La seconda fase consiste nel pubblicare una RFC, Request for Comments, in modo che gli altri interessati possano leggerla e come il fantasioso nome suggerisce, commentarla. La proposta viene modificata per coprire le necessità di tutti e correggere eventuali errori e poi diventa “standard de facto”. Standard non imposti, che tutti rispettano perchè altrimenti sarebbe il caos più totale. E’ così che si va avanti da 30 anni, senza che mai il meccanismo abbia mostrato debolezze. E’ un pò lo stesso funzionamento dei semafori, niente impedisce a me di decidere che io passo quando è rosso e mi fermo quando è verde, ma non posso farlo perchè so che se anche uno solo si comportasse così tutto il sistema anrebbbe in panico.

Una importante Request for Comments, la RFC 1918, datata Febbraio ’96, ha stabilito che le classi di IP utilizzabili liberamente (senza richiederne l’assegnazione da parte dell’autorità) nelle reti private fossero:

192.168.0.0/16

172.16.0.0/12

10.0.0.0/8

Nell’Aprile 2012 a queste è stata aggiunta la classe 100.64.0.0/10, per i “Carrier Grade NAT” (RFC 6598).

Diverse entità, probabilmente allergiche agli standard, si sono appropriate di classi di IP senza averne titolo. A memoria, ricordo Fastweb, che usava (usa?) le classi 1.0.0.0/8, 2.0.0.0/8, 5.0.0.0/8 (and counting) per l’indirizzamento interno, H3G che ad oggi usa la 1.0.0.0/8, Hamachi e OpenVPN (nella versione a pagamento) che assegnano IP interni ai client dalla classe 5.0.0.0/8, Remobo, software simile ai precedenti che si è appropriato della classe 7.0.0.0/8 e così via.

L’ICANN, sapendo che queste classi erano di fatto utilizzate, pur non avendo intenzione di regolarizzarle (erano e sono utilizzate in modo assurdo, senza motivazione tecnica, sarebbe stato solo un enorme spreco di risorse) ha ritardato fino all’ultimo momento la loro assegnazione. Adesso però gli IP stanno finendo, e l’autorità per l’assegnazione è costretta ad utilizzarli.

Se un determinato ISP usa una classe in modo irregolare e questa viene assegnata, si ritroverà con un conflitto nel routing della sua rete interna: dovrebbe far “uscire” i pacchetti dalla sua rete per raggiungere il reale proprietario di quegli IP ma se lo facesse renderebbe irraggiungibili i suoi host interni che utilizzano (in modo, ci tengo a ricordarlo, illecito) tali indirizzi IP, creando disservizi. La questione è spiegata (anche) qui, in inglese.

A questo si aggiunge il problema del “Bogon Filtering“. Il bogon filtering è un semplice quanto effettivo metodo per filtrare pacchetti spoofed (attacchi, in altre parole): questa tecnica consiste nel filtrare direttamente alla frontiera della rete i pacchetti provenienti da IP non pubblici o da classi di IP non assegnate. Il motivo è chiaro: se gli IP che inviano quei pacchetti non sono stati assegnati a nessuno, la sorgente indicata non è quella reale e quindi si tratta di pacchetti “maligni” o di errori di configurazione. La logica conseguenza è che se una classe viene assegnata e l’ISP non aggiorna i suoi filtri continuerà a bloccarla credendola inutilizzata, rendendo ai suoi utenti impossibile raggiungere gli host remoti appartenenti a quella classe.

Alcuni ISP usano o hanno usato inoltre le classi non allocate per delle prove tecniche, annunciandole nelle tabelle di routing mondiali. Qualche annuncio “residuo”, al suo sovrapporsi con quelli nuovi e “leciti”, potrebbe quindi creare ulteriori conflitti nel routing delle nuove classi.

L’autorità per la registrazione si impegna a segnalare con adeguato anticipo le classi che stanno per essere assegnate, ma non tutti sembrano leggere queste pagine, come mostra questo grafico:

Si nota infatti che quasi il 10% degli AS mondiali non è in grado di raggiungere le classi indicate. Un grandissimo problema.

Temevo che qualcosa prima o poi sarebbe successo, e un messaggio di Marco questa notte me l’ha confermato: da rete Fastweb non si riescono a raggiungere IP della classe 5.0.0.0/8, assegnata in queste settimane a grossi ISP come Softlayer, Hetzner, OVH. Ne parlano qui, su HostingTalk.it. Leggendo poi questo topic su WebHostingTalk, scopro che il problema non è limitato a Fastweb, ma si verifica anche da altri ISP.

Ecco un traceroute da rete Fastweb verso un IP di Softlayer:

C:\Users\User>tracert 5.10.64.1

Traccia instradamento verso 5.10.64.1-static.reverse.softlayer.com [5.10.64.1]
su un massimo di 30 punti di passaggio:

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2   226 ms    17 ms    17 ms  EDIT
  3    17 ms    16 ms    17 ms  EDIT
  4   492 ms    35 ms    17 ms  10.251.149.201
  5   122 ms    16 ms    16 ms  10.251.144.25
  6    47 ms   112 ms   164 ms  10.251.145.1
  7   537 ms   477 ms   250 ms  10.251.149.186
  8   351 ms    17 ms    17 ms  10.3.136.189
  9    41 ms    17 ms    20 ms  10.3.128.41
 10   135 ms    16 ms   471 ms  10.254.9.230
 11    69 ms    20 ms    21 ms  10.254.12.21
 12   150 ms    20 ms    20 ms  10.254.12.6
 13   125 ms    24 ms   417 ms  89.97.200.66
 14     *        *        *     Request timed out.
 15     *        *        *     Request timed out.
C:\Users\User>

Carino. Ecco cosa succede quando un grande ISP non rispetta gli standard che dovrebbero essere la base del suo lavoro. Crea un danno sia ai suoi utenti, che non riescono a raggiungere una parte di internet, sia alle entità a cui sono stati assegnati gli IP che lui usa in modo illecito.

