SIAMO GEEK

  • Vulnerabilità 0day per Internet Explorer

    Abysssec ha pubblicato un video in cui dimostra l’esistenza di una vulnerabilità nella gestione dei CSS di Internet Explorer 8 su un sistema Windows 7 o Vista completamente aggiornato.

    La vulnerabilità bypassa DEP e ASLR, fa crashare Internet Explorer e permette di eseguire del codice arbitrario (nel video viene eseguita la calcolatrice di Windows).

    Microsoft ha pubblicato una nota tecnica in merito: il problema può essere mitigato se si utilizza EMET. Fermin Serna ha pubblicato un articolo su Technet in cui spiega alcuni dettagli tecnici del baco.

    Per il momento, non si hanno notizie di malware che sfruttino questa vulnerabilità. (via SANS)

    Luigi Rosa

  • Vulnerabilità 0day del servizio FTP di IIS 7.5

    Matthew Bergin ha scoperto una vulnerabilità del servizio FTP di Internet Information Services di Windows 7.

    Il problema interessa IIS versione 7.5.7600.16385,  non è ancora noto se il problema possa verificarsi su altre piattaforme simili.

    La vulnerabilità può essere evidenziata con uno script in python che Matthew ha pubblicato assieme alla notizia della scoperta. Dal momento che il problema si verifica prima dell’autenticazione, è bene tenere d’occhio tutti i servizi FTP di IIS esposti ad Internet

    Per ora lo script provoca solamente un denial of service e non esistono ancora patch di Microsoft per questo baco. (via SANS)

    Luigi Rosa

  • Skype ha problemi

    Due ore fa (22/12/2010 18:00 CET) Skype ha confermato su twitter che alcuni utenti potrebbero avere dei problemi.

    Un’ora dopo un altro twit diceva che i tecnici stavano ancora lavorando.

    Aggiornamento 22/12 21:20Questa pagina del blog dovrebbe fornire alcune spiegazioni, ma il sito è sovraccarico e irraggiungibile per ora

    Aggiornamento 22/12 21:30 – Skype fa sapere via twitter che il servizio sta lentamente ritornando alla normalità, ma ci vorranno alcune ore prima che tutti possano ricollegarsi.

    Alcune informazioni fornite da Skype riguardo al problema che è successo.

    Il sistema p2p di Skype non è uniformemente paritetico, ma ci sono alcuni client che hanno un ruolo di super-nodi che tengono traccia degli utenti collegati e del loro stato. A causa di un baco di alcune versioni di Skype, oggi molti dei super-nodi sono andati offline, impedendo di fatto ai client normali di interagire con il network.

    Aggiornamento 29/12 15:45Il CIO di Skype spiega cos’è successo.

    Luigi Rosa

  • Code, reti telefoniche, probabilità

    [youtube=http://www.youtube.com/watch?v=F5Ri_HhziI0&w=480]

    Questo video, in un inglese molto comprensibile, dimostra perché è più facile prendere la coda meno veloce (attenzione: non la più lenta in assoluto).

    State sereni, fatevi la coda e non agitatevi!

    Luigi Rosa

  • Una tabula recta per registrare le password

    Le password sono un grattacapo, come alcuni fatti recenti hanno dimostrato.

    L’idea mia e di un collega è che ci dovrebbe essere una norma ISO secondo la quale tutte le password dovrebbero essere pippo. Ci sarebbero meno grattacapi, ma anche più problemi di sicurezza.

    Le password devono essere sufficientemente lunghe, non devono essere le stesse per siti diversi, non ce le possiamo scrivere, non devono riferirsi ad eventi della nostra vita, non devono essere facilmente indovinabili se si conosce una parte di esse, devono contenere caratteri assortiti, non devono essere presenti in un dizionario… Tutte regole che conosciamo e non applichiamo perché i computer sono loro, non siamo noi!

    John Graham-Cumming ha auto un’idea interessante: utilizzare una variante della tabula recta per registrare le password.

    (altro…)

    Luigi Rosa

  • Il deposito delle tute spaziali

    Il New York Times ha pubblicato un interessante articolo sulla sezione dello Smithsonian dove sono custodite le tute spaziali della NASA.

    L’articolo è completato da alcune foto e un video che mostra il magazzino delle tute.

    La raccolta comprende anche alcuni prototipi mai utilizzati come l’EX1-A, l’AX-5 e l’AES e molte fotografie, tra cui alcune ai raggi X, di cui è disponibile un’interessante infografica all’interno dell’articolo.

    Luigi Rosa

  • 2011 il collasso di internet

    ..in anticipo di un anno sui maya, internet come la conosciamo  potrebbe collassare a causa dell’annunciata fine degli indirizzi IP disponibili.
    Come si può vedere in vari countdown (p. es http://ipv6.he.net/statistics/) mancherebbero meno di due mesi al nefasto evento.
    Sarà vero?

    In realtà lavoro con internet da 15 anni e già ai tempi annunciavano la fine dello spazio di indirizzamento entro i successivi 5 anni.
    Lo stesso contatore di HE circa 2 anni fa ne annunciava l’esaurimento entro 300 giorni….
    Questo fa pensare che il tempo mancante  sia una specie di funzione asintotica!

    Scherzi a parte, gli indirizzi stanno effettivamente finendo anche se probabilmente ci vorranno più di 2 mesi.
    Cosa cambia?

