Los profesionales de la seguridad deben actualizarse constantemente en su lucha contra los delincuentes informáticos, de modo que puedan hacer frente eficazmente a los temidos ataques o a los accesos a información confidencial. Así, comprender las motivaciones, tácticas y procedimientos que siguen los hackers maliciosos es hoy por hoy la única garantía para frustrar su comportamiento.
Esta obra expone una revisión completa del hacking que actúa de manera responsable y verdaderamente ética. Como fuente de información resulta de obligada lectura para descubrir todo lo relacionado con legislación y piratería informática, al mismo tiempo que se revela como un exhaustivo manual de referencia para realizar de manera efectiva análisis de seguridad.
Además de incluir los métodos y herramientas más avanzados, el libro se dirige directamente al código subyacente, al funcionamiento de los componentes de cada sistema operativo y aplicación y a cómo pueden ser comprometidos. Con la más amplia documentación para abordar tareas de planificación y evaluación específicas, ejecutando pruebas de auditoría, análisis del código o técnicas de simulacro de ataque, cuenta con una referencia única y precisa para dar el siguiente paso en el campo del hacking ético.
Ha passat una mica més de dos anys des de la publicació de l'edició original en anglès d'aquest llibre, però això no es pot considerar pas com un aspecte negatiu del llibre.
«Hacking ético» és un llibre plenament actual, excepte en els capítols que fan referència a temes legals... aquí l'editor s'ha equivocat en rodó. Quin sentit té publicar la traducció d'un llibre que, quan fa consideracions sobre la situació legal utilitza unes referències que segurament són de poc interès o nul·la aplicació de la traducció? Si no es pot fer una adaptació, per manca de recursos, aleshores millor eliminar les referències, no?
Deixant de banda aquest detall, que d'altra banda no és pas l'únic llibre en cometre aquest «pecat», la resta de coses que es poden dir del llibre són força positives. Si voleu una referència sobre el hacking ètic, aquesta obra té tot el que necessita per ser el llibre de capçalera. No ha de ser la única font, evidentment, però sí una font de referència.
Per començar, s'explica clarament la diferència entre el hacking ètic i el cracking. Quines són les activitats que es realitzen, l'àmbit d'actuació, la forma d'actuar i com diferenciar la nostra actuació comparant-la amb la dels atacants.
El segon apartat d'aquesta primera part, al que dedica força pàgines, és com actuar alhora de descobrir una nova vulnerabilitat: quin són els passos per actuar d'una forma responsable, les diferents polítiques de divulgació.
La segona part del llibre és la que més nota el temps que ha passat d'ençà la seva publicació. És la que tracta de les eines a utilitzar... però també inclou temes que no tenen caducitat, com ara la planificació de l'atac, la formació de l'equip que ha de treballar en el procés, la definició d'una metodologia d'atac...
Per últim es mostren tècniques per a la creació d'exploits, tant a Windows com a Linux, a partir de la informació obtinguda durant la realització de l'anàlisi.
La tercera part del llibre és sobre l'anàlisi de dades. Aquí s'inclou tant l'anàlisi d'informació obtinguda en una prova de penetració, com l'anàlisi de la infraestructura o la revisió del codi font per identificar vulnerabilitats potencials. També s'explica com aprofitar l'enginyeria inversa per tal d'utilitzar-la en el descobriment i aprofitament de vulnerabilitats de seguretat.
En definitiva, una obra molt rigorosa i completa que serà una bona eina per a tothom que s'iniciï en el món de les proves de vulnerabilitat, la revisió de la seguretat i tot el relacionat amb el hacking ètic. Deixant de banda el problema de parlar exclusivament de la legislació nord-americana, molt diferent a la que podem trobar a Europa, la resta del llibre és francament recomanable.
Títol: «Hacking ético» («Gray Hat Hacking : The Ethical Hacker's Handbook») Autors: Shon Harris, Alen Harper i Chris Eagle 1a edició - juliol 2005 Anaya Multimedia ISBN 8441518742
[Heise Security] 23C3 - new hacker tools for Bluetooth. Presentades al 23C3 dues eines que fan ús de vulnerabilitats i errors de disseny a Bluetooth
BTCrack builds on a Bluetooth vulnerability described by Israeli researchers Avishai Wool and Yaniv Shaked in 2005. This vulnerability means that it is possible to listen in on the connection between devices connected by short range radio directly, during pairing and thus crack the encryption system. The connected devices are tricked into thinking that their counterpart has forgotten the so-called link key, which is not required for PIN entry. This kicks off a new pairing process. This offers an attacker the opportunity to record the required data using a Bluetooth sniffer.