Cosa fare quindi se vi trovate in una situazione simile, cioè se non riuscite a raggiungere alcuni IP (e quindi server)? Sarebbe totalmente sbagliato e inutile contattare il proprietario di quel nodo (server), perchè non ne ha colpa nè ha modo di risolvere il problema. La soluzione è chiamare il call center di Fastweb, bombardarlo, intasarlo giorno e notte ripetendo la segnalazione, perchè è una loro mancanza: offrono un servizio incompleto e non rispettano le RFC. Si tratta, a tutti gli effetti di un disservizio, quindi non esitate e soprattutto non accettate risposte che non contengano una promessa di immediata risoluzione del problema.

La parte più bella sta nel fatto che l’autorità (ICANN/RIPE) ha la possibilità di revocare le assegnazioni fatte a LIR (provider) che utilizzano senza averne titolo classi assegnate ad altri, come Fastweb sta facendo in questo momento. Se le segnalazioni all’autorità diventassero consistenti, Fastweb potrebbe rimanere completamente in mutande, senza più nemmeno un IP per far uscire i suoi utenti su internet. Meglio. Più IP disponibili per chi rispetta le regole.

E se invece siete voi proprietari di un server non raggiungibile da alcuni ISP? Anche qui, deve esser chiaro che non avrebbe senso (e non sempre sarebbe fattibile) richiedere a chi ve lo ha assegnato un nuovo IP “pulito”, o ritenere il vostro provider responsabile del problema.

Segnalate a ICANN/RIPE (tramite questo form) la violazione, perchè, come dicevo poco fa, Fastweb potrebbe pagarla davvero molto cara. Contattate voi stessi Fastweb, sia attraverso i canali di supporto ufficiali sia attraverso i contatti tecnici (reperibili tramite il RIPE), e, per finire, chiedete ai vostri utenti che stanno subendo un disservizio di fare lo stesso, chiedete che riportino il problema e che pretendano sia risolto in tempo reale. E’ davvero importante muoversi, perchè Fastweb sta danneggiando tutti.

Non sono un avvocato, ma immagino che sia i clienti Fastweb tagliati fuori da internet sia i proprietari dei server irraggiungibili possano chiedere pesanti risarcimenti al provider. E chissà che non si muova anche il CODACONS, che farebbe una delle prime mosse giuste e tecnicamente sensate della sua vita.

I LIR / AS a cui fossero stati assegnati gli IP “sfortunati”, potrebbero poi “convincere” gli ISP che creano loro tali problemi di raggiungibilità in diversi modi, più o meno leciti ma tutti visti negli anni: bloccando i peering, rendendo le loro reti completamente inaccessibili dagli ISP incriminati, droppando pacchetti a destra e a manca, in  modo che i clienti di questi ultimi, imbestialiti, aumentino la pressione.

Lo so, da tecnico non dovrei consigliare di “spammare” un call center e ripetere le segnalazioni, di solito non si fa così. Ma quando degli standard vengono violati tutto diventa lecito. “L’hai violato? Adesso assumi 250 persone per non far crollare il call center sotto le segnalazioni, e PEDALI, perchè non è così che si lavora.”.

Concedetemi un commento altamente tecnico nei confronti di Fastweb: “AHAHAHAHAHAHAHAHAHAHAHAHAH”.

Ricordatevi quindi: seppellite di segnalazioni chi ha sbagliato e chi vi sta veramente creando questo disservizio, non prendetevela con chi ha rispettato le regole e non ha nessuna colpa. Telefonate, telefonate e telefonate ancora, e quando siete stanchi fate chiamare anche i vostri parenti dalle altre stanze della casa. E il giorno dopo richiamateli, per chiedere aggiornamenti o anche solo per salutarli.

Se volete che il problema venga risolto, insomma, sostituite per i prossimi giorni il numero della vostra ragazza in rubrica con il numero del loro callcenter.

Concludo con un meritato #EPIC FAIL per Fastweb. Ovviamente non sono loro cliente. Non vorrei diventarlo neanche se mi pagassero loro stessi per usare i servizi che offrono. Però, ho ordinato ieri un server da Softlayer e rischio di ritrovarmi un IP appartenente alle classi di cui abbiamo parlato fino ad ora. Con le conseguenze di cui abbiamo parlato fino ad ora.

