In questo modo è possibile realizzare una complessa interfaccia web basata su più componenti offerte da terze parti e da Google.Inserire all’interno del proprio sito web un strumento per il calcolo di un percoso su una mappa si riduce, per il webmaster, ad una semplice riga di codice.

<script src=”http://www.gmodules.com/ig/ifr?url=http://hosting.gmodules.com/ig/gadgets/file/114281111391296844949/driving-directions.xml&up_myLocations=Piazza%20Ratti%20Asso%2C%20Como%20Italia&synd=open&w=400&h=100&title=Un+semplice+Gadget+per+trovare+la+strada!!&border=%23ffffff%7C3px%2C1px+solid+%23999999&output=js”></script>

Ed ecco il risultato. Provare per credere!!

Questo piccolo gadget puoì essere customizzato e rimodellato a seconda delle esigenze.
La capacità dei gadget di interagire con tutte le Api di Google permette un’ampissima gamma di applicativi molto interessanti e funzionali.

Per tanto possiamo esplorare le nostre mappe “in lungo e in largo” e nel caso di mappe tridimesionali possiamo anche avere l’illusione di volare schivando le montagne. Introdurre una quarta dimensione significa sopratutto inserire una nuova relazione che coinvolga queste tre dimensioni ad un nuovo vettore, rappresentato in questo caso dal tempo.

Grazie ad una nuova libreria è possibile esplore grazie ad una GoogleMap il complesso rapporto tra spazio e tempo.

La nuova libreria, TimeMap, realizzata da Nick Rabinowitz, uno studente della UC Berkeley School of Information , permette di utilizzare l’API SIMILE (Semantic Interoperability of Metadata and Information in unLike Environments) associando un’ interfaccia di tipo Timeline ad una GoogleMap.

In pratica grazie ad una barra del tempo possiamo modificare il contenuto di una mappa e le informazioni in essa contenute. Le possibilità offerte sono amplissime perchè in questo modo una mappa acquista la possbilità di rappresentare eventi non più puntiformi ma bensì definiti nel loro comportamento attraverso il tempo e lo spazio.

La complessità ora risiede nel associare dati geografici a connotazioni temporali. Un primo interessante esempio è questo che permette di visualizzare la data ed il luogo di nascita degli autori famosi tra il il 1400 ed il 1700.
Interagendo con la timeline è possibile vederli nascere e scomparire sulla mappa dandoci una visione attraverso tempo e spazio dei principali autori.

Google ha rilasciato nella giornata di oggi un plugin browser per GoogleEarth, servizio che permette la visualizzazione interattiva e tridimensionale della Terra.

Il plugin non richiede l’installazione del programma Google Earth ma solo il download e la successiva installazione del plug-in disponibile sul sito code.Google.com. In questo modo è possibile, grazie alla tecnologia Open Api di Google, visualizzare mappe 3D all’interno del nostro browser.

Tutte le potenzialità AJax fino ad ora applicate a GoogleMaps possono ora essere applicate anche alla versione web di GoogleEarth

Ecco il Pulg-In all’opera in un semplice sample all’interno di un GoogleGadget!!

.

Inserisci questo gadget nella tua pagina

Utilizzando i dati pubblicati da prezzibenzina.it abbiamo acquisito le coordinate di quasi 10000 stazioni di servizio distribuite sul territorio Italiano.
Il nostro obbiettivo era capire DOVE e CHI gestisce la distribuzione al dettaglio della benzina.

Tradizionalmente è possibile realizzare analisi statistiche utilizzando le comuni suddivisioni territoriali come regioni, provincie o città.   Uno studio di mercato che analizzi il territorio basandosi sulla suddivisione classica  in aree geografiche risulterebbe inefficace sia a causa della capillarita’ della distribuzione degli esercenti, sia per il fatto che i “consumatori” di benzina sono spesso per necessita’ poco fidelizzati al singolo distributore.

