Categoria: Software

Ubuntu su Sony Vaio

Dopo oltre cinque anni di onorato servizio, è ora di pensionare il fidato Dell Latitude D610. Gli succede una Sony Vaio serie F VPCF12C4E. Ma come se le inventano le sigle dei modelli?

Qui di seguito le impressioni, le esperienze e i problemi incontrati durante l’installazione di Ubuntu 10.04 Lucid Lynx.

Parto con il sistema operativo preinstallato (Windows 7 Workstation) per creare i DVD di backup. Nota per Sony: altri vendor molto meno blasonati forniscono i DVD-R assieme al PC. Prendete nota.
(altro…)

18/09/2010
Flash a 64bit per Linux

Adobe ha finalmente reso di nuovo disponibile una versione aggiornata di Flash nativo per i sistemi Linux a 64 bit.

La versione precedente era stata resa obsoleta dai vari problemi di sicurezza e Adobe l’aveva ritirata o comunque non era consigliabile utilizzarla. (altro…)

16/09/2010
Samba nuovo per Debian vecchio

Oggi mi sono trovato nuovamente di fronte al problema di mettere dei client Windows 7 in un dominio con DC Samba. Il problema e` che occorre una versione recente di Samba (3.4.x o 3.5.x) e che spesso i server che ho presso i clienti hanno una versione vecchia di Debian, versione che quando e` possibile evito di aggiornare, seguendo la regola d’oro che dice “Quando va che tanto basta, non toccar che poi si guasta”.

Se serve Samba 3.4.x per Debian Lenny, e` disponibile nel repository dei backports, ma se si deve installare su vecchie Debian Etch o addirittura Sarge, tutto potrebbe essere molto ma molto rognoso.

Per fortuna mi e` venuto in aiuto un sito, http://enterprisesamba.org/, che mette a disposizione Samba (recente) bello pronto e pacchettizzato (a 32 e 64 bit) per diverse distribuzioni Linux, fra le quali Debian, e supporta versioni decisamente vecchie (ad oggi, Lenny, Etch e Sarge). Il sito manca purtroppo di chiarezza su quali siano esattamente le differenze fra le loro scelte di patch (o assenza di patch) e di parametri di compilazione fra la versione “Debian ufficiale” e la loro, pero` messo alle strette ho deciso di dare loro fiducia, e direi che l’installazione di Samba 3.4.x dal loro sito su una Debian Etch abbia avuto esito assolutamente positivo. Occorre solo fare un minimo di attenzione alle dipendenze quando si aggiorna (di fatto si sostiuisce) la versione Debian originale di Samba con questa.

Domani finiro` di mettere le macchine client nel dominio, e vedremo se mi pentiro` di aver detto che funziona con troppo anticipo e troppo entusiasmo. Se qualcuno volesse seguire le mie orme, vi ricordo che oltre alla versione giusta di Samba, occorre anche applicare una piccola patch ai client Win7, come scritto qui: http://wiki.samba.org/index.php/Windows7

14/09/2010
Patch Tuesday

Come ogni secondo martedì del mese, oggi Microsoft rilascia le patch per i suoi software, vediamo cosa ci tocca questa volta.

(altro…)

14/09/2010
Vulnerabilità delle applicazioni ASP.NET

Thai Duong e Juliano Rizzo, due ricercatori nel campo della sicurezza, hanno messo a punto uno schema di attacco che sfrutta un baco del modo in cui le applicazioni realizzate con la piattaforma ASP.NET di Microsoft trattano i cookie di sessione criptati.

Il problema, che riguarda milioni di applicazioni web che utilizzano quella piattaforma, potrebbe essere molto serio e potrebbe essere utilizzato per impersonare un utente di un sito. Il metodo di attacco verrà illustrato in dettaglio alla ekoparty Security Conference che si tiene questa settimana in Argentina.
(altro…)

13/09/2010
DLL hijacking in azione
(articolo aggiornato dopo la prima pubblicazione)

Sono disponibili alcuni video che dimostrano il DLL hijacking in azione con alcuni programmi di Windows:
Il primo filmato mostra una copia di XP SP3 con MSIE 8 e Flash 10.1.82.76 in cui viene copiato sul desktop un file DLL modificato ad arte e vine avviato Internet Explorer che accede ad una pagina che attiva Flash (non importa quale pagina sia). Il file DLL provoca la chiusura di Explorer e l’avvio di un programma scelto da chi ha creato il file DLL modificato, in questo caso la calcolatrice di Windows.

Gli altri filmati mostrano il medesimo problema di altri file eseguibili.