UPDATE: E’ quasi l’una di notte, del 19 Maggio, e ho appena visto il primo traceroute andare correttamente a destinazione da rete Fastweb. Tutti gli IP di test che avevo usato, Softlayer, OVH, Hetzner, vengono ora correttamente ruotati. Un traceroute in memoriam:

Traccia instradamento verso 5.10.64.1-static.reverse.softlayer.com [5.10.64.1]: 

  1 <1 ms <1 ms <1 ms  39.235.148.254
  2    30 ms    49 ms    27 ms  10.128.96.1
  3    49 ms    29 ms    29 ms  10.3.231.210
  4    32 ms    32 ms    34 ms  10.251.143.209
  5    30 ms    27 ms    28 ms  10.251.138.27
  6    25 ms    27 ms    29 ms  10.251.139.1
  7    32 ms    27 ms    29 ms  10.251.143.194
  8    37 ms    32 ms    27 ms  10.3.134.241
  9    32 ms    27 ms    28 ms  10.3.128.46
 10    33 ms    28 ms    29 ms  10.254.11.69
 11    36 ms    29 ms    35 ms  10.254.1.77
 12    33 ms    95 ms    41 ms  89.97.200.62
 13    28 ms    29 ms    38 ms  26.26.127.54
 14    31 ms    37 ms    39 ms  93.55.241.54
 15    37 ms    28 ms    29 ms  26.26.127.69
 16    38 ms    39 ms    38 ms  93.57.68.21
 17    30 ms    38 ms    39 ms  93.57.68.5
 18    35 ms    36 ms    29 ms  if-5-0-0.core1.RCT-Rome.as6453.net [195.219.163.9]
 19    59 ms    58 ms    59 ms  if-11-0-0-0.tcore1.PYE-Paris.as6453.net [80.231.154.41]
 20    56 ms    59 ms    75 ms  if-2-2.tcore1.PVU-Paris.as6453.net [80.231.154.17]
 21    57 ms    63 ms    76 ms  xe-6-3.r03.parsfr01.fr.bb.gin.ntt.net [129.250.8.177]
 22    84 ms    58 ms    59 ms  ae-1.r21.parsfr01.fr.bb.gin.ntt.net [129.250.2.224]
 23    79 ms    62 ms    75 ms  as-4.r22.amstnl02.nl.bb.gin.ntt.net [129.250.3.84]
 24    64 ms    67 ms    69 ms  po-1.r01.amstnl02.nl.bb.gin.ntt.net [129.250.4.71]
 25    64 ms   115 ms    62 ms  ae11.bbr01.eq01.ams02.networklayer.com.64.20.81.in-addr.arpa [81.20.64.50]
 26    88 ms    61 ms    58 ms  ae5.dar01.sr01.ams01.networklayer.com [50.97.18.237]
 27    65 ms    58 ms    65 ms  po1.fcr01.sr01.ams01.networklayer.com [159.253.158.131]
 28    72 ms    62 ms    58 ms  5.10.64.1-static.reverse.softlayer.com [5.10.64.1]

Notate gli hop numero 1, 13 e 15. Il primo usa un IP appartenente ad una classe assegnata ad APNIC, che potrebbe entrare in uso a breve creando nuovi problemi di raggiungibilità. Il 13 e il 15 fanno parte di una classe assegnata al Dipartimento della Difesa americano. Inutile ripeterlo, Fastweb non ha titolo per usare nessuna di queste classi.

Com’è che si diceva del lupo?

Giorgio

L’AGCOM, Autorità per le Garanzie nelle Comunicazioni, giocherà un ruolo fondamentale nel processo di digitalizzazione e di ripresa/sviluppo dell’Italia nei prossimi anni (quella carica ne dura 7!), e per questo è importante che su quella poltrona non ci finisca qualche amico di qualcun altro o un incompetente a caso. Su una nomina relativa ad un organo anche poco conosciuto dai non addetti ai lavori, si gioca il nostro futuro.

Quintarelli ha scritto la storia delle telecomunicazioni in Italia, ci lavora da 25 anni, i risultati ottenuti dalle società di cui è stato parte (una tra tutte, I.NET) sono prova del fatto che lui sia la persona perfetta per quella posizione.

Potete firmare la petizione qui, in pochi secondi: http://www.firmiamo.it/stefano-quintarelli-4-president.

Vi prego di diffondere il più possibile, il tempo è davvero poco e rischiamo che qualcuno faccia una scelta sbagliata segnandoci per i prossimi 7 anni.

Su Twitter, #quinta4president!

(Cavolo, è il mio cinquantesimo post!)

…dall’antefatto: il 9 Dicembre scorso, ricevo una mail, una newsletter, dall’indirizzo segreteria@patriziatoia.info. Arriva dal sito http://www.patriziatoia.info/, di una certa Patrizia Toia, “Vicepresidente del gruppo S&D al Parlamento Europeo”, Europarlamentare del Partito Democratico.

Sono un sysadmin, e sono in prima linea contro lo spam ogni giorno per permettere a varie persone di continuare ad usare le loro caselle email senza dover nuotare nella spazzatura. Quando una mail indesiderata passa attraverso i filtri mi innervosisco non poco. Ed ero particolarmente sicuro si trattasse di spam, perchè conservo tutte le conferme di iscrizione alle newsletter, e non ne trovavo nessuna in merito nella mia mailbox.

Non troppi lo sanno, ma oltre all’ottima coppia Spamassassin e Spamcop ci sono anche delle leggi che ci proteggono da tale “piaga” (consiglio queste due pagine di Paolo Attivissimo in merito).