Fondare un’analisi statistica considerando solo i punti vendita in base ai CAP di una provincia, ad esempio, significherebbe condurre una analisi grossolana e fuorviante. Allo stesso modo sarebbe sbagliato considerare zone appena al di fuori dell’area considerata che, pur appartenendo alla provincia in esame, non tengono conto della morfologia territoriale e possono qundi diventare scarsamente sigificative dal punto di vista statistico.

Ecco che nasce l’esigenza di avere uno strumento piu’ efficace ma allo stesso tempo facile da utilizzare.

Lo strumento che abbiamo realizzato fornisce all’utente un sistema del tipo ” What You See Is What You Get” (quello che vedi è quello che ottieni) è come sempre, è una mappa!!

Utilizzando una mappa interattiva di Google map (GMap) è possibile individuare un area d’interesse visualizzando in modo automatico il “charting” del rapporto percentuale tra le compagnie distributrici presenti sul terriotorio.

Lo strumento è imbarazzantemente semplice da utilizzare: spostandosi sulla mappa e modificando lo zoom è possibile indiviaduare il territorio che piu’ ci interessa. L’analisi viene aggiornata in modo automatico ad ogni variazione introdotta dall’utente alla mappa.

E’ costantemente visibile la volumetria in chilometri quadrati del territorio, il numero di distributori e di marche presenti ed un grafico a torta che mostra le percentuali.

Definire DOVE e capire CHI risulta piuttosto facile grazie a questo piccolo strumento.

Coords.net è “sentimentalmente” legato al Lago di Como e conduce molte delle sue attività di rilevamento geomatico proprio in questo magnifico territorio. Per questo motivo spesso consultiamo i servizi web offerti dal Comune di Como.
In questi giorni è stato pubblicato un nuovo sito dedicato al progetto di ammodernamento e valorizzazione del lungo lago Comasco: nuovolungolago.it
Con interesse abbiamo aperto il link ma, mentre il nostro browser iniziava a caricare la pagina web, il nostro antivirus ha cominciato a brillare in tutto il suo splendore come un allegro albero di Natale.
E’ risultato subito evidente come nella pagina sia contenuto un dialer che, ad insaputa dell’utente, cerchi di comporre il numero internazionale a pagamento maggiorato: 899300387.
Ma come è possibile che un sito pubblico possa nascondere un servizio a pagamento all’insaputa degli utenti?

La scoperta fatta ci ha fortemento incuriosito ed è per questo motivo che abbiamo cominiciato ad analizzare il caso.

Il nostro laboratorio è dotato di una linea ADSL e di un’infrastruttura capace di offrire un grado di sicurezza molto elevato. Per questo motivo, in piena sicurezza, ci siamo “divertiti” ad investigare.
Se avessimo avuto una comune connessione a 56k con un modem ed una linea telefonica avremmo corso il serio rischio di vedere la nostra bolletta telefonica pesantemente colpita dal costo di questo 899.

Per coloro che non sanno cosa sia un dialer o un servizio a pagamento 899 suggeriamo quest’articolo “Come difendersi dai dialer” di Paolo Attivissimo.

Inoltre facciamo presente che un dialer non e’ uno strumento intrinsecamente illegale, ma e’ legale solo quando fornisce tutte le informazioni “in modo chiaro e comprensibile, con ogni mezzo adeguato alla tecnica di comunicazione a distanza impiegata, osservando in particolare i principi di buona fede e di lealtà in materia di transazioni commerciali”.

Non crediamo il comune o il responsabile del sito abbiano volontariamente inserito questo codice fraudolento,tuttavia molti utenti in buona fede possono essere stati seriamente danneggiati da alcune scelte degli sviluppatori.

Spieghiamo meglio come si manifesta il problema:

All’interno della pagina, nella sua parte finale, è stato inserita una porzione di codice che rende possibile acquisire le statistiche d’accesso al sito web utilizzando un servizio gratuito offerto dalla società WebStat.ms.