Hidattack exploits the HD server (human interface device) installed with many Bluetooth keyboards. The program, penned by Colin Mulliner, by bypassing the PIN request in a similar manner connects to this little server and can then pretend to be the keyboard. Zoller elucidated one application possibility for Hidattack - if the keyboard were in a nearby bank and were connected to a terminal that was visible using a telescope, it might be possible, for example, to carry out transactions. In this scenario it would be possible to operate the terminal almost as if you were sitting right in front of it. The only thing missing would be the mouse.
És important indicar que aquestes eines fan ús de vulnerabilitats del protocol i no pas específiques de productes... per ara la única limitació als atacs massius és la dificultat en la intercepció de les comunicacions Bluetooth:
However, as Zoller explained in his talk at the hacker conference, explotation of these vulnerabilities is limited because an inexpensive, high-performance sniffer to listen in on radio communications for Bluetooth, is not available. Because the technology continuously changes frequency to try and achieve "security by obscurity", commercially available listening devices currently cost around 10,000 US dollars. Even second hand, it's hard to find anything under about 1000 dollars.
The proof-of-concept exploits target vulnerbilities in SMIL presentation control language in MMS messages. Region tags in MMS SMIL are vulnerable to buffer overflow causing arbitrary code execution. In other words if those tags get too large content it makes to possible for malicous MMS message to execute code on target device.
It is still unknown which phones are vulnerable to this exploit. Collin's research has confirmed vulnerability in IPAQ 6315 and i-mate PDA2k, but it is quite likely that all Pocket PC 2003 and Windows Smartphone 2003 devices are also vulnerable.
The good news is that the only devices to which proof-of-concept code is available are the IPAQ 6315 and i-mate PDA2k. And even in those devices attacker needs to guess correct memory slot where the MMS processing code is executing and send correctly crafted exploit code. This means that a malicious MMS message will most likely be only able to crash the device, not to to exploit it.
És curiós veure'ls tots junts per notar les diferències... Pel CERTCON i CA estem en un nivell elevat de risc (3 d'una escala de 6), mentre que per SANS, IIS i TrendMicro el nivell d'avís és el més baix possible.
Pel que sembla, hi ha hagut darrerament problemes a GMail i diversos usuaris s'han trobat amb les bústies buides de missatges i contactes
Regretfully, a small number of our users — around 60 — lost some or all of their email received prior to December 18th. Once we found out about this issue, we worked day and night to confirm that only a few accounts were affected and to do whatever we could to restore as much of the users’ accounts as we could. We’ve also reached out to the people who were affected to apologize and to work with them to restore the email from any personal backup they might have
Evidentment aquesta mena de problemes, per pocs usuaris que afectin, demostren que encara avui estem lluny de poder utilitzar serveis d'Internet en lloc d'aplicacions locals... encara que aquell que mai no hagi perdut un missatge que llenci la primera pedra :)
Una comunicaicó presentada al 23C3, Detecting temperature through clock slew, presenta una tècnica per determinar de forma única un ordinador en base a l'error horari del rellotge del sistema malgrat l'ús de sistemes d'anonimització com poden ser Tor. Es mostra com utilitzar aquesta informació per determinar la temperatura de l'ordinador i les dades que es poden extrapolar i que afecten a la privadesa.
The end of my 22C3 talk showed how a side effect of TCP/IP steganography detection was to precisely measure the error of a computers system clock (skew).
This talk will review and expand on that material, showing the various other mechanisms for monitoring clock skew and discussing the tradeoffs involved. Because every computer has a unique clock skew, even ones of the same model, this acts as a fingerprint. Even if that computer moves location and changes ISP, it can be later identified through this clock skew.
In addition to varying between computers, clock skew also changes depending on temperature. Thus a remote attacker, monitoring timestamps, can make an estimate of a computers environment, which has wide-scale implications on security and privacy.
Through measuring day length and time-zone, the location of a computer could be estimated, which is a particular concern with anonymity networks and VPNs. Local temperature changes caused by air-conditioning or movements of people can identify whether two machines are in the location, or even are virtual machines on one server.