    Inizialmente nulla.
    Tutti i provider ne hanno una scorta più che abbondante, ma diventerà più difficile per nuovi operatori farsi assegnare delle sottoreti nuove.

    E col mondo IPV6?
    Il nuovo standard dovrebbe garantire uno spazio di indirizzamento talmente vasto da poter fornire un indirizzo IP ad ogni atomo presente nell’universo  e quindi risolvere definitivamente il problema.
    Peccato che ancora quasi nessuno lo usi.
    Non più tardi di un anno fa ho litigato nientepopodimeno che con la nostra registration authority perchè il check automatico del nameserver necessario alla registrazione di un dominio nel TLD .IT falliva a causa del fatto che uno dei miei DNS era configurato anche per gestire domini V6.
    I provider che offrono connettivita IPV6 nativa sono ancora pochissimi.
    Molti dei prodotti software più diffusi non supportano appieno gli indirizzi “lunghi” (si anche Thunderbird ha problemi, anche se con i nomi funziona…).
    Quelli che come me vogliono iniziare a sperimentare la “nuova” tecnologia sono obbligati ad usare un tunnelbroker o altre diavolerie simili.

    Insomma, sembra che il nuovo standard si stia avviando molto lentamente.
    Forse gli annunci mediatici che seguiranno l’esaurimento del mondo V4 daranno la scossa necessaria per avviare (con calma…non c’è una reale fretta!) la transizione?
    Io ho fatto un bel po’ di sperimentazione ed effettivamente il V6 funziona ed offre notevoli vantaggi.
    Per chi non lo avesse già fatto e volesse approfondire e mettere alla prova le sue conoscenze tecniche sull’argomento, consiglio la certificazione IPV6 online di Hurricane Electric ( http://ipv6.he.net/certification/).
    Copre vari step dal più semplice (strumenti come ping6) al più complicato (configurazione DNS glue per domini V6) in maniera ordinata e completa.
    Se riuscitrete ad ottenere la certificazione di livello “sage” sarete sicuramente in grado di configurare i vostri spazi di nomi e le vostre reti  per gestire anche IPV6.
    Per il momento non serve quasi a nulla, ma prima o poi…..

    F Vettore

  • Planet Earth is blue…

    The first view out of the Soyuz windowArrivato da poco sulla ISS, Paolo Nespoli ha inviato una serie di immagini, inclusa quella a fianco.

    Le immagini che sta spedendo Nespoli sarebbero tutte da segnalare, ma forse e meglio mettere il suo profilo di flickr tra i contatti e godersi lo spettacolo.

    Luigi Rosa

  • Selenium

    Selenium IDE è un add-on per Mozilla Firefox che permette di registrare le azioni di un utente per poterle replicare a piacimento.

    Il software consente di preparare ed eseguire script di test per i siti in fase di sviluppo o debug, sfruttando anche la comoda funzione di autoapprendimento degli script ed evitando operazioni ripetitive che possono essere loro stesse fonte di errori.

    Per esempio, si può preparare uno script che ogni volta si registra su un sito, esegue il login e quindi compie determinate operazioni in  maniera rapida e sempre ripetibile.

    (altro…)

    Luigi Rosa

  • LittleBlackBox

    Alcuni dispositivi di rete (switch, router e assimilati) hanno un’interfaccia HTTPS con un certificato autofirmato.

    LittleBlackBox è un progetto che raccoglie migliaia di certificati SSL di altrettanti dispositivi di rete con alcune utility di gestione e di analisi.

    La maggior parte di questi dispositivi, infatti, ha a bordo lo stesso certificato, alcune volte il certificato varia al variare della release del firmware, ma nessuno lo calcola in maniera univoca la prima colta che viene attivato.

    Se si possiede un dispositivo le cui chiavi sono presenti nel database di LittleBlackBox è bene tener presente che il traffico crittografato è facilmente decrittabile. (via full-disclosure)

    Luigi Rosa

  • Calendario 2011 della ISS

    La NASA ha reso disponibile per il download il calendario 2011 della stazione spaziale internazionale (PDF, 6,6 Mb).

    Dodici mesi di senso del meraviglioso vi aspettano se seguite il link qui sopra.

    Luigi Rosa

  • Welcome back, Commodore 64!

    Sebbene io abbia iniziato a programmare con il Commodore Vic 20, ammetto che le prime cose “serie” le ho fatte con il Commodore 64, incluso l’iniziare a frequentare il mondo di Fidonet. E’ per questo che scoprire che la nuova Commodore sta per uscire con il nuovo Commodore 64 mi ha fatto molto piacere.

    Ovviamente non si parla dello stesso computer di un tempo, ma di una versione “moderna”, sia a livello di processore, di scheda grafica, di supporti multimediali… ma tutto all’interno dello stesso chassis che ne ha segnato la sua esistenza e, ovviamente, con la possibilità di utilizzare quell’immenso archivio di prodotti (giochi, soprattutto) di questo storico computer.

    Ovviamente quando il computer si accende c’è la possibilità di fare il boot con Windows… “if you reaaly need to“, come scritto sul sito.

    ps: se volete sorridere, usate questo link per visitare il sito della Commodore USA.

    Don’t forget that the new Commodore 64 is a fully functional PC compatible, so you can even install and use the latest versions of Windows if you really feel you need to.

    Kazuma