Purtroppo questa procedura non si limita a raccogliere i dati ma, innesca sopratutto una serie di azioni potenzialmente pericolose per l’utente.
Attraverso diverse finestre pop-up e iframe aggirara le normali limitazioni del browser richiedendo all’utente la conferma per l’esecuzione di un applet java.
Solitamente per eseguire questo tipo di programmi è necessario che l’utente accetti un certificato digitale rilasciato dal publisher.
Nel nostro caso il certificato risulta emesso da “Base Activities Limited” e certificato da myprosi.info, la firma digitale sembra quindi convalidata da una fonte accreditata.
Tenuto presente che il tutto avviene all’interno di un sito affiliato al Comune di Como è comprensibile che l’utente medio accetti.
A questo punto il guaio è fatto. L’utente, accettando, ha permesso l’installazione di un software in grado di eseguire comandi malevoli rendendo quindi il computer infetto.
Il software è in grado di attuare comportamenti diversi ogni volta che viene eseguito rendendone ulteriormente difficoltosa l’identificazione.

L’editore di nuovolungolago.it utilizzando il servizio esterno offerto da WebStat.ms ha commesso un grave errore.
Questo servizio infatti è offerto gratuitamente a patto che l’editore accetti il seguente accordo, tratto da: Regolamento di WebStat.ms

“Webstat.ms ha ampia facoltà di operare tramite lo script inserito nei siti degli utenti , ivi compreso studi statistici , attività con fine di lucro incluso proposte di servizi audiotex con software di connessioni a valore aggiunto.Inserendo il codice javascript di Webstat.ms nel Vs sito autorizzate Webstat.ms a mandare qualsiasi tipo di codice informatico quali html,javascript,jscript,c#,activex,java tramite il codice inserito per controllare gli accessi del Vs sito e per qualsiasi altro fine ivi compreso l’apertura saltuaria di finestre secondarie contenenti codice informatico di tipo html,javascript,jscript,c#,activex,java ecc.. . Si autorizza Webstat.ms a rilevare ed operare azioni informatiche di qualsiasi genere tramite il codice javascript che inserite nelle vs pagine web a spostare su altro sito , anche di terze parti , le azioni informatiche derivate dallo script javascript senza doverne dare comunicazione. “

In pratica Webstat.ms avvisa l’editore del sito web ma non l’utente che intende avere carta bianca nel agire come meglio crede nei confronti dell’utente finale.
Se questo tipo di condotta sia perseguibile legalmente è tutt’oggi materia di studio.
Ma chi è stato cosi “stupido” da offrire le chiavi d’accesso ai computer di ignari cittadini ad una società simile?
Per di piu’ all’interno di un sito con una forte connotazione pubblica linkato nel portale del Comune?

Chidiamolo al Registro Nazionale per i domini .it:

Whois output for: nuovolungolago.it
Domain: nuovolungolago.it
Status: ACTIVE
Created: 2008-01-24 10:36:58
Expire Date: 2009-01-24
Last Update: 2008-01-24 10:36:58
Registrant
Name: Marco Fumagalli
ContactID: MF24472-ITNIC

Chi sia il Signor Fumagalli non lo sappiamo, che ruolo abbiano Lui ed il Comune di Como in questa scelta neppure.
Invitiamo entrambi a verificare con attenzione il sito che attualmente è pubblico e tutti gli utenti a controllare la propria bolletta telefonica.

Per qualsiasi chiarimento o supporto per rimuovere il software malevolo potete rivolgervi alla casella postale:
899nograzie@coords.net

Faremo del nostro meglio per aiutarvi =)

Era il mio primo viaggio al di fuori dall’Europa e ci apprestavamo ad entrare in un territorio che non compariva neppure sulle carte geografiche. Dove dove l’unica “highway” è una pista in terra battuta che attraversa solitaria infiniti deserti tra le montagne, la famosa “Karakorum highway” che ricalca l’antica “via della seta”.

Sebbene siano passati solo pochi anni la tecnologia allora disponibile era enormemente arretrata rispetto alle possibilità odierne.Telefonare a casa era un impresa ardua possibile solo nei grandi agglomerati, il ritardo nel segnale era tale da rendere necessario utilizzare il “passo” al termine delle frasi come nelle comunicazioni radio. Il piacere rude dell’avventura analogica.