The temperature of a computer can also be influenced by CPU load, so opening up a low-bandwidth covert channel.
This could be used by processes which are prohibited from communicating for confidentiality reasons and because this is a physical covert channel, it can even cross "air-gap" security boundaries.
The talk will demonstrate how to use this channel to attack the hidden service feature offered by the Tor anonymity system. Here, an attacker can repeatedly access a hidden service, increasing CPU load and inducing a temperature change. This will affect clock skew, which the attacker can monitor on all candidate Tor servers.
When there is a match between the load pattern and the clock skew, the attacker has linked the real IP address of a hidden server to its pseudonym, violating the anonymity properties Tor is designed to provide. The talk will also present a separate illustration of the temperature covert channel technique, investigating a suspected attack on the Tor network in August 2006, by a well equipped adversary.
Ahir vaig rebre la còpia del nou disc de Van Morrison, «Live at Austin City Limits Festival». L'he escoltat dues vegades i realment es tracta d'un gran disc... dels bons discos de música en directe que ha fet en Van Morrison.
Correspon a la mateixa gira que el va portar a Barcelona ara fa un any i escaig. De fet el repertori del disc és força semblant al que va ser el concert barceloní. L'avantatge d'un concert enllaunat com aquest és que et pots saltar la part de show business com les «esbroncades» a la banda per no tocar la cançó com ell volia... esbroncades que de tant repetir-se ja cansen i es nota la seva artificialitat.
No ens trobem, ni de lluny, amb un nou «A Night in San Francisco», el millor disc en directe del Lleó de Belfast... però sí és un disc decent. El concert enregistrat va ser qualificat per Rolling Stone Magzine com el millor del festival.
Entre els temes inclosos al DVD destaquen, com sempre, els temes clàssics: «Moondance», «Real, real gone», «Cleaning Windows» i «Wild Night» són sobresortints... però alguns dels temes dels últims discos com ara «Back on Top» o «Precious Time» també excel·leixen.
Pel que fa a temes d'altres músics, ens trobem amb una curta però bona versió del «You Send Me» de Sam Cooke.
El disc ha estat produït pel mateix Van Morrison.
Amb el mateix paquet també em va arribar el primer DVD oficial de Van Morrison, Live A Montreux 1974-1980. Es tracta de l'enregistrament de dues participacions de Van Morrison al Festival de Jazz de Montreux, a Suïssa. Cada una de les participacions és un DVD independent.
No es tracta, per tant, de material nou... tot el contrari! Ja fa anys que circula en format de bootleg amb l'irreverent títol de «If you don't like, go fuck yourself» (concert de 1974) i «Spirit» (concert de 1980). Llàstima que no s'hagi inclòs el concert de 1990, on hi havia la genial participació de Georgie Fame.
Encara no he tingut l'oportunitat de veure els concerts, només una ràpida passada per verificar-ne la qualitat... d'entrada la imatge es força bona.
«Comedies, Histories, and Tragedies» de Shakespeare (1623) - 5,2 milions
«Traité des arbres fruitiers» de Henri Louis Duhamel du Monceau amb il·lustracions de Poiteau i Turpin (1804) - 4,5 milions
«Cosmographia» de Ptolomeu (1477) - 4 milions
«Album Amicorum» (aprox 1600) - 2,4 milions
Tretzena esmena de la Constitució nord-americana que aboleix l'esclavitud, signada per Lincoln i els membres del congrés (1864) - 1,9 milions
Llibre amb gravats d'ocells per Pierre Gourdelle (aprox. 1550) - 1,8 milions
Full de la Shahnama Reial, una història èpica de Pèrsia (aprox. 1530) - 1,7 milions
Manuscrit il·luminat de les hores a la creu (aprox. 1425) - 1,3 milions
Diari de Stendahl, de 1805 a 1814 - 1,2 milions
L'Atles de Mercator (1595) - 781.000
Tots els preus en dòlars. Malgrat que els preus són elevats, si comparem els preus d'aquests llibres amb el que podrien ser els seus equivalents en altres objectes d'art o d'antiguitats es pot dir que els llibres antics, encara avui, estan poc valorats.
Wiki especialitzat en identificar la ubicació d'endolls utilitzables pels usuaris dels aeroports d'arreu del món.
This wiki is dedicated to helping you find power while travelling at airports around the globe. We also have a Flickr group to share photos - http://www.flickr.com/groups/airpower/ please link back to this Wiki if you post a photo.
