga il post: si stò giocando (ma conoscendo la gens italica mettiamo comunque le mani avanti, che non si sa mai) 🙂

 

ciao

Antonio

 

 

Seminario V-Valley: Sicurezza informatica nell'ambito della legislazione italiana

 

Mercoledì 22 Ottobre 2014  presso la sede ESPRINET –  Via Energy Park 20 – Vimercate
	SEMINARIO
“Sicurezza informatica nell’ambito della legislazione italiana. Le soluzioni di RSA.”  Relatori: Antonio Ieranò – Security Advisor Fabrizio Banfi – RSA Distribution Manager Italia
Agenda:
09:30 – 10:00   Registrazione
10:00 – 11:00   Cybercryme, leggi e responsabilità civili e penali–  Ilquadronormativo:leggi,norme edinterpretazioni-  Lo status del Cybercrime: vittime e complici inconsapevoli (ma complici)
11:00 – 11:00   La legge Italiana e le responsabilità dell’IT
12:00 – 12:45   Requisiti minimi per stare tranquilli: Rete, Dati, Utenti
12.45 – 14.00   Le soluzioni di RSA: Authentication Manager, Identity & Access Management……..e DLP
14.00 – 15:00   Pranzo presso l’agriturismo “La Camilla” – Concorezzo
Obiettivo del seminarioL’obiettivo del seminario è quello di chiarire alcuni aspetti che legano il mondo dell’IT alla legislazione Italiana e suggerire possibili soluzioni implementative che alcuni vendor, come RSA,possanooffrire venireincontro aspecificheesigenze. Inparticolareverràposta l’attenzione alleproblematiche digestionedegliutenti, primoveropuntodeboledellestruttureinformatiche.  Struttura del seminario Nel corso del seminario si otterremo indicazioni su quali sono i vincoli che leggi e regolamenti impongono a chi implementa o gestisce una struttura Informatica. Verranno presentati esempi concreti di come una soluzione, tecnologia o prodotto può aiutare un amministratore IT a rimanere “Compliant” rispetto ai requisiti di legge ed evitare quindi eventuali conseguenze di carattere civilistico o penale.
Presentazione del Seminario
Quando si parla di informatica ed in particolare di sicurezza informatica, non si può prescindere dai vincoli e dalle indicazioni che vengono offerte dal quadro legislativo del paese di riferimento. Esistono, infatti, tutta una serie di normative specifiche sia a livello italiano che a livello europeo che vincolano le strutture IT al rispetto di certi parametri “minimi”.Il peso specifico dell’informatica è al giorno d’oggi così importante che non è possibile, ad esempio, prescindere da conseguenze di carattere civilistico o penale in caso di danni provocati a terzi dalle nostre strutture informatiche o dai processi ad esse inerenti. Lapervasivitàtotale dell’informatica copre tuttigliaspetti dellanostra vita, non solo la partelegata al business, maanchequellapersonale,sociale efamiliare. Chesianosmartphone, tablet, email, social network, blog,domotica oaltro, l’informatica nonpuò nontenerecontodelleconseguenzelegali dell’uso edeventualeabuso diquestistrumenti.Termini come privacy, dati sensibili, email sono entrati nel lessico comune anche del mondo giuridico oltre che di quello civile. Occorre però osservare che non sempre il lessico e la tecnologia informatica si accordano con il mondo giuridico, e viceversa. Incomprensioni e errori sono abbastanza comuni in un campo che è “relativamente” nuovo e i cui sviluppi sono ancora abbastanza imprevedibili.
Considerato la natura degli argomenti trattati, la partecipazione gratuita al seminario è limitata ai primi 15 iscritti.
PER PARTECIPARE CLICCHI QUI: ISCRIZIONE EVENTO
CONTATTI: V-Valley S.r.l. società con socio unico – Sede legale Via Energy Park, 20 – 20871 Vimercate(MB) Registro Imprese di Monza e Brianza, Codice Fiscale e Partita IVA 07064570968 Rea MB-1872131

 

Piove, governo ladro!

è successo ancora a Genova, distruzione e morte a causa di un fiume (torrente?) esondato per le piogge. Ed ancora siamo qui a parlare di dissesto idrogeologico, di danni mai sanati e cose del genere.

 

Mi fa male vedere ancora una volta come siamo capaci di fare scempio di noi stessi, sentire gente disperata perchè colpita da una pioggia autunnale. Come sia possibile questo nel 2014 in un paese che dovrebbe essere considerato civile è difficile da spiegare, da spiegarsi.

Bene fa il cardinal Bagnasco a ricordare l’importanza della assunzione di responsabilità a tutti livelli, una responsabilità che prima ancora che civile o penale dovrebbe essere personale morale ed etica.

Ma ancora una volta abbiamo assistito al solito balletto dei rimbalzi, del non sapevo, del non potevamo, del non ci hanno detto, fatto, dato, preso….