Se fosse stata una mail normale, anonima, simile alle altre, lo confesso, l’avrei cancellata. Ma qui la situazione era diversa, questa mail era stata inviata da un (euro)parlamentare. Decido di rispondere alla newsletter, chiedendo chiarimenti:

Salve,

potrebbe gentilmente indicarmi come sono stato iscritto a questa newsletter, riportandomi nel caso l’indirizzo IP che ha effettuato l’iscrizione per conto mio e confermato la stessa?

Grazie

Cordiali Saluti
Bonfiglio Giorgio

La risposta da parte della segreteria della Toia, 3 giorni dopo, lascia ben poco spazio a (eventuali) dubbi:

Gentile dr. Bonfiglio,

non sono in grado di fornirle queste informazioni, ma se lo richiede posso cancellarla.

Saluti cordiali,

La segreteria

Parafrasando, non avevano la minima idea di quale fosse la provenienza del mio indirizzo nè avevano prove del fatto che io avessi mai dato il consenso a ricevere tali mail. Prove che, sia chiaro a tutti, per chi raccoglie in modo legale indirizzi email, consistono in non più di una riga in un database, che indica l’IP e data della registrazione e dell’avvenuta conferma della stessa; riga che si recupera e invia su richiesta in trenta secondi o poco più. Sono gli stessi dati che richiedono i gestori delle blacklist quando un IP viene segnalato come spam da più persone ma il suo contatto abuse nega l’accaduto.

Ma era natale, avevo poca voglia di litigare e poco tempo da perdere, quindi ho lasciato correre. Non ho richiesto la cancellazione per avere la possibilità di monitorare il flusso di spam nei mesi seguenti. Faccio notare ad un eventuale poco attento lettore che dire “non ho richiesto la cancellazione” è ben diverso da dire “mi sono registrato alla newsletter prestando il mio consenso al trattamento dei miei dati personali”.

E con questo si chiude l’antefatto.

Mi ero completamente dimenticato della vicenda, ma lo scorso 5 Maggio la storia si ripete: newsletter dall’indirizzo news@emanuelefiano.info, sito web http://emanuelefiano.info/, di tale “Emanuele Fiano”, membro (cito testualmente) “della IX COMMISSIONE (TRASPORTI, POSTE E TELECOMUNICAZIONI) e del COMITATO PARLAMENTARE PER LA SICUREZZA DELLA REPUBBLICA”, parlamentare, Partito Democratico.

Questa volta si sale di un livello nella scala dello spam, in quanto si propone una iniziativa con relativi link e richiesta di “Parteciperò” su pagina Facebook di un evento (usata in modo scorretto, ma tant’è). E saliamo di un punto anche nella scala degli spammer, in quanto questa volta si tratta di un parlamentare italiano, membro della commissione “poste e telecomunicazioni”, che più di altri dovrebbe conoscere la legge sulla privacy e il significato di parole come “posta indesiderata”.

Mi ha fatto quantomeno sorridere il fatto che la lettera aperta pubblicizzata (no, spammata), firmata oltre che dallo stesso Emanuele Fiano da Michel Dreyfuss e Sara Elter, iniziasse con:

Chi scrive, è cittadino di questa Repubblica, ne osserva le Leggi e ne rispetta la Costituzione.

Insomma. Considerato che quella che stavo leggendo era una sua newsletter non richiesta, inviata in violazione della vigente legge sulla Privacy, avrei preferito leggere una più onesta versione di quella riga, ad esempio:

Chi scrive, è cittadino di questa Repubblica, ne osserva le Leggi (ad esclusione di quella sulla Privacy) e ne rispetta la Costituzione.

Il 6 Maggio, armato di molta pazienza, e forte della precedente esperienza di Massimo Cavazzini di cui avevo letto per caso tempo fa, rispondo alla newsletter ricevuta, mettendo in copia Fiano stesso (fiano_e@camera.it), il Garante, un’altra email indicata nel testo (letteracontromanifestazione@gmail.com) e il contatto tecnico del dominio emanuelefiano.info (pmol@mac.com) per richiedere dove fosse stato preso il mio indirizzo, ed eventualmente, prova del mio consenso dato per ricevere tali email:

Gentile Sig. Emanuele Fiano,

è con molto dispiacere che questa mattina ho accolto la sua mail che trova in calce. Un parlamentare, una persona eletta dal popolo per rappresentarlo di fronte alla legge, dovrebbe conoscere meglio di altri le leggi e normative in vigore. Mi riferisco, nello specifico, a quella sulla privacy, che sancisce l’obbligo di ricevere consenso da parte dell’interessato prima di inviare comunicazioni massive di tipo informativo o commerciale.

Può visionarla qui: http://escher.drt.garanteprivacy.it/garante/document?ID=228228. Ci sono precedenti interessanti di persone e/o aziende multate per tali pratiche (http://www.maxkava.com/spam/spam_intro.htm) sia in italia che all’estero (casi in cui si è arrivati addirittura a sanzioni penali).