DVB-T-Transmission of all lectures in the Berlin/Alexanderplatz area
PhoneCaster.de streams the audio (so available in WMV) on +49 69 1730905 800[1-4] via german landlines. You will find their MP3 mount points at this IceCast server.
Hi havia una vegada una persona que, cansada de la feina i el ritme de vida de la ciutat, decideix deixar-ho tot i anar-se'n a viure a un poble.
Però, és clar, no pot restar sense fer res... així que decideix anar a visitar a un pagès per veure si troba feia a la granja. «Cap problema! A una granja sempre hi ha alguna cosa per fer».
I així va començar a treballar. Com acostuma a ser habitual, el primer dia li va tocar la feina que ningú volia fer: adobar el terreny amb fems, per tal de preparar la propera sembra. Dit i fet, en mitja jornada fa tota la feina.
El seu cap, sorprès per la seva eficàcia li encarrega la segona feina: com hi ha superpoblació de pollastres, cal matar-ne uns quants per mantenir el preu del mercat. Com l'altra vegada, en poques hores el nostre personatge enllesteix la feina.
A l'endemà, el pagès ja li té confiança i decideix donar-li una feina de més responsabilitat i agraïda: «Has d'anar als pomers i escull les pomes que semblin més madures. És un encàrrec especial per al nostre millor client i vull quedar bé».
Passa el matí; cap senyal de vida del nostre amic. L'hora de dinar, no se'l veu per enlloc... mitja tarda i res. Preocupat, el pagès se'n va cap als arbres, no sigui que li hagi passat res. No, està bé; o potser no... està davant el primer arbre i el cistell buit sense cap poma. La seva cara mostra el nivell d'angoixa.
-Escolta, estàs malalt? -No, no... -Aleshores, que et passa? Com es que no has collit cap poma! De dropo ja sé que no ho ets pas... ho vas demostrar ahir fent la feina de tot un dia en un matí. -Bé, la qüestió és que no estic capacitat per aquesta feina. -I ara! Però si és ben fàcil: només cal mirar quines les pomes més vermelles i madures. -Bé... és que, mireu, jo a la ciutat feia de consultor informàtic... Per això si es tracta d'escampar merda o de tallar caps, en sóc un veritable expert. Però si, per contra, haig de prendre decisions, senzillament és que no en sé!
(Adaptació d'un conegut acudit sobre consultors informàtics).
[Slashdot] U.S. Gov't to use Full Disk Encryption on All Computers. Per evitar la fuga d'informació com conseqüència de la pèrdua d'ordinadors portàtils, el govern dels Estats Units ha decidit xifrar la informació de tots els discos durs.
[Bookfinder] Top 10 US out of print books of 2006 és la relació dels 10 llibres exhaurits més cercats als Estats Units. Ja ho sabeu, si teniu un d'aquests llibres, el podeu considerar com una inversió :)
Sex (1992) by Madonna A perennial favorite, the pop icon’s first book, featuring erotic photos, Vanilla Ice cameos, and more
Football Scouting Methods (1963) by Steve Belichick Legendary college football scout’s playbook used by coaches and players to develop winning game plans
Touch Me Again (1978) by Suzanne Somers The ever so cleverly titled sequel to Touch Me, Ms. Somers’ first collection of poetry. (Yes, that Suzanne Somers.)
Man in Black: His Own Story in His Own Words (1975) by Johnny Cash His original autobiography, and the source for the hit film Walk the Line
Treasury of Great Recipes (1965) by Mary and Vincent Price Some of the best recipes from world-famous restaurants redesigned for the amateur kitchen. (And yes, that Vincent Price.)
The Principles of Knitting (1988) by June Hemmons Hiatt Methods and techniques of hand knitting, the ultimate resource
The Lion’s Paw (1946) by Robb White An enduring children’s adventure story
The Secret of Perfect Living (1963) by James Mangan An early source book about positive mind control using affirmations (“I’m good enough, I’m smart enough, and doggone it, people like me”). This book just came back into print on December 1, clearly a wise move on the part of the rights holders.
Once a Runner: A Novel (1978) by John L. Parker, Jr. Cult classic about the sport of running; the sequel, Again to Carthage, is expected soon
One Way Up (1964) by John F. Straubel Chronicles the history of helicopter development
[The Register] Wireless chess cheat banned for 10 years. Un jugador professional d'escacs indi sancionat amb deu anys sense poder participar en competicions. El motiu: utilitzava un ordinador, transmetent les partides via Bluetooth.
