photo credit: JackSim

Francesco Bramato è un amico (oltre che uno dei miei guru personali a cui rompo le scatole su .NET quando mi incastro) e qualche tempo sul suo blog parlava di un acquisto sul sito di E-Commerce PianetaShop.it.

Raramente scrivo di cose personali sui blogs e questo doveva rimanere un contenitore di tips&tricks puramente tecnici ma oggi ho una storia da raccontare. Ho deciso di comprare un Nokia E51, un aggegino stupendo e pieno di belle cose interessanti e mi sono messo alla ricerca del prezzo più vantaggioso fra EBay, trovaprezzi.it, ciao.it e altri aggregatori.
Alla fine l’ho trovato su PianetaShop.it . Tramite le solite recensioni che si trovano in giro ho letto che ERA un negozio affidabile e mi sono convinto per l’acquisto (3 marzo 2008) e ho scelto come indirizzo di spedizione la reception del posto in cui lavoro.

Nulla di strano se non che la sua odissea ha comportato una serie interminabile di problemi con SDA che spedisce il pacco a destra e manca ma NON all’indirizzo corretto specificato all’acquisto.
Un problema che Francesco attribuisce al corriere ma che in ultima istanza si scopre differente:

Il pacchettino mi viene consegnato e scopro che il venditore ha sbagliato clamorosamente l’indirizzo di spedizione: nell’ordine ho indicato un indirizzo di spedizione diverso da quello di fatturazione - la mia residenza - (come tutti gli e-commerce permettono di fare) ma il venditore ha inspiegabilmente segnato sulla spedizione l’indirizzo di fatturazione.

Un errore ovviamente MADORNALE per chi si dovrebbe occupare day by day di e-commerce. Pensate solamente cosa sarebbe successo se la sede legale e quella amministrativa fossero state ai capi opposti d’Italia.
Il tono di Francesco è accigliato ma pacato. Io sicuramente avrei utilizzato ben’altri eppiteti… La frase più forte che dice è forse la fine:

Appena tornato a casa ho mandato una email molto arrabbiata al venditore chiedendo spiegazioni ed esigendo il rimborso delle spese di spedizione, del carburante, del pedaggio autostradale e delle telefonate all’sda.

Ora non ci sarebbe nulla di strano.

Se non fosse che la rete premia il dialogo e al suo post moltissimi rispondono dichiarando altri problemi ed una serie di disavventure.
E, a breve tempo, appare come al solito l’addetto PR della società, in questo caso la Mar.Pag. On Line S.r.l. che nell’ordine:

• Smentisce di aver ricevuto mail e chiamate
• Da praticamente dell’imbecille a Francesco dicendo che è l’unico che ha avuto problemi (anche se nella realtà altri post confermano problematiche varie)
• Posta ovviamente dopo aver visto che il post di Francesco è in prima pagina nelle ricerche
• …e per finire in bellezza anzichè chiedere SCUSA per l’errore minaccia Francesco di azioni legali per il post che ha scritto!

Per quanto assurdo ed idiosincratico possa sembrare le parole dello stimato webmaster e programmatore della Mar.Pag. On Line S.r.l. dice testualmente (grassetto mio):

Lunedi contatteremo il nostro legale per capire se è possibile prendere dei provvedimenti, perchè mi pare si sia superato ogni limite di libera espressione.

Complimenti, Mar.Pag. On Line S.r.l., ottima strategia di Marketing. Se tutto va bene ok, se non va bene denunciamo chiunque parli male. Avete proprio capito tutto del Web, mi sembra.

Ora, sinceramente, non so voi, ma io da uno shop che più di tanto in tanto fare qualche errore e scusarsi posso anche immagina re di acquistare, ma NON ACQUISTERO’ MAI DA UN NEGOZIO CHE MINACCIA DI DENUNCE UN CLIENTE CHE SEGNALA UN PROBLEMA SUL SUO BLOG.

Ma stiamo scherzando? Il mondo è pieno di negozianti: cercatene uno che sappia gestire il Customer Care! E se volete chiedere informazioni potete sempre chiamare la MaR.PaG. On Line S.r.l. ai numeri che lascia sul sito web:

MaR.PaG. On Line S.r.l.
Via Wenner n° 50 - 84131 - Fuorni (SA)
Tel +390899952073

Technorati Tags: Mar.Pag., marpag, pianetashop.it, pianetashop, problemi, causa, legale, review, recensione, pacco non arrivato, customer care, bad review, problematiche, problematico

photo credit: tractorpirate

No, non è un errore di ortografia, ma proprio quello che penso.