Sono quindi con la presente a richiederle, ai sensi dell’articolo 7 del D. Lgs. 30 giugno 2003, n. 196 (Testo Unico in materia di protezione dei dati personali):

- Il nome, cognome ed indirizzo del titolare responsabile legale del trattamento;
- Se è in possesso di una mia dichiarazione con la quale vi autorizzo al trattamento dei miei dati personali (il mio indirizzo di e-mail), resa con le modalità previste dall’art. 13 del D. Lgs. 30/6/2003 n. 196;
- L’origine dei miei dati personali in suo possesso;
- Nel caso i dati fossero stati acquisiti da terzi, se questa terza parte è in possesso (oltre alle liberatorie precedenti) di una mia dichiarazione, resa anch’essa con le modalità sopra citate, con la quale la autorizzo alla diffusione dei dati;

Valga la presente anche come DIFFIDA all’ulteriore trattamento dei miei dati personali in suo possesso, con riserva di ogni azione e ragione anche per il risarcimento dei danni.

Richiedo inoltre l’immediata cancellazione di tali dati secondo quanto previsto dalle lettere b) e c) dell’art. 7 comma 3 del D. Lgs. 30/6/2003 n. 196.

In caso di mancato o inidoneo riscontro alla presente istanza entro il termine di 7 giorni, il sottoscritto si riserva, ai sensi dell’art. 145 del D. Lgs. 30/6/2003 n. 196, di rivolgersi all’autorità giudiziaria o di presentare ricorso al Garante per la protezione dei dati personali.

Cordiali Saluti
Giorgio Bonfiglio

Mentre raccoglievo dati sul caso, mi sono accorto di una strana somiglianza tra gli headers delle mail della Toia e quelle di Fiano. Nello specifico, nelle mail della prima notavo:

Received: from patrizia by server2.miospazio.net with local (Exim 4.69)

E in quelle del secondo:

Received: from segfiaem by server3.fattispazio.it with local (Exim 4.69)

Gli hostname dei server erano molto simili, e già mi avevano insospettito la struttura dei due indirizzi email e quei due domini “.info”. Anche la veste grafica dei due siti, avevo notato, aveva molti elementi di somiglianza.

Troppi legami, inizio a sospettare del fatto che i due casi di spam non siano poi così tanto separati. Il caso si stava facendo più interessante di quanto avessi inizialmente immaginato.

Non erano in programma, ma decido di fare ulteriori analisi tecniche per approfondire la question. Scopro in pochi minuti che i siti sono ospitati sullo stesso server, con IP 108.61.91.3 e che il contatto tecnico dei due domini è lo stesso: Paolo Molina, ARP scrl, Milano. Anche i nameserver autoritativi sono gli stessi, NS1.FATTISPAZIO.IT ed NS2.FATTISPAZIO.IT.

Strane coincidenze, insomma. Ricevo due mail spazzatura in sei mesi ed entrambe partono da siti creati dalla stessa webagency? A chi lavora nel settore, qualche immediato sospetto viene. Ma decido di continuare, guardando ai fatti, senza fare supposizioni.

C’entra poco con la questione ma avendo sotto gli occhi i dati di registrazione dei due domini mi permetto di far notare un dettaglio al Fiano e alla Toia: il regolamento ICANN (che per chi non lo sapesse è l’autorità che gestisce l’assegnazione dei nomi a dominio) impone che il contatto amministrativo (admin-c) di un determinato dominio sia il reale proprietario/utilizzatore. Più volte è stato chiarito che essendo quello il contatto adibito alla conferma di eventuali trasferimenti, questo non debba essere la webagency / webmaster che gestisce il sito web, bensì il reale “committente” utilizzatore.

Serve ad evitare che chi ha creato un sito per conto di qualcun altro possa appropriarsi del dominio o rendere difficile/impossibile il trasferimento dello stesso in caso di problemi con il cliente, ma serve anche perchè è un diritto di chi guarda da fuori sapere chi gestisce il sito web, di chi è, chi lo ha registrato e chi lo paga.

Ad oggi, 16 Maggio, non ho ricevuto risposta alcuna da parte di Fiano nè da parte del contatto tecnico. I 14 giorni entro i quali la legge impone io debba ricevere risposta alle mie domande scadono questa Domenica, 20 Maggio. Non credo riceverò risposte esaurienti, perchè io so bene a cosa mi iscrivo e per cosa presto il consenso.

Le parti in gioco sono diverse: i due politici, le relative segreterie (che probabilmente si sono occupate di inviare materialmente la newsletter) ed infine chi gestisce i due siti. Due catene da tre elementi, in cui uno è in comune. E sono sicuro che uno dei tre anelli di ogni catena abbia le risposte che cerco (e che, lo ricordo, è mio diritto avere): da dove arriva il mio indirizzo, chi materialmente l’ha messo in quel database, perchè l’ha fatto, su richiesta di chi altro.

Un elemento di ognuna delle due catene gioca sporco, e almeno uno degli altri due anelli pecca di negligenza. Spiego meglio: se, come qualcuno mi ha suggerito, fosse stato un portaborse a gonfiare il database di indirizzi, avremmo una webagency che permette bombardamenti di email dai suoi server ed un politico poco attento. Se fosse stato il politico a gonfiare il database, avremmo una webagency poco attenta agli attacchi spam in uscita. Se invece fosse stata la webagency a riempire il database, avremmo un politico che non si è chiesto come facesse quel database ad essere così pieno di indirizzi.

