SIAMO GEEK

Categoria: Internet

  • Non è colpa degli hacker

    Ultimamente ci sono stati molti episodi di attacchi informatici a vari siti, a partire dal noto caso di Sony, di cui credo si sia perso il conto dei siti compromessi.

    The Hacker News segnala un errore nel sito di CNN che sono riuscito a riprodurre senza problemi.

    Se si visita l’URL http://cgi.money.cnn.com/tools/collegecost/collegecost.jsp?college_id='7966 (notare l’apicino) esce il bel messaggio d’errore

    ERROR!
SELECT G.NAME, G.STATE_CODE, G.CITY, E.TUIT_OVERALL_FT_D, E.TUIT_AREA_FT_D, E.TUIT_STATE_FT_D, E.TUIT_NRES_FT_D, E.FEES_FT_D, E.RM_BD_D, E.RM_ONLY_D FROM COLLEGE_EXPENSES E, COLLEGE_GENERAL G WHERE G.INUN_ID = '7966 AND G.INUN_ID = E.INUN_ID (+) ORDER BY E.ACAD_YR DESC
java.sql.SQLException: ORA-01756: quoted string not properly terminated

    e la videata riprodotta a qui sopra.

    Questo non è un sofisticato attacco di un esperto programmatore contro un sito dotato di tutte le normali difese che il buon senso richiede.

    Si tratta, invece, del più banale degli esempi di SQL Injection, così ovvio che è citato nella Wikipedia.

    Come narra la cronaca, la maggior parte degli attacchi contro vari siti ha avuto successo non perché portati da gente esperta, ma perché c’era una porta lasciata colpevolmente aperta che attendeva solamente che qualcuno entrasse.

    Un’ultima cosa:  visualizzare all’utente trace e dettaglio degli errori in un ambiente di produzione non è la più furba delle idee.

  • ICANN sta per approvare i TLD dei brand

    Al momento esistono quattro categorie di domini di primo livello (TLD) approvati da ICANN:

    Secondo Reuters presto ICANN potrebbe aprire a tutti la possibilità di avere un proprio TLD.

    Se venisse approvata questa norma, chiunque potrebbe teoricamente richiedere un proprio TLD, rispettando, ovviamente, alcune norme.

    Innanzi tutto, il costo per avanzare una simile richiesta è fissato attualmente a 185.000 dollari; inoltre il richiedente dovrà dimostrare la titolarità del nome legato al TLD.

    I possibili acquirenti sono, ovviamente, i brand famosi, ma si potrebbero fare avanti anche zone metropolitane.

    Visto che, stante l’attuale struttura, più in alto del TLD non si può andare, sarà interessante vedere cosa succede in caso di omonimie: ad esempio, se lo spumante Ferrari riuscisse a soffiare a Maranello il TLD cosa potrebbe succedere?

    Aggiornamento 20/6/2011 6:30 – ICANN ha approvato la creazione di nuovi gTLD sponsorizzati con 13 voti a favore, 1 contrario e 2 astenuti. Le richieste potranno essere presentate dal 12 gennaio 2012 al 12 aprile 2012.

  • Sownage

    Sownage è una contrazione di “Sony ownage“, il neologismo creato per descrivere la serie di attacchi portati a termine contro i siti e i servizi di Sony.

    Questa pagina tiene traccia della situazione in via di sviluppo e viene aggiornata man mano che si verificano altri atti ostili nei confronti di Sony. (via Twitter)

     

  • XSS sulla MyFastPage

    Emilio Pinna ha scoperto una vulnerabilità XSS dell’autenticazione dell’utente della MyFastPage di FastWeb.

    Esiste anche una pagina in cui è possibile verificare se si rischia di cadere vittime di questo tipo di attacco.

    Un ipotetico attaccante potrebbe modificare la password di accesso o accedere ai dati dell’utente e alla posta elettronica.

    Questo documento [PDF] mostra in dettaglio come sia possibile sfruttare questa vulnerabilità.