Per la meva experiència, una de les coses més difícils d'entendre (especialment els que tenen una formació informàtica i no pels que venen del món de les telecomunicacions) són les subxarxes IP... és a dir,la divisió de l'espai lògic d'adreces IP per facilitar-ne la gestió i identificar on es fa una comunicació directa entre els equips sense necessitat d'utilitzar cap mena de passarel·la de connexió amb una altra xarxa.
A mi mateix m'ha costat força anys expressar-me amb desimboltura i entendre tots els conceptes relacionats amb les subxarxes i les implicacions que té en el disseny de les xarxes.
Avui he trobat aquest article IP subnetting made easyque és la millor explicació que he trobat mai sobre els conceptes de subxarxes. El trobo força complet i clar. Us el ben recomano.
Estic pensant a demanar permís i fer la traducció al català.
Fa uns dies comentava la meva estranyesa davant l'absència de webs on es parla de tecnologia i en català.
Avui he vist que una de les webs que comentava aleshores, «La Tafanera», ha millorat força. D'entrada fan servir el codi de menéame, la qual cosa ja és una garantia. A més a més, hi ha força més contingut i més actualitzat.
Pel que estic llegint, sembla que una de les principals tendències del proper any serà la popularització de determinats sistemes biomètrics per a la identificació de l'usuari. Tinc constància que algunes grans empreses estan a punt de fer del desplegament a nivell global.
Fins ara la biometria s'havia centrat fonamentalment en el reconeixement de l'empremta del dit. Això té un inconvenient i és el fet d'haver de passar el dit per un lector especialitzat i evita, per exemple, mantenir una autenticació permanent mentre l'usuari està treballant. A més a més, hi ha problemes reconeguts de col·lisions en petjades i el nombre de falsos negatius supera els límits acceptables.
Les implementacions que conec han escollit un altre mètode d'autenticació biomètrica: l'ús de l'empremta digital del dit gros del peu. Els problemes de col·lisions de l'empremta del dit pràcticament desapareixen i això ajuda a reduir el nombre de falsos positius i falsos negatius d'una forma exponencial. A més a més té l'avantatge que és un mecanisme que no entra en conflicte amb la utilització de l'ordinador.
Per la disposició natural del peu i el lloc on habitualment fem servir l'ordinador (taula de treball), és ben fàcil connectar el lector pel port USB i deixar-lo sota la taula. L'únic que ha de fer l'usuari és treure's la sabata i el mitjó i posar el dit gros del peu en contacte amb el lector. D'aquesta forma es pot fer l'autenticació, amb el PIN de l'usuari per tenir un doble factor. Cada vegada que l'usuari es mou, per anar a prendre un cafè, a petar la xerrada... retira el peu i això provoca el bloqueig automàtic del sistema.
Hi ha tres aspectes que cal considerar alhora de planificar el desplegament:
L'impacte organolèptic de la implementació: els peus acostumen a emetre unes flaires que no sempre són apreciades... Això no és important en l'entorn d'una oficina o lloc de treball amb un nombre reduït d'empleats on tots són amics. Aquest entorn accepta el problema de bon grat, tot considerant la bondat de la mesura a nivell organitzatiu. Si es tracta d'un entorn on hi ha accés de públic extern, aleshores cal establir per política de seguretat la necessitat de rentar-se els peus cada dia i utilitzar alguna mena de perfum. No es que això afecti al funcionament del sistema, però si crea una mala visió de l'organització si un client o usuari extern entra a una sala on fa pudor de peus.
Els usuaris de portàtils i PDA. No es fàcil per aquests usuaris utilitzar aquest mètode, ja que si han de desplaçar-se no està bé demanar-los que vagin descalços. Hi ha un sistema portàtil, semblant a una clau USB de memòria... però té el problema de requerir una posició propera al contorsionisme per part de l'usuari. Si no està de bona forma o ha perdut la flexibilitat juvenil, aleshores hi ha una certa dificultat per la utilització del sistema.