In ogni caso, salta all’occhio la mancata risposta della webagency alla mia mail; chi fa il mio stesso lavoro sa quanto sia critico gestire in near-realtime le segnalazioni, e rispondere a queste in tempi celeri, per evitare di far innervosire chi sta subendo un disagio o anche il “semplice” blacklisting degli IP coinvolti. Credo di non aver mai ritardato più di 24 ore nella risposta ad una segnalazione ricevuta, e qui sto aspettando da dieci giorni.

Non so chi abbia sbagliato, ma il cerchio è bello stretto, e, come ho dimostrato, le possibili responsabilità sono fortemente legate tra di loro.

Sento quindi la necessità di chiedere alle parti che ho citato chiarimenti, qui, in modo trasparente, davanti a tutti, e che siano presi adeguati provvedimenti contro chi ha sbagliato per evitare il ripetersi di simili spiacevoli e fastidiosi inconvenienti in futuro.

Si tratta di un mio diritto, da esercitare nei confronti di due persone che, a vario titolo, almeno in teoria, rappresentano il popolo italiano di cui io faccio parte e che dovrebbero essere le prime a rispettare le leggi e a farle rispettare ai propri collaboratori.

Giorgio

Alla fine, come ho già scritto, anche io ho tirato fuori la bandierina #VoluniaFAIL, decidendo che, a meno di notevoli e rivoluzionari sviluppi, non è più il caso di seguire questo “nuovo” motore di ricerca. Progetto in cui inizialmente, pur avendone evidenziati i (troppi?) difetti, avevo credito più di altri. Forse troppo.

Questo, comunque, ha lasciato il reparto “interessanti progetti sociali” del mio cervello un pò troppo vuoto. Per poche ore, perchè poi, tramite “gente che conosco”, ho scoperto Charlie. Che ha immediatamente attirato la mia attenzione.

Cos’è Charlie? La risposta, per adesso, è immediata: un immenso “boh”. La pagina di presentazione è molto vaga, poco dettagliata, lascia molte cose in sospeso: probabilmente un modo per attirare l’attenzione e far crescere l’interesse nel progetto. La pubblicità sociale/virale che stanno facendo (anche via Youtube), c’è da dire, attira davvero molto. Viene distribuito anche uno zip con diversi loghi, wallpapers e cose simili, da usare “senza moderazione” (cito testualmente) per pubblicizzare Charlie.

Le premesse sono interessanti: si pone come un nuovo approccio all’ambiente GeoSocial, che, fatta eccezione per FourSquare, fino ad ora non ha avuto un così grande successo. Servizi come Google Latitude, pur non essendo morti non si può certo dire abbiano avuto l’onda d’urto desiderata. Fino ad oggi, vorrei sottolineare, l’unico utilizzo della geolocalizzazione è stato come supporto o addon ad altri servizi o ad altri sistemi di interazione sociale: “ti dico cosa faccio e cosa penso, ed in più dove sono”.

Niente di che, niente di nuovo, insomma. Fino ad oggi. Charlie (che, cosa da notare, parla in prima persona) si propone di rivoluzionare tutto questo, di cambiare l’approccio GeoSociale, offrendo all’utente quelli che definisce “superpoteri”: un punto di vista più alto, più ampio, che vada al di là del “dove sono, cosa faccio e chi c’è vicino a me”, e che permetta di entrare in modo diverso e più completo nella nuvola di persone che ci stanno vicine. Geograficamente vicine, si intende.

Roberto Buzzatti, CEO&Founder del progetto, mi da qualche dettaglio aggiuntivo via email. Spiega che il progetto è nato a Settembre 2011, e che l’idea, unita al nuovo e solido modello di business che c’è dietro, ha in poco tempo attirato il consenso di un grosso investitore. Scopro anche che ci lavora un team di 6 professionisti del settore, tutti dell’area del trevigiano, e che è già partita la fase di “beta privata”.

La fase di beta pubblica, mi spiega Roberto, dovrebbe iniziare intorno a Giugno. Sottolinea che a caratterizzare l’applicazione sarà l’infinità di funzioni disponibili, unita, però, ad una estrema usabilità e semplicità. Una delle idee dietro a Charlie è infatti che maggiore è la comprensibilità da parte dell’utente, maggiore è l’interesse nel prodotto.

Si tratta, insomma, di un nuovo social network, disponibile su ogni tipo di dispositivo mobile (vista la sua natura, credo che questo sia un passo obbligato): tablet e cellulari. A patto che non si dimentichino dei PC e di chi usa Android (come ha fatto, fino ad oggi, instagr.am) ma, dalle poche FAQ che ci sono, mi pare di capire che questa mia richiesta sarà esaudita.

Per adesso, “ma solo per adesso”, non ho altre informazioni. Potete iscrivervi per ricevere aggiornamenti via email nelle pagine linkate sopra, oppure seguire il progetto via Facebook e Twitter.

Non starò qui a raccontarvi per la sedicesima volta la storia di questo blog. Sostanzialmente, è nato nel 2006/2007 con contenuti di tipo “stream of consciousness”: ci scrivevo qualunque cosa mi passasse per la testa, senza far troppo caso alla forma (ed ai contenuti).

Poi, però, ho iniziato ad usare i social network, che sono posti molto più adatti a scrivere quello che passa per la testa, e mi sono deciso a ripulire il blog, sulla spinta anche delle richieste di chi apprezzava le mie recensioni ma se ne sbatteva totalmente di quella che era la mia idea sulla tipa X incrociata la mattina in treno, o sui caffè dell’Autogrill.

