patch | Rev0lut1on 2.0 of my mind engine

Gen 2 2009

Zunebug: i lettori mp3 Zune da 30GB del 2006 non gestiscono l’anno bisestile e fanno sparire la musica. Ecco il dettaglio del bug nel codice sorgente

Molti potrebbero notare che, ancora una volta, la Microsoft ha dimostrato che i suoi prodotti spesso risultano poco affidabili: da Windows con le sue schermate blu, alla Xbox 360 con il suo Red Ring of Death, fino ad arrivare ad alcuni modelli degli Zune che non gestiscono l’anno bisestile. Certo, di fronte alla precisione certosina di certi prodotti Apple, si potrebbe avere anche ragione, ma resta il fatto che, almeno una nota positiva c’è: anche in giorni festivi come questi, l’intervento del team Microsoft è stato tempestivo e in poche ore ha saputo dare una risposta a tutti gli utenti infuriati che, a partire dalla mattinata del 31 dicembre, si sono visti bloccati migliaia di lettori Zune da 30 gigabyte prodotti nel 2006: sullo schermo dell’apparecchio musicale appariva solo l’icona che contraddistingue il modello Zune e una barra di caricamento, ma era impossibile accendere e utilizzare l’apparecchio e, quindi, di fatto non hanno potuto ascoltare la propria musica (magari acquistata anche sullo store di musica online Zune Pass). Tanto tempestiva, che, forse, fa pensare che erano già al corrente del problema (tanto che sui modelli venduti più recentemente il problema non si è mai presentato): e, infatti, sembra che la Microsoft, sul suo forum ufficiale, aveva inviato una segnalazione del problema ma, come era facile prevedere, molti utenti non sapevano nulla del bug.

Certo, il problema, che comunque ha causato un non irrilevante imbarazzo per il gigante del software, poteva anche essere più grave del previsto, e la velocità di assistenza è stata dettata sicuramente dalla paura di perdere, in un colpo solo, migliaia di vecchi e nuovi utenti, che potevano migrare improvvisamente sui lettori di casa Apple. Resta, comunque, il fatto che, a poche ore dalla fine dell’anno il dispositivo dell’orologio interno del driver è andato in tilt!

Il dettagli del problema

Quel che è certo è che la Microsoft non ha iniziato bene il 2009 visto che ha scoperto, a cose già fatte, come si legge in un comunicato stampa diffuso sul sito Zune, che tutti i suoi lettori mp3 Zune da 30GB dell’anno 2006, hanno un bug nel driver dell’orologio interno correlato al modo in cui il dispositivo gestisce un anno bisestile, tanto che il passaggio dal 2008 al 2009 ha creato, all’interno dei driver che gestisce l’ora e il calendario del lettore, una sorta di “millenium bug” (sul web non si fa altro che parlare di “Zunebug“). Sarebbe stato, dunque, quel giorno in più, il 366esimo dell’anno, a congelare le funzionalità dell’antagonista più celebre dell’iPod.

Ecco un video che mostra cosa è accaduto allo Zune il 31 Dicembre 2008:

In realtà, la prima, e sinora unica, soluzione consigliata caldamente dalla Microsoft, è stata unica per tutti gli utenti che si sono ritrovati spiazzati di fronte a questa affermazione: non fare nulla e lasciare passare la notte!. Microsoft ha assicurato, infatti, che in sole 24 ore, e precisamente con l’allineamento del driver con il nuovo anno, gli utenti colpiti dalla falla potranno rientrare in possesso della loro musica!
Infatti, secondo il team Zune, gli orologi interni dei lettori si sarebbero dovuti resettare automaticamente entro il 1 Gennaio 2009. Quindi, per rientrare in possesso della propria musica, gli utenti dovranno far scaricare completamente la batteria degli apparecchi, farli riavviare e poi caricarli nuovamente. Gli iscritti allo Zune Pass, il software che consente l’acquisto di musica online, dovranno sincronizzare nuovamente gli apparecchi con i proprio computer per poter aggiornare i diritti del materiale scaricato.

Alla ricerca del bug nel codice sorgente

La soluzione proposta ha lasciato tutti alquanto perplessi in quanto non risolve definitivamente il problema e molti si sono chiesti: “You’re probably wondering, what kind of bug fixes itself?“. Secondo Microsoft, infatti, è necessario attendere che la batteria si scarichi per poi ricaricarla e infine riaccendere lo Zune. Non esisterebbe un altro modo per azzerare la memoria interna dell’apparecchio e scavalcare il bug che causa il blocco e che, in assenza di futuri aggiornamenti software, si ripresenterà puntualmente a mezzanotte del 30 dlcembre 2012.