Bene iniziamo a dire le cose come stanno allora

La vita seguendo le emergenze.

l’Italia è il paese delle emergenze, mai pianificazione, mai manutenzione. Per giustificare dubbi risparmi prima, si spende di solito male, più e peggio dopo, quando è troppo tardi. Salvo poi aprire processi farsa e pro forma dove la prescrizione è il risultato ovvio data la ridicola lentezza del nostro sistema.

L’esempio Genovese è fin troppo eclatante.nel 2010 vengono stanziati dei soldi, prima della alluvione del 2011 che causò ben 7 morti. dove sono finiti questi soldi? Bloccati in pastoie giuridico-legali di cui, come al solito, nessuno è colpevole, se non per il fatto che adesso nessuno si prende un minimo di responsabilità  (casomai incassa 40000€ in premi per il lavoro svolto sulla protezione dal dissesto idrogeologico, sic).

certo

può essere ritenuto colpevole chi ha fatto ricorso considerandosi parte lesa e bloccando di fatto i lavori? ovviamente no

può essere ritenuto colpevole chi, all’interno della macchina giudiziaria, giudici magistrati avvocati, ha seguito le regole e tra corsi e ricorsi non ha ancora emesso sentenza? ovviamente no

può essere ritenuto colpevole chi, a fronte del blocco di tali opere, non ha fatto altro che aspettare che l’ennesima tragedia accadesse? ovviamente no

può essere ….

e se… invece …. dicessimo di si?

che sia colpevole, non penalmente, non civilmente, non eticamente ma almeno moralmente chi non ha fatto di tutto per evitare questa tragedia ma ha pensato solo ed esclusivamente al proprio legittimo interesse?

Se magari vinti e vincitori dell’appalto si fossero confrontati mettendo oltre al profitto anche le vite umane perse e le quelle disperate per la perdita di beni materiali e morali sul piatto della bilancia? Certo si può obiettare che non era compito loro, ma forse non dice la nostra costituzione che ognuno deve contribuire al progresso sella società in funzione delle proprie capacità?…

Se i giudici, gli avvocati avessero dato la loro priorità per sbloccare una questione che solo un cretino non avrebbe potuto considerare di vita o di morte arrivando al giudizio prima mettendoci del loro, anche a dispetto delle regole? certo se hanno seguito la lettera della legge nulla gli si può rinfacciare, ma non è forse nello spirito della legge servire la giustizia e dare il supporto per evitare che una tragedia avvenga? un dovere che un servo dello stato deve avere persino più solido e saldo di un comune cittadino.

Se gli amministratori avessero messo le priorità di fronte al loro interesse e si fossero, ad esempio, dimessi in massa, o denunziato un comportamento che garantiva nel tempo un disastro annunziato? Magari rinunciando prima a premi che ora suonano francamente ridicoli e devolvendo queste somme ad un fondo per la prossima annunziata catastrofe? Certo con quei soldi non potevano risolvere nulla, ma a volte una presa di posizione onesta potrebbe essere un indizio di presa responsabilità.

…

Perchè, signori miei, in autunno piove, e il fatto che possa piovere tanto è nell’ordine delle cose, e se il dissesto rimane tale le cose difficilmente prendono un corso diverso. Non si tratta di un evento imprevedibile, non si tratta di una cosa che avviene una volta in un millennio, non si tratta di una sfortunata serie di incredibili coincidenze. Ad Ottobre piove, e la stagione è appena iniziata. E le previsioni del tempo non sono uno strumento assoluto e certo, ci si può anche sbagliare perchè i modelli previsionali danno previsioni probabili non certezze assolute.

Forse non ci sono responsabilità civili, forse non ce ne sono penali e forse neppure etiche, ma credetemi quando dico che esiste una responsabilità morale che TUTTI questi signori non possono non portarsi dietro.

Certo che essere sordi alla propria coscenza è più facile che prendersi una responsabilità scomoda, e sono sicuro che nel profondo del loro cuore vi sia la certezza granitica che loro non sono colpevoli di niente perchè la colpa è del fatto che piove e del governo ladro.

E cosi la prossima volta ci diremo le stesse cose, e nessuno avrà ancora la colpa di nulla, se non forse quei signori che si ostinano a vivere a Genova e magari a morire per una pioggia troppo forte.

Esiste una responsabilità che va oltre la legge ed i regolamenti e che, anche se facciamo finta di nulla, ci portiamo appresso volenti o nolenti, una responsabilità che è legata a quello che facciamo o che non facciamo per nostra scelta, perchè alla fine di scelte si tratta.

Possiamo raccontarcela come vogliamo; giustificarla tecnicamente, giuridicamente e pesino eticamente se vogliamo, sino alla prossima alluvione quando tutti saranno colti di sorpresa, di nuovo.

Piove! Governo ladro