Soluzione? Piallarlo completamente e ripartire da zero, cosa che ho già fatto due volte. Quella che è online, è la terza versione (una curiosità del caso è che io, “backuppomane seriale”, ho perso ogni copia della v1).

Dicevo, articoli di qualità: io studio, sviluppo, lavoro, vivo, corro in giro dalla mattina alla sera, e non ho tempo per mantenere un (inutile) blog di news di settore. Non ho nemmeno troppi mezzi per ricevere notizie dirette e “fresche”, perciò di fatto mi dovrei limitare a ripubblicare, tradurre e riordinare pezzi presi da altre parti.

L’unico modo per sopravvivere nella blogosfera (e per mantenere una reputazione) è scrivere qualcosa che sia interessante, unico e di un certo livello. Spesso impiego anche 3/4 giorni a studiare e scrivere un articolo, perchè non mi limito a riportare fatti o news ma faccio anche attente analisi dei temi di cui parlo. Dopo aver scritto leggo, rileggo, modifico, ricontrollo. Per abitudine, infine, faccio un ultimo controllo uno o due giorni dopo aver pubblicato.

Quindi si, in sostanza è possibile che “quella frase ambigua” sia sparita o si sia corretta da sola, che il paragrafo che siete sicuri di aver letto non ci sia più, ed è possibile che a lungo andare io mi dimentichi anche dell’esistenza delle parti cancellate. Anche se raramente, può capitare anche che l’articolo “che ieri c’era” sia… …sparito.

Quindi, un consiglio: sono un sysadmin, il mio stampo è quello. Considerate i miei articoli come fossero delle “beta”, che diventano automaticamente “stable” in 4/5 giorni dalla data di pubblicazione.

Ho già parlato tempo fa di FlareVM, servizio VPS italoinglese lanciato nel 2010, basato nella webfarm KPN (2?) di Via Caldera 21 a Milano.

Avevo immediatamente notato la grande forza di sviluppo e di innovazione di questa società, che, lo ricordo, era partita fin da subito con un completissimo pannello fatto in casa, il FlarePanel. Si trattava di una scelta insolita in quel particolare momento, in cui i pannelli di controllo commerciali (vedi SolusVM, HyperVM) scendevano vertiginosamente di prezzo e diventavano più facili da usare, da gestire e da installare.

L’idea di sviluppare in in proprio tutto il sistema di gestione ha lo svantaggio di dover inizialmente “reinventare la ruota” (ergo investire risorse nello sviluppare un prodotto che è facilmente acquistabile per “pochi” dollari online), ma apre ad un universo infinito di possibilità future, grazie alla flessibilità data da un sistema creato su misura.

E lo sviluppo è continuato, senza sosta, nei mesi. Sono state nuove integrate features che, unite ai prezzi (al momento sono i più bassi sul mercato italiano e forse anche europeo) hanno notevolmente aumentato la distanza tra FlareVM e i concorrenti. Qualche esempio:

• La “console di ripristino”, che funziona come un vero e proprio KVM attaccato alla VPS
• Il servizio (gratuito) di backup FTP
• La possibilità di ripristinare un kernel di default sulla VPS, per risolvere problemi critici che ne impediscono il boot
• Il boot in modalità di emergenza, ovvero una distro linux avviata in modalità live in cui vengono montati i vostri dischi per permettere l’accesso ai dati in situazioni “estreme”

L’ultima interessante ed utile feature è stata lanciata da pochi giorni. Mi riferisco alla possibilità di effettuare dei backup (snapshot) completi della VPS con pochi semplici click e, soprattutto, senza doverla spegnere.

L’utente può effettuare una copia di sicurezza in qualsiasi momento (ad esempio, prima di un aggiornamento importante); in aggiunta ai backup effettuati manualmente, ci sono poi quelli giornalieri, creati in automatico. Tramite un’apposita scheda nel pannello di controllo i backup possono essere con altrettanta facilità ripristinati.

Ma non finisce qui: tra le unicità di questo servizio c’è la possibilità di “montare” il backup come fosse un disco del sistema (in sola lettura) e di recuperare quindi singoli files senza procedere con un ripristino completo della VM.

Maggiori dettagli sul servizio di backup, sono qui, sul sito ufficiale di FlareVM.

Non posso che rinnovare quindi le conclusioni a cui ero arrivato nei precedenti articoli: FlareVM offre un servizio di un certo livello (non ne ho parlato in modo dettagliato, ma le prestazioni, in termini di cpu, banda e i/o, sono davvero eccezionali), con features uniche ad un prezzo incredibile. Quindi, perchè non provarlo?

So, let’s try to write something. But, before starting, I have to say this: the point is that… there are no updates. It’s so simple.

As you know, I’ve been monitoring the growth of the search index for a while, but i’ve stopped checking because it simply was not growing. This is the graph:

The only maybe-interesting news is that they have launched a new feedback system (basically, a Q&A CMS), probably due to the need of a more efficient system to manage users feedbacks (with the old “closed” system, i’d bet, they were receiving tons of duplicated feedbacks without any way to rank and clean them).