C’è anche chi è voluto andare più a fondo al problema, ed è riuscito a reperire il codice sorgente del driver del clock dello Zune (disponibile liberamente sul sito del processore Freescale).

In pratica, la data sullo Zune, come su molti dispositivi e computer, viene memorizzata in termini di giorni e di secondi a partire dal 1° Gennaio 1980. Lo scopo del driver del clock è quello di convertire, quando richiesto (e la prima volta avviene dopo la prima sequenza di boot), il numero di giorni nel formato anno/mese/giorno e il numero di secondi in ore/minuti/secondi. Viceversa, quando il clock deve settare l’ora e la data, avviene l’opposto.
Questo è un frammento del codice coinvolto nel bug:

year = ORIGINYEAR; /* = 1980 */ while (days > 365) { if (IsLeapYear(year)) { if (days > 366) { days -= 366; year += 1; } } else { days -= 365; year += 1; } }

Come vedete, questa parte di codice, in circostanze normali, funziona egregiamente: la funzione sottrae 365 o 366 finché non si raggiunge l’anno corrente. Il problema si presenta l’ultimo giorno dell’anno bisestile, con 366 giorni, perché la funzione “if (days > 366)” attenderà prima di sottrarre 366 giorni ed entrerà in un loop che si sbloccherà solo il giorno seguente, quando l’anno non sarà più bisestile, dopo 24 ore di ciclo iterativo senza fine!

Qui, si propone una possibile soluzione, peraltro molto semplice:

while ((days > 365) && (!IsLeapYear(year))) || (days > 366)) { if (IsLeapYear(year)) { if (days > 366) { days -= 366; year += 1; } } else { days -= 365; year += 1; } }

Considerazioni

Purtroppo, per ora Microsoft ha dichiarato che non distribuirà alcuna patch per fixare il problema del driver che gestisce il clock dello Zune e quindi, fra altri 4 anni, a meno di ripensamenti da parte del produttore, si potrà presentare nuovamente il problema, sempre che i proprietari di questo dispositivi non siano passati ad un altro lettore multimediale immune al bug dell’anno bisestile! Si stima che, circa 1 milioni di possessori del primo modello da 30 Gigabyte sui tre milioni venduti in tutto negli Usa, hanno smesso di funzionare.

Secondo un analista, Matt Rosoff, dell’azienda di ricerca dedicata ai prodotti e alla performance della casa di Redmond, cioè “Directions on Microsoft”, “non si era mai sentito parlare in tutta la storia dell’informatica di un apparecchio per l’elettronica di massa che avesse un problema così radiacle su così ampia scala”.

Forse, a questo punto, si potrà comprendere come mai solo una piccola parte delle entrate della Microsoft provengono dalla vendita di apparecchi musicali (con appena il 3% del mercato in cui Apple la fa da padrona con gli iPod con un 70% di presenza, seguita da SanDisk, con la sua serie di lettori Sansa, con un rispettabile 10%). E pensare che il dispositivo Zune, da 30 GB, era stato messo sul mercato (forse troppo precipitosamente da non effettuare sufficienti debug) a Novembre 2006 proprio per contrastare la posizione dominante di Apple Inc sul mercato dei dispositivi portatili per l’ascolto di musica! Con questi presupposti e comportamenti, la sfida contro Apple sembra persa in partenza!

Tag:bug, clock, driver, iPod, microsoft, mp3, Musica, patch, zune

4 comments

Lug 30 2008

Controllate che i server DNS del vostro Provider non soffrano della grave vulnerabilità che permette ad un malintenzionato di controllare il traffico internet e fare del Pishing!

Posted by Antonio Troise

Avete presente quella notizia di qualche mese fa di una vulnerabilità insita nelle specifiche del DNS (Domain Name System), scoperta da Dan Kaminsky, che permetteva di alterare il funzionamento del DNS stesso in modo da fornire agli utenti delle “traduzioni” sbagliate e quindi far credere agli utenti di stare visitando un sito fidato? Questa falla del DNS è in grado di dare la possibilità ad un aggressore di sostituirsi perfettamente e in tutta semplicità ad un sito fidato, mettendo di fatto in ginocchio la sicurezza della rete mondiale.