    Emilio ha segnalato il problema a FastWeb un mese fa ed ha ricevuto una risposta, ma il problema permane. (via Full Disclosure)

  • openWAF

    openWAF è un firewall applicativo distribuito per il web.

    Il mondo dei firewall per le applicazioni è ancora da esplorare, ma le recenti notizie di cronaca invitano a prendere rapidamente in esame questo aspetto della sicurezza.

    Normalmente i firewall operano a livello di protocollo di rete e fanno pochissime incursioni nei livelli applicativi.

    Inoltre, con una curiosa allegoria del teorema di Gödel, i firewall migliori sono quelli posti all’esterno di ciò che si vuole proteggere.

    Possiamo, infatti, scrivere l’applicazione web nel modo più sicuro che ci viene in mente, sanificando ogni input, ma una distrazione o un giro imprevisto della procedura sono sempre in agguato.

    (altro…)

  • Prova gratuita Amazon EC2

    Amazon EC2 (Amazon Elastic Compute Cloud) è un servizio di cloud computing a capacità scalabile/ridimensionabile, erogato con modello “pay per use”: si paga solo per il tempo e le risorse utilizzate.
    Consente di creare “istanze” contenenti sistemi operativi.
    Sono disponibili “immagini” preconfigurate per varie distribuzioni Linux e Windows server.

    I prezzi sono piuttosto abbordabili anche paragonati con quelli di altri gestori che offrono servizi di VPS.

    Per chi volesse effettuare una prova gratuita viene offerta la possibilità di far girare a tempo pieno un’istanza “micro” (altro…)

  • Elenco dei profili di Google

    Con questo semplice script in Python è possibile scaricare l’elenco degli URL di tutti i profili degli utenti di Google:

    import urllib
from BeautifulSoup import BeautifulStoneSoup as bs
xml = bs(urllib.urlopen('http://www.gstatic.com/s2/sitemaps/profiles-sitemap.xml').read())
for i in xml.findAll('loc'):
    try:
        urllib.urlretrieve(i.text, i.text[35:])
        print 'Downloaded %s' % i.text[35:]
    except Exception, err:
        print '%s could not be retrieved' % i.text
print 'All done'

    gstatic.com è il nome a dominio che Google utilizza per servire contenuti statici e ridurre, quindi, il carico sui server principali.

    Il risultato è una serie di file di testo con un URL per ogni riga.

    L’URL è quello del profilo di ciascuno dei 35.513.445 utenti registrati. Per fare un esempio, questa è la pagina del mio profilo, contenuta tra quelle scaricabili con lo script riportato sopra (via Yiannis).

  • Wolfram|Alpha compie due anni

    Due anni fa circa andava online Wolfram|Alpha.

    In occasione del suo secondo compleanno sono stati aggiunti molti dati al motore di ricerca, sia relativi agli Stati Uniti, sia al resto del mondo, sebbene Wolfram|Alpha parli, per ora, solamente inglese.

  • Adobe Flash Player 10.3

    Finalmente un pannello di controllo decente

    Adobe ha rilasciato la versione 10.3 di Flash Player per tutte le piattaforme.

    La documentazione della release descrive in dettaglio tutte le novità contenute in questa versione.

    Tra le migliorie degne di nota c’è finalmente la possibilità di accedere facilmente alle impostazioni del programma. Fino alle versioni precedenti, l’accesso non era intuitivo e l’interfaccia lasciava a desiderare. Dalla 10.3, nel pannello di controllo del sistema operativo è possibile richiamare la funzionalità di configurazione del player. In questo modo gli utenti possono vedere chiaramente quali dati vengono registrati da Flash.

    Da questa versione viene supportata l’API ClearSiteData, che permette al browser di cancellare, se richiesto dall’utente, anche i dati memorizzati da Flash. Una funzionalità analoga è supportata anche per Internet Explorer.