Sto leggendo un “sedicente” manuale di Computer Forensics scritto da un “sedicente” esperto ed autoprodotto su un noto sito di stampe on demand.
Non faccio nomi, per ora, non ho ancora finito la review.

Ma posso iniziare a fare qualche stralcio di qualche paragrafo e fare capire cosa intendo per Compiuter Phorensics (d’ora in poi i corsivi sono miei per sottolineare alcuni concetti):

Scegliamo il nome del file immagine (es. image.img) e poi nelle opzioni di copia scegliamo l’SDD (che è una versione più veloce del famoso DD di Linux), infine scegliamo l’hash MD5 per firmare digitalmente la copia

Ora, a parte che usare SDD per scopi di Forensics è quantomeno particolare, visto che è più veloce solo ed esclusivamente nel caso in cui IBD e OBS non coincidano (lo dice anche chi lo ha fatto), anche e soprattutto in virtù del fatto che o si usa lo standard DD oppure il ben più famoso, comodo e soprattutto STANDARD per la Forensics DCLFDD.
E, in aggiunta a questo, usare MD5 (noto per collidere) è idiosincratico. E soprattutto dovrebbe essere tolta la facoltà di parola a chi sostiene che MD5 rappresenta una firma digitale, visto che il concetto stesso di firma digitale si basa sulla crittografia forte associata ad un Hash. Significa veramente non aver capito un piffero dell’argomento.

Poi arrivano le parti ilari, come ad esempio:

Se l’hard disk esterno è stato formattato in Ext3, nonostante i driver EXT2FSD per Windows, che permettono la scrittura su HD EXT3 e EXT2 da Windows, conviene zippare da Linux col gzip, poichè ho provato che la lettura e scrittura di grosse moli di dati genera errori di lettura dopo un pò di ore…

Innanzitutto PERCHE’ dovrei avere qualcosa in EXT3 in Windows. Gli strumenti di carving non si sposano poi un gran che bene con una lettura del filesystem fatta da driver terzi…
Eppoi la vogliamo commentare ’sta affermazione del GZIP? Io mi stavo rotolando per terra dalle risate, ma magari è solamente una mia opinione…

Dai riferimenti uscenti da Autopsy possiamo salvare i contenuti dei files in rapporti testuali (magari da allegare) e poi montare l’immagine magari con un software come Mount Image Pro e poi andare a copiare i files da esaminare con software più GUI

Perché, ho bisogno di Mount Image Pro ogni volta che devo estrapolare un file da Autopsy? E le comode impostazioni di esportazione che fine hanno fatto? E come posso esportare essendo sicuro di ciò che faccio? E per i file nascosti che faccio, monto Mount Image Pro e lancio un Undelete Pro?

In un esercizio di computer forensics è capitato di ritrovare l’evidenza in un file ascii senza estensione e solamente guardando il suo contenuto ho visto il suo header che, cercando su Google, ho scoperto essere una codifica base64

E da quando valutiamo i file dalla loro ESTENSIONE in Computer Forensics?

Anche per quanto riguarda la cifratura ce la caviamo bene:

A questo punto, effettuando un’analisi con un editor esadecimale, potremmo ottenere 80 “file conosciuti”. Infine potremmo dare in pasto, questi files rimasti, a vari tool di cifratura (AxCrypt, TrueCrypt, gnuPGP, PGP, ecc.)

Ah si? Bello!
E da quando TrueCrypt ha una header distintiva come tipo di File? E, soprattutto, li diamo in pasto e cosa ci facciamo? TrueCrypt non HA MODO senza la chiave corretta di dire che si tratta o meno di un filesystem cifrato. Tant’è che il programma da un errore del tipo “Password non corretta o questo non è un file di Treucrypt”….

COntinuo ad avere le mier riserve… ma forse forse fossi in un lettore lascerei perdere e comprerei il manuale edito da Apogeo di Andrea “Pila” Ghirardini…

Technorati Tags: forensic, recensione, porkensic, computer forensics, digital forensics