I’ve tried to speak about good and new features of Volunia, but right now, 2 months after its pre-launch, it looks more as a failure than a revolution: the online rumors about this search engine are now silent and the media interest in it has finished.

Being the interest in it is almost dead, I don’t think I will blog again about Volunia. Do you think this “revolutionary” search engine is still alive?

From my point of view, i’d just consider it as “dead” and focus on other emerging engines.

Giorgio

Qualcuno l’ha compresa, altri, immancabilmente, l’hanno fraintesa, per cui sento la necessità quantomeno di spiegare. Sono abbastanza sicuro che sia il mio articolo che ha iniziato a far parlare di WordPress in Volunia, considerato che è il primo in ordine temporale.

Comunque: non era mia intenzione sostenere che Volunia fosse basato su WordPress (ma non l’ho sostenuto: il mio testo originale è lì, potete leggerlo), anche perchè è ovvio a tutti che WordPress venga usato solo dalla sezione News. Il punto era totalmente diverso: chiedevo come mai si lasciasse così aperta al pubblico una pagina che può potenzialmente creare problemi.

Problemi che vanno dal bruteforce sulla password di admin, alle potenziali vulnerabilità dell’applicativo, che grazie a quella pagina è facilmente identificabile. Ma non solo: dig dig dig e si scopre che si tratta degli stessi server a cui ci si connette per la chat a lato pagina. Un potenziale bug di WordPress potrebbe quindi creare effetti catastrofici.

Punto due: avevo notato che l’indice di Volunia era abbastanza statico, poi avevo aggiornato il post annunciando che il numero di risultati nelle ricerche di prova era tornato a crescere. Ma qui c’è il grafico aggiornato:

Risultato? Siamo nuovamente fermi. Voluniabot ha visitato ieri nel primo pomeriggio il mio blog, ma ancora non appare nei risultati di ricerca. Non vorrei che questo motore di ricerca soffra fin dalla nascita di problemi con cui Google ha combattuto (e che ha risolto).

94.32.111.22 - - [15/Feb/2012:15:21:27 +0100] "GET /2011/12/un-tema-come-si-deve-finalmente/ HTTP/1.0" 200 32022 "-" "Mozilla/5.0 (compatible; Voluniabot/1.0; spider@volunia.com)"

Terzo: noto che il team sta spingendo verso l’utilizzo del plugin di Volunia (disponibile per Explorer, Firefox e Chrome), probabilmente per ovviare ai vari problemi dati dall’iframe, quali siti non visualizzabili o semplicemente la chat laterale, che resta “fissata” alla prima pagina aperta durante la ricerca e non “segue” l’utente durante la navigazione nel sito web. Che stia cambiando la natura stessa di Volunia, da “portale” ad applicazione?

Quarto ed ultimo: è il più importante. Fin dal primo momento ho riportato via feedback tutti i problemi che ho notato, da problemi di visualizzazione, alla chat che non seguiva l’utente, fino alla schermata di login di WordPress aperta al mondo intero. Noto però che i miei feedback con screenshot inviati circa 7 giorni fa non sono stati ancora letti.

Questo è problemativo, perchè si presume che in una fase “beta ad accesso programmato” in cui si tiene d’occhio il numero di utenti, si dia l’accesso a nuove persone non solo in base al carico dei server ma anche al carico di lavoro per lo staff, in modo che questo possa seguirli tutti. Mi chiedo se 7 giorni per leggere un feedback siano normali, mi chiedo quanto sia utile perdere tempo a riportare tutto.

Giorgio

This graph is showing the number of search results returned for some common keywords in the last 2 days. I’ve set my Search Language to “Italian and English” and the SafeSearch Filter to “Medium”. This is the data table:

The number of results returned for those keywords has slightly changed. How is this possible?

If you look more carefully at that table, you’ll notice that the number of results isn’t actually changing at all. It seems that my searches are run against 2 different versions of the indexes (look at the number of results for “snow”: it’s 1618056 on 10th February, then it becomes 1583862 in the 11th February morning and then back to 1618056 in the afternoon).

A search for “vada a bordo cazzo”, well-known De Falco‘s exclamation, will result in… no results if you use the double quotes, and some porn sites if you don’t use them. Wow! A little outdated index, isn’t it?

Is VoluniaBot taking a break?

UPDATE 20:45 13/02/2012: Yes, Voluniabot did woke up (in the last 10 hours). Look at this graph:

The first thing i’ve noticed: searches are quickly improving. There are many more results, and Volunia’s team has reported that web indexing has been made quicker. In order to “measure” the index growth, i’ve decided to create a table and a graph where i’ll periodically report the number of results shown for some test words. I’ll speak about this in the next days. Well, don’t expect Google-level results in 2 days, but… It’s improving.

I’m a bit concerned about slowness. Searching for “I’m just trying to stress you” takes more that 8 seconds (and the sistem is not yet under heavy loads). But that’s not the worst point. Searching for those words, will lead to this results page:

Can you see that HTML encoding error?

Something similar happens if you search ” “Giorgio Bonfiglio” ” (yes, this time with the double quotes): Volunia will show only one result.

Now, let’s try to click on that “repeat the search with…” link. This is the result:

That’s terrible. It’s not just about an HTML encoding error: Volunia is showing results matching on… that error! Moreover, look at the third result: is Volunia really showing as third result a page where the only matching item is a first name?