Cercherò di spiegare come mai secondo me il DRM sia un sistema implicitamente difettoso se applicato ai contenuti.
(altro…)-
Filmato in HDR
[vimeo http://vimeo.com/14821961 w=480]
Soviet Montage ha creato per la prima volta un filmato HD a 24 fps in HDR utilizzando due fotocamere DSLR Canon.
Non è stata utilizzata una tecnica tipo time lapse, ma sono stati combinati con un opportuno software due filmati differenti. (via Gizmodo)
-
DLL hijacking in azione
(articolo aggiornato dopo la prima pubblicazione)
Sono disponibili alcuni video che dimostrano il DLL hijacking in azione con alcuni programmi di Windows:
Il primo filmato mostra una copia di XP SP3 con MSIE 8 e Flash 10.1.82.76 in cui viene copiato sul desktop un file DLL modificato ad arte e vine avviato Internet Explorer che accede ad una pagina che attiva Flash (non importa quale pagina sia). Il file DLL provoca la chiusura di Explorer e l’avvio di un programma scelto da chi ha creato il file DLL modificato, in questo caso la calcolatrice di Windows.
Gli altri filmati mostrano il medesimo problema di altri file eseguibili.
Avevo parlato del problema del DLL hijacking qualche giorno fa, questo video mostra nei fatti quanto sia facile e fattibile sfruttare questo tipo di vulnerabilità. (via Bugtraq)
-
Apple ammorbidisce le restrizioni
Fino a oggi Apple impediva il rilascio di applicazioni su AppStore che non fossero state sviluppate con gli strumenti nativi (Xcode, ecc). Secondo questa dichiarazione, però, da oggi saranno accettate senza problemi applicazioni create con tool non-Apple con l’unica limitazione che non scarichino codice a runtime.
Un buon passo avanti per che proprio non digerisce l’Objective-C e che probabilmente darà l’avvio a qualche tool visuale alla stregua di quello uscito recentemente per Android.
-
L’abbecedario di Google
Come già segnalato da Luigi, Google ha alzato il sipario su Instant Search promettendo ricerche Internet più veloci.Google in pratica cerca di “prevedere” le richieste dell’utente mano a mano che questo digita il testo nella casella di ricerca. Dopo che Eric Schmidt (A.D. di Google) aveva anticipato via Twitter che “I predict big things happening today at Google. We’re already fast.. fast is about to get faster“, la comunità virtuale attendeva, con la trepidazione generalmente riservata agli annunci della rivale Apple, l’innovazione svelata al Museo di Arte Moderna di San Francisco.
Google Instant verrà reso disponibile gradualmente nel corso dei prossimi giorni agli utenti che hanno eseguito l’accesso a un account Google. Sul mio account è stato attivato ed ho cominciato a sperimentare.
I risultati delle ricerche di Google sono sempre stati personalizzati in base alla nazione in cui ci si trova e la lingua in cui si utilizza il servizio. Probabilmente anche in base ai siti che vengono visitati e le ricerche precedenti effettuate. Se poi avete un Google Account (e per usare Instant al momento è obbligatorio) siete ancora più profilati. A tutto ciò ovviamente si aggiunge qualche algoritmo segreto di BigG basato (probabilmente) su quelli che sono i termini più usati dalla gente per fare le proprie ricerche.
Quando ho cominciato a digitare la prima lettera nella casella di ricerca è apparsa subito una parola e la ricerca in base a quel termine. Subito ho cancellato e scritto un’altra lettera per vedere il risultato. E’ scattata subito la curiosità di vedere quale fosse l’abbecedario di Google (basato sul mio profilo evidentemente).
Questo è il risultato: (altro…)
-
Firewall quasi-embedded con Alix Board e Debian Linux
Dopo aver installato una buona quantita` di firewall per piccole esigenze usando OpenWRT, mi sono stancato della scarsita` dell’ hardware (Linksys WRT54GL) e mi sono dedicato alla ricerca di una piattaforma embedded o quasi che fosse piu` potente ma non costasse un rene.
Dopo diverse peripezie, ho trovato (mi hanno consigliato) le Alix Board. Si tratta di schede quasi-embedded, nel senso che prevedono anche funzionalita` da “vero computer”, tipo USB, interfaccia IDE, VGA (su alcuni modelli). Ho scelto il modello 2D13, che fornisce 256 MB di RAM (fissa), una porta ide, una porta per schede CompactFlash, due USB, una seriale (e una seconda on-board senza connettore esterno), 3 ethernet 10/100, uno zoccolo per schede Mini-PCI e una CPU AMD Geode. Niente tastiera e video. Su questa scheda e` possibile (con qualche customizzazione) installare una Debian con kernel per 486. L’installazione e` un po` funambolica, ma se vi interessa (scrivetemi nei commenti) posso fornire un link a una immagine gia` pronta da caricare con un semplice “dd” sulla vostra scheda CompactFlash.