    Da segnalare l’implementazione anche per la piattaforma OSX della funzionalità di auto aggiornamento già presente in Windows. Per default, viene effettuato un controllo ogni settimana.

    Una volta aggiornato Flash, verificate le impostazioni nel pannello di controllo e cancellate i dati registrati da siti che non conoscete.

  • È ora di cambiare la password di Facebook

    Symantec segnala che alcune applicazioni di Facebook potrebbero aver concesso involontariamente l’accesso all’access token degli utenti a terzi.

    L’access token è il sistema con il quale le applicazioni agiscono per conto degli utenti su Facebook, dopo aver ricevuto l’approvazione dell’utente stesso.

    Un’applicazione con il vostro access token può impersonarvi su Facebook limitatamente alle azioni che voi avete concesso a quel token.

    Per invalidare l’access token è sufficiente cambiare la password del proprio account, l’opzione si trova nelle impostazioni dell’account.

    Resta sempre valido il consiglio di concedere privilegi a meno applicazioni possibili e di rivedere di tanto in tanto le applicazioni a cui si sono concessi dei privilegi.

  • Microsoft starebbe per comperare Skype

    Skype starebbe per passare ancora una volta di mano.

    La società è stata fondata nel 2003 dagli estoni Ahti Heinla, Priit Kasesalu e Jaan Tallinn, che avevano fatto parte del team di sviluppo di Kazaa. Utilizzato all’inizio solamente dagli smanettoni, il programma è diventato sempre più famoso, specialmente quando molte aziende riuscivano a chiamare all’estero con costi ridotti. Nel 2005 eBay compera Skype per 2,6 miliardi di dollari in cash, per rivendere due anni dopo il 70% delle azioni ad una cordata di investitori privati; la transazione portava il valore della società a 2,75 miliardi.

    La scorsa estate CISCO aveva messo gli occhi su Skype, valutata in quel periodo attorno a 5 miliardi di dollari.

    Microsoft starebbe per farsi avanti con un’offerta tra i 7 e gli 8 miliardi.

    Nel 2010 Skype ha registrato incassi per 860 milioni di dollari, con un passivo di 7 miliardi. (via WSJ)

    Aggiornamento 10/5/2011 17:00 – Microsoft ha completato la transazione per 8,5 miliardi.

     

  • Il TCP/IP non funziona come credi di aver capito quando hai fatto il corso

    Ci sono sempre più dispositivi interconnessi tramite  TCP/IP i cui installatori devono confrontarsi, piaccia o no, con questo protocollo di rete.

    Per fare due esempi, fino a pochi anni fa gli installatori di centralini e di fotocopiatrici potevano tranquillamente ignorare le regole di networking e di TCP/IP; adesso devono conviverci.

    Come se non bastasse, molte organizzazioni fanno corsi superficiali senza verifiche finali serie al personale che deve poi operare sul campo o dai clienti con il nome dell’organizzazione medesima.

    I risultati, purtroppo, vanno dal comico al grottesco al tragico; tra le recenti esperienze ho visto:

    • l’installatore del centralino VOiP secondo cui centralino e telefoni devono essere assolutamente configurati con quella classe di IP perché “al corso ci hanno detto di fare così”;
    • l’installatore della stampante multifuzione che vuole attivare tutte le caratteristiche avanzate, si sbaglia, configura il POP3 del cliente nella stampante e la stampante cancella tutta la mail del cliente;
    • il tecnico di RagnatelaVeloce (nome non troppo di fantasia…) che, chiamato per un guasto all’ADSL, riconfigura l’IP della LAN del router “perché come è adesso è impossibile che funzioni” mettendo offline il cliente (la LAN è solamente su una classe diversa dal default 192.168.0.0/24).

    Potrei continuare citando decine di casi simili, molti riferibili a queste tre categorie di tecnici.

    Una preghiera a chi ha tecnici in giro che mettono le mani sul TCP/IP: o gli fate un training serio e costante, oppure fate fare la configurazione di rete a chi è capace. Grazie.