A differenza di altre falle informatiche, però, questa vulnerabilità interessa praticamente tutti i programmi di gestione del DNS proprio perché seguono le specifiche tecniche: tutti i più diffusi sistemi operativi, da Windows a Linux, da BSD a Mac OS X e quasi tutti i provider sono quindi potenzialmente vulnerabili!

L’incontro segreto

Fortunatamente, dati gli effetti devastanti di questa vulnerabilità, in quanto minava alla base la fiducia nei sistemi di internet, dopo una riunione segreta (per non dare la possibilità di rendere di dominio pubblico le specifiche tecniche ancora prima di poter diffondere una patch), il 31 Marzo 2008 presso il campus di Microsoft, a Redmond, si sono riuniti i più grandi nomi del mercato informatico (tra cui Microsoft, Sun e Cisco) per trovare una soluzione al problema.

La diffusione della patch

Così, l’8 Luglio 2008, tutti i maggiori sistemi operativi (sorprendentemente Apple quel giorno arrivò in ritardo forse distratta dall’imminente uscita del iPhone 3G e del servizio .Me) hanno distribuito, più o meno velatamente, tramite i meccanismi di aggiornamento automatico, questa patch. Infatti, gli accordi erano che tutti i sistemi operativi, e quindi tutti gli utenti e tutti i provider di accesso a Internet, dovevano applicare questa patch al proprio software di gestione del DNS o, nei casi limite, passare ad una sua versione aggiornata.

Non tutti i provider hanno chiuso la falla

Il problema, però, è che non tutte le aziende e i provider che gestiscono un domain name server, si sono mossi in tempo e molti provider, fra cui anche alcuni italiani, non hanno ancora provveduto a bloccare questa grave vulnerabilità.
Sul sito del CERT trovate la lista di tutti i sistemi e dei sistemi operativi che sono vulnerabili o meno a questa falla: il problema è che qui, come immaginabile, non sono elencati tutti i provider che hanno risolto il problema per cui, se mentre navighiamo su internet, usiamo fiduciosi dei DNS assegnati dal nostro provider, potrebbe accadere che questi possano essere attaccati e, quindi, potrebbe aumentare la possibilità di subire attacchi di pishing (in effetti stanno ad iniziare a spuntare alcuni esperimenti di attacco basate su questa vulnerabilità).

In ogni caso i dettagli circa la falla non verranno rilasciati prima di un mese circa, tempo in cui si spera che ormai le patch siano state installate su tutti i computer del mondo. Inoltre, a detta di Kaminsky, le patch non dovrebbero permettere il reverse-engineering (o per lo meno, non in tempi brevi), dato che un’analisi di questo tipo potrebbe consentire di concretizzare un exploit funzionante.

Come controllare che i propri server DNS non soffrano del bug

Se volete essere, quindi, certi di poter navigare sicuri, allora vi consiglio di usare un test, come suggerito dal sempre informato Paolo Attivissimo, presente sulla homepage del sito Doxpara Research. E’ sufficiente cliccare sul tasto “Check My DNS” presente nella sidebar a destra del sito, per sapere se il vostro provider ha già provveduto ad installare la patch. Sfortunatamente, come ho potuto appurare io stessi, alcuni server DNS di Telecom Italia, soffrono ancora di questa vulnerabilità. Vi consiglio, quindi, di usare direttamente i server OpenDNS: essendo un sistema centralizzato è stato più facile aggiornarli velocemente.

Ovviamente, quando scrissi che, per un utente italiano, a causa di latenze georgrafiche molto alte dei server OpenDNS rispetto a quelli Telecom, consigliavo di usare i server DNS italiani di Alice, oggi la situazione si è completamente ribaltata perché ad essere a rischio è la nostra navigazione su internet, per cui invito tutti, a meno che tutti i provider non risolvano presto la situazione, ad usare i server OpenDNS.

Tag:Alice, cisco, Dan Kaminsky, dns, exploit, Internet, Linux, microsoft, opendns, patch, Provider, sicurezza, Windows

2 comments

Mar 14 2007

Conviene passare a Vista? Ecco tutto quello che avreste voluto sapere sugli aspetti trascurati di Windows Vista

Posted by Antonio Troise

Molti definiscono Windows Vista un sistema operativo rivoluzionario, innovativo e sicuro. Ma siamo sicuro che costituisca il passo obbligato per chiunque voglia upgradare il proprio PC? E’ stato realizzato veramente con cura, nonostante 5 lunghi anni di beta testing?
Purtroppo non è tutto oro quello che luccica.