Avevo parlato del problema del DLL hijacking qualche giorno fa, questo video mostra nei fatti quanto sia facile e fattibile sfruttare questo tipo di vulnerabilità. (via Bugtraq)
10/09/2010
Apple ammorbidisce le restrizioni

Fino a oggi Apple impediva il rilascio di applicazioni su AppStore che non fossero state sviluppate con gli strumenti nativi (Xcode, ecc). Secondo questa dichiarazione, però, da oggi saranno accettate senza problemi applicazioni create con tool non-Apple con l’unica limitazione che non scarichino codice a runtime.

Un buon passo avanti per che proprio non digerisce l’Objective-C e che probabilmente darà l’avvio a qualche tool visuale alla stregua di quello uscito recentemente per Android.

09/09/2010
L’abbecedario di Google

Come già segnalato da Luigi, Google ha alzato il sipario su Instant Search promettendo ricerche Internet più veloci.

Google in pratica cerca di “prevedere” le richieste dell’utente mano a mano che questo digita il testo nella casella di ricerca. Dopo che Eric Schmidt (A.D. di Google) aveva anticipato via Twitter che “I predict big things happening today at Google. We’re already fast.. fast is about to get faster“, la comunità virtuale attendeva, con la trepidazione generalmente riservata agli annunci della rivale Apple, l’innovazione svelata al Museo di Arte Moderna di San Francisco.

Google Instant verrà reso disponibile gradualmente nel corso dei prossimi giorni agli utenti che hanno eseguito l’accesso a un account Google. Sul mio account è stato attivato ed ho cominciato a sperimentare.

I risultati delle ricerche di Google sono sempre stati personalizzati in base alla nazione in cui ci si trova e la lingua in cui si utilizza il servizio. Probabilmente anche in base ai siti che vengono visitati e le ricerche precedenti effettuate. Se poi avete un Google Account (e per usare Instant al momento è obbligatorio) siete ancora più profilati. A tutto ciò ovviamente si aggiunge qualche algoritmo segreto di BigG basato (probabilmente) su quelli che sono i termini più usati dalla gente per fare le proprie ricerche.

Quando ho cominciato a digitare la prima lettera nella casella di ricerca è apparsa subito una parola e la ricerca in base a quel termine. Subito ho cancellato e scritto un’altra lettera per vedere il risultato. E’ scattata subito la curiosità di vedere quale fosse l’abbecedario di Google (basato sul mio profilo evidentemente).

Questo è il risultato: (altro…)

09/09/2010
Problema di sicurezza di Adobe Acrobat Reader

Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.

Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.

In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.

Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.

Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.

09/09/2010
Super Mario. Infinito. Che si adatta al giocatore.

Basterebbe il titolo per scaricare il programma in Java gratuito (con sorgente) e non leggere oltre.

Per chi è rimasto, Ben Weber ha creato una versione di Super Mario utilizzando un algoritmo stocastico che si adatta alle capacità del giocatore e continua a generare livelli senza requie.

Prima che se ne vada anche l’ultimo lettore: a per correre, s per saltare e le frecce per muoversi. Il file .JAR non deve essere scompattato, ma aperto con il runtime Java.

Buon divertimento.

08/09/2010
Quanto è sicuro il vostro server ssh?

Di attacchi alle connessioni ssh dei server ce ne sono ogni secondo, la maggior parte dei quali sono parte di una serie di tentativi di indovinare login e password con metodi di forza bruta.

Ci sono vari tool e varie strategie per mitigare gli effetti di un attacco al server ssh.

Nell’ambito di un’indagine sui rischi e le contromisure di questo tipo di attacchi, il Dragon Research Group ha pubblicato due interessanti diagrammi a nuvola in cui vengono raffigurati i nomi utenti e le password più comunemente utilizzati negli attacchi a forza bruta.

Date un’occhiata alla nuvola e se trovate qualcosa di familiare nei login e nelle password, forse è il momento di cambiare password o disabilitare l’accesso ssh di quell’utente.

07/09/2010
Sicuro… sicuro?

La struttura attuale delle transazioni sicure via web tramite il protocollo https si basa su un’infrastruttura a chiave pubblica con tre gambe: l’utente, il fornitore del servizio e un’autorità di certificazione (CA) riconosciuta dai due.

Quando vediamo un messaggio simile a quello a fianco (i vecchi lupi del web dicevano «quando si chiude il lucchetto aperto di Netscape») sappiamo che i dati viaggiano crittografati da un sistema a chiave pubblica che dovrebbe godere della nostra fiducia.

Ma, come dicevano i nostri antenati, quis custodiet ipsos custodes?

(altro…)

03/09/2010