Il sistema e` sufficientemente potente da poter installare una quantita` decente di applicazioni, su una SD da 1 GB ci sta tranqillamente una installazione anche abbastanza complessa. Chiaramente i limiti sono principalmente sulla lentezza della CPU (non aspettiamoci di fare passare traffico a 100 Mbit, pero` a 50 si arriva) e nella lentezza spaventosa della CF. Quest’ultima probabilmente sarebbe decisamente migliorabile se avessi installato una CF piu` costosa e performante. Occorre anche ricordare che la CF, come tutti i dispositivi flash memory, ha una vita limitata dal numero di scritture, quindi non pensate di installare un server FTP dove i files cambiano spesso, un proxy con caching, o un database. Sarebbe lento e massacrerebbe la CF molto in fretta.
Se pero` vi serve un firewall, concentratore VPN (per pochi utenti), proxy web senza cache (per autenticare o per logging), o un centralino Asterisk puramente voip (senza schede per linee telefoniche PSTN o ISDN) questa potrebbe essere la vostra soluzione. Considerando poi che ho trovato proprio oggi delle schede Mini-PCI per 1, 2 o 4 canali ISDN BRI (marca OpenVox) ecco che (posto che la CPU ce la faccia) potremmo anche farci un centralino con 4 ISDN BRI.
Il consumo elettrico ridicolo (meno di 15 W) e il costo ridotto (circa 140 euro con alimentatore, scatola, e scheda CF economica da 4 GB) rendono questa soluzione interessante anche in una configurazione ridondante active-standby, anche per clienti con budget molto limitati.
-
Google Instant
La versione inglese di Google ha attivato Google Instant.La funzione visualizza i risultati della ricerca man mano che vengono digitate le lettere della frase da cercare
Per ora la nuova feature funziona solamente nella versione inglese e sugli account registrati.
Immaginate solo la potenza di calcolo e di storage che ci sta dietro…
-
Problema di sicurezza di Adobe Acrobat Reader
Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.
Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.
In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.
Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.
Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.
-
Firewire
L’interfaccia IEEE 1394 (aka firewire) era partita con gran squilli di trombe, ma è ora relegata ad utilizzi meno comuni, se confrontati con USB.
Tuttavia moltissimi computer possiedono almeno un’interfaccia firewire, che viene correttamente riconosciuta e gestita dal sistema operativo.
Freddie Witherden ha pubblicato di recente una ricerca correlata da software e librerie per Linux in cui analizza le potenziali vulnerabilità dell’interfaccia firewire.
(altro…) -
Super Mario. Infinito. Che si adatta al giocatore.
Basterebbe il titolo per scaricare il programma in Java gratuito (con sorgente) e non leggere oltre.Per chi è rimasto, Ben Weber ha creato una versione di Super Mario utilizzando un algoritmo stocastico che si adatta alle capacità del giocatore e continua a generare livelli senza requie.
Prima che se ne vada anche l’ultimo lettore: a per correre, s per saltare e le frecce per muoversi. Il file .JAR non deve essere scompattato, ma aperto con il runtime Java.
Buon divertimento.
-
Delisting di Fastweb
Il CDA di Swisscom ha deciso un’OPA per il 17,918% delle azioni di Fastweb, pari all’intero flottante, a 18 euro per azione.Lo scopo dell’iniziativa, che ammonta a 256 milioni di euro, è di arrivare al delisting del titolo. (via Radio24)
-
Quanto è sicuro il vostro server ssh?
Di attacchi alle connessioni ssh dei server ce ne sono ogni secondo, la maggior parte dei quali sono parte di una serie di tentativi di indovinare login e password con metodi di forza bruta.
Ci sono vari tool e varie strategie per mitigare gli effetti di un attacco al server ssh.
Nell’ambito di un’indagine sui rischi e le contromisure di questo tipo di attacchi, il Dragon Research Group ha pubblicato due interessanti diagrammi a nuvola in cui vengono raffigurati i nomi utenti e le password più comunemente utilizzati negli attacchi a forza bruta.
Date un’occhiata alla nuvola e se trovate qualcosa di familiare nei login e nelle password, forse è il momento di cambiare password o disabilitare l’accesso ssh di quell’utente.