La nostra spedizione, composta da 5 alpinisti capeggiati da Angelo Rusconi, riuscì a percorrere le accidentate strade del nord del Pakistan e raggiunse l’isolata valle di Mhatan Ther. Qui incontrammo popolazioni locali che mai prima di allora avevano avuto contatti con persone straniere. Un viaggio magico tra capanne di legno e pecore a contatto con la genuina sincerità dei popoli della montagna che, uniti dalle difficoltà del vivere in quota, non badano alle differenze di pelle o religione.

La spedizione diede l’assalto ad una delle vette inviolate che dominavano il lago Bhari conquistando il 5 Agosto del 1999 (il mio compleanno) la “Cima-Asso” a quota 5100m.

La via del ritorno fu funestata dalla pioggia monsonica che travolse ponti, strade e villaggi. Tornare a casa fu un’emozionante avventura fatta di ponti sospesi, guadi, fango e rischi.

Le informazioni che avevamo acquisito durante il nostro viaggio erano di tale valore che ricevemmo un riconoscimento ufficiale dal governo pakistano e fummo ricevuti dal segretario del ministro agli interni per relazionare personalmente la nostra esplorazione.

Curiosità nella curiosità il segretario era una appassionato di lettura italiana e fu piacevolmente sorpreso di scoprire come Asso sia posto tra i due rami del lago tanto caro al Manzoni.

Spensierata gioventù.

Coords.net è un laboratorio geomatico, i suoi ricercatori hanno comunenmente in tasca rilevatori gps e trakcer che solo nove anni fa erano inacessibili a quei cinque esploratori che affrontavano la “Karakorum Highway”. Non esistevano ancora le macchine digitale e tutto il materiale era ripreso con pellicole e diapositive.

Quindi perdonate l’emozione con cui vi presento la “CIMA-ASSO (5100m)” vista da Google-Earth:

Ed eccola mappata su GoogleMap.

Guardando queste immagini mi si riempie il cuore di ricordi ma anche di nostalgia. Ora che l’occhio dei satelliti ha svelato tutti gli spazi “vuoti” sulla mappa forse non c’e’ più spazio per avventure come la nostra.

Forse è anche per questo che Angelo, il nostro capo spedizione, ha smesso di inseguire la conquista delle “cime inviolate” dedicandosi ad un attività forse meno eclatante ma di sicuro altrettanto nobile.

Dopo quella spedizione Angelo si è impegnato ad organizzare fondi e spedizioni per portare aiuto alle popolazioni che vivono ai piedi delle grandi montagne e che forse, in un mondo teso come il nostro, sono le migliori con cui superare diffidenze e pregiudizi che dividono oriente ed occidente.

E’ stato costruito un piccolo rifugio sulle rive del lago Bhari, la “Capanna Lombardia”, ed Angelo si è fatto carico di portare personalmente e direttamente sul posto gli aiuti raccolti di anno in anno per una scuola/orfanotrofio che accoglie decine di bambini sfortunati.

Per tutti coloro che volessero conoscere meglio la nostra piccola avventura e le opere di solidarietà portate avanti da Angelo Rusconi in Pakistan sarà presto disponibile un sito dedicato alla “Cima-Asso”.

Continuate ad esplorare!!

Davide.

Il reattore Numero 4 della Centrale Nucleare di Černobyl situato nell’Ex Unione Sovietica vicino a Pripyat in Ucraina esplose alle 01:23:40 a.m. locali causando una fuoriuscita altamente radiottiava ( fallout ) nell’atmosfera che coinvolse l’Unione Sovietica e gran parte dell’Europa del Nord.

L’esplosione del sistema di raffreddamento scoperchiò il reattore e distrussue parte dell’edificio che lo ospitava scatenando un enorme incendio. Esposto e privo di raffreddamento il nucleo radiottivo del rattore cominciò a fondere creando una voragine in cui il materiale fuso sprofondò per decine di metri.

Le squadre di soccorso, ignare ed impreparate, fronteggiarono a costo della propria vita una furia invisibile che ancor oggi non sembra essersi placata.

Proponiamo due video per ricordare questo tragico evento:

Il primo è un reportage fotografico realizzato dal fotoreporter Italiano Enzo Santambrogio durante la sua visita a Chernobyl:

Il secondo video, sebbene una colonna sonora molto aggressiva, mostra immagini del disastro
estremamente inusuali che non compaiono in alcuno dei molti filmati pubblici da noi visionati.

Si consiglia di moderare il volume utilizzando l’apposita icona che trovate in basso a destra sul video.

Per approfondire:
Disastro di Černobyl’ - Da Wikipedia, l’enciclopedia libera.

Questa vulnerabilità è legata ad una scorretta programmazione dell’applicazione pubblica e per questo motivo e’ difficilmente arginata dai normali sistemi di protezione come Firewall e IDS.

La maggior parte dei siti web presenti su internet fa ormai uso di contenuti dinamici o di linguaggi server side come PHP o ASP per interagire con data base.

Per questo motivo Shopping Carts, form, login page e tutti i contenuti dinamici sono potenzialmente vulnerabili a questo tipo di attacco.
Alcuni studi, forse un po’ allarmistici, dichiarano che il 75% delle frodi via web siano legate a questa problematica. Tuttavia se pensiamo che i potenziali bersagli sono ecommerce e data base di dati piu’ o meno sensibili possiamo capire come mai vi sia cosi tanta attenzione al problema.
Ad aggravare la situazione va sottolineato che la base su cui si fonda l’attacco e’ un singolo errore umano del programmatore all’interno di un progetto di ampie dimensioni.

In una piattaforma web molto sviluppata la possibilità di trovare un punto in cui sfruttare tale vulnerabilità risulta molto alta.

Analizziamo quindi il funzionamento di questo attacco e descriviamo i sistemi, molto simili a quelli di un potenziale aggressore, con sui possiamo preventivamente individuare simili pericoli con un analisi di tipo Ethical Hacking.L’sql injection ricorda molto il buffer Overflow ma applicato in un ambiente molto meno complesso.

Sfrutta un mancato controllo su un parametro web per iniettare codice SQL all’interno di un interrogazione. Tipicamente una applicazione web acquisisce dai parametri dalle scelte dell’utente e compone una stringa SQL da inoltrare al database.
L’applicazione genera la domanda SQL ed il databese fornisce la risposta.
Lo sviluppatore prevede che l’utente inserisca un parametro consono al contesto dell’applicazione, al più formula dei casi d’errore per fare fronte a scelte sbagliate.

Quello che normalmente non si aspetta è che l’utente di metta a pasticciare con l’aritmetica delle stringhe o che inserisca valori di 200 caratteri o una complessa serie di caratteri speciali al posto dei 5 previsti per il CAP o per l’indirizzo.Questa tecnica ha lo scopo di valutare che tipo di controlli vengono effettuati su un campo per poi poter “forzare” la costruzione della stringa SQL. Creiamo un esempio per rendere meglio comprensibile il processo.
Una tipica form di login composta da username e password genererà la seguente query SQL:

Select * from PasswordTable where user=’mario’ and password=’mario1’

Che tradotto dal sql significa più o meno:

Rispondi “tutto bene” se nel registro delle password all’utente mario corrisponde la password mario1.

Se però nello spazio per inserire la password inseriamo qualcosa di anomalo come 123’ or ‘1’=’1 possiamo ottenere una reazione imprevista (per lo sviluppatore…)

Select * from PasswordTable where user=’mario’ and password=’123’ or ‘1’=’1’

Senza nessun controllo la stringa appena inserita agisce in modo diretto nella creazione della stinga SQL ed ottiene qualcosa che risulta più o meno così:

Rispondi “tutto bene” se nel registro delle password all’utente mario corrisponde la password 123 Oppure rispondi “tutto bene” se 1 = 1 .

Che la password di mario non sia 123 poco importa, la seconda parte del controllo, da noi forzato, permette di ottenere il “tutto bene” che ci serve per autenticarsi come mario.

L’esempio è abbastanza banale ma senza la conoscenza base di questo problema e’ possibili incaparvi durante la realizzazione di una applicazione.

Ovviamente le tecniche di sicurezza sono progredite e parimenti anche le tecniche di hacking per sfruttare una vulnerabilità simile.
Individuato un singolo elemento non correttamente protetto all’interno di un applicazione web si può procedere seguendo due approcci:

• Il primo prevede uno studio dei messaggi d’errore per ricostruire lo schema sql del DB e continuare ad operare in ambiente SQL (difficilmente tracciabile)
• Il secondo prevede un attacco diretto al database server attraverso l’sql injection teso a prendere il controllo dell’apparato stesso. Molto piu’ “rumoroso” ma in grado di dare il controllo completo di un apparato al di la del controllo periferico del firewall.

Un analisi Ethical Hacking permette di individuare questi elementi critici prima che siano sfruttati. La strumentazione d’indagine e’ molto simile e sfrutta lo stesso codice automatico che un aggressore esterno userebbe per setacciare un applicazione web.

Va inoltre ribadito che coloro che esguono dei test di verifica dovrebbero essere diversi da coloro che hanno realizzato il prodotto, questo per godere di un diverso punto di vista ed di una apporccio piu’ analitico.

Purtroppo risulta difficile per uno sviluppatore effettuare autonomamente test di sicurezza sui propri applicativi.

Individuati i punti di pericolo sono nella maggior parte dei casi facilmente risolvibili.

Il suggerimento per ovviare hai pericoli dell’SQL injection sono quindi due:

• una maggior attenzione in fase di sviluppo al problema
• un analisi dettagliata dell’applicazione “a caldo” (Ethical Hacking)

A volte pero’ queste novita producono effetti indesiderati come questo:

Come riporta USA Today, il dipartimento della difesa americano ha diffidato Google Maps dal pubblicare immagini delle basi americane nella sua funzionalità Street View. La richiesta del Pentagono arriva dopo la pubblicazione, per errore, delle immagini riprese al livello del terreno dell’interno di una base militare del Texas.

Dopo notizie simili come non potremmo sentirci tutti un po’ piu’ osservati?

Ecco come un simpatico video trovato su youtube ironizza su queste nostre piccole paranoie teconologiche:

La grande distribuzione organizzata, abbreviata dagli addetti ai lavori in GDO, è l’evoluzione del commercio dal dettaglio all’ingrosso. È composta da grandi strutture o grandi gruppi con molte strutture distribuite su tutto il territorio nazionale, internazionale o addirittura mondiale. In Italia la GDO soffre una notevole debolezza della catene nazionali che si trovano soverchiate dalla potenza dei colossi esteri, in particolar modo nei settori discount e ipermercati. Nessun gruppo italiano ha una diffusione capillare in tutto il Paese, ad eccezione delle cooperative di consumatori (Coop) e di dettaglianti (Conad)
La mappa dei supermercati, grandi magazzini e centri commerciali fornisce una visione dello sviluppo geografico delle attivita’ della grande distribuzione sul territorio italiano e contemporaneamente da’ degli ottimi spunti su dove poter fare shopping!

Sulla base delle nostre precedenti esperienze con la mappa della GDO abbio cercato di fornire un esempio di come si possa sviluppare un sistema di analisi del territorio.

Ad esempio, poter visualizzare su una mappa la distribuzione geografica degli esercenti di un determinato settore merceologico fornisce notevoli spunti al settore del Marketing .

Un ulteriore esempio di quello che viene comunemente chiamato geo-marketing potrebbe essere facilmente implementato
utilizzando dati preesistenti attraverso i quali analizzare  visivamente le posizioni e le tipologie dei punti distributivi, le tipologie di cliente e la penetrazione dell’azienda o dei suoi concorrenti.