Els problemes de vergonya per haver d'ensenyar una part pudenta de l'organisme, com és el peu, als companys de feina. És lleig haver de treure's la sabata i descobrir que el mitjó té un forat... que les ungles estan plenes de ronya, que hi ha dits enganxats o la presència de pel per tot arreu... com en el primer cas, tot es soluciona aplicant una formació als usuaris que incideixi en les bondats que aporta el sistema per a l'organització i la necessitat de fer pinya tots els companys de feina i no riure's de les misèries dels altres.
Aquesta serà, de ben segur, una tendència que cada vegada es farà més popular durant l'any 2007 i que, amb tota probabilitat, serà un autèntic estàndard a finals d'any.
Així doncs, a partir d'ara serà ben freqüent trobar a gent al a feina amb un peu sense mitjó ni sabata sota la taula... sempre, això sí, amb la protecció necessària per evitar que ningú el trepitgi accidentalment!
Actualització 21:15 - Evidentment aquest post ha estat la meva innocentada d'enguany ;)
[News.com] Influencing the influencers? Microsoft regala un portàtil de gamaalta (amb Vista preinstal·lat) als autors de weblogs tecnològics més coneguts. Els portàtils són el Ferrari 1000 i el Ferrari 5000. Aparentment no demana res a canvi, però és una forma evident d'influir en gent que, d'una forma o l'altra parlarà del teu producte. No és res de nou... la gent que treballa a diaris i revistes sovint no saben que fer amb la muntanya de regals que reben i a l'administració pública (com a mínim a la Generalitat) hi ha un protocol sobre la mena de regals que un treballador públic pot rebre... el destacable és que s'hagi escollit autors de weblogs.
A Cost Analysis of Windows Vista Content Protection és una anàlisi independent de l'impacte que poden tenir els canvis realitzats al sistema operatiu per tal de fer "protecció de contingut" reproduït a través de Blu-Ray i HD-DVD
Executive Summary
Windows Vista includes an extensive reworking of core OS elements in order to provide content protection for so-called "premium content", typically HD data from Blu-Ray and HD-DVD sources. Providing this protection incurs considerable costs in terms of system performance, system stability, technical support overhead, and hardware and software cost. These issues affect not only users of Vista but the entire PC industry, since the effects of the protection measures extend to cover all hardware and software that will ever come into contact with Vista, even if it's not used directly with Vista (for example hardware in a Macintosh computer or on a Linux server). This document analyses the cost involved in Vista's content protection, and the collateral damage that this incurs throughout the computer industry.
Executive Executive Summary
The Vista Content Protection specification could very well constitute the longest suicide note in history.
(...)
Denial-of-Service via Driver Revocation
Once a weakness is found in a particular driver or device, that driver will have its signature revoked by Microsoft, which means that it will cease to function (details on this are a bit vague here, presumably some minimum functionality like generic 640x480 VGA support will still be available in order for the system to boot). This means that a report of a compromise of a particular driver or device will cause all support for that device worldwide to be turned off until a fix can be found. Again, details are sketchy, but if it's a device problem then presumably the device turns into a paperweight once it's revoked. If it's an older device for which the vendor isn't interested in rewriting their drivers (and in the fast-moving hardware market most devices enter "legacy" status within a year of two of their replacement models becoming available), all devices of that type worldwide become permanently unusable.
[Ubuntu Geek] Bandwidth Monitoring Tools for Ubuntu Users explica diverses eines útils per mesurar la utilització de la xarxa. Entre aquestes eines hi ha algunes que ja he utilitzat anteriorment, com iftop, bandwidth monitor... però moltes altres de les que no en sabia res: bwbar que genera un gràfic on es mesura l'ample de banda consumit, speedometer que representa de forma pseudo-gràfica l'ús de la xarxa...
Computer security experts say 2006 saw an unprecedented spike in junk e-mail and sophisticated online attacks from increasingly organized cyber crooks. These attacks were made possible, in part, by a huge increase in the number of security holes identified in widely used software products.
One of the best measures of the rise in cyber crime this year is spam. More than 90 percent of all e-mail sent online in October was unsolicited junk mail messages, according to Postini, a San Carlos, Calif.-based e-mail security firm. The volume of spam shot up 60 percent in the past two months alone as spammers began embedding their messages in images to evade junk e-mail filters that search for particular words and phrases.
As a result, network administrators are not only having to deal with considerably more junk mail, but the image-laden messages also require roughly three times more storage space and Internet bandwidth for companies to process than text-based e-mail, said Daniel Druker, Postini's vice president of marketing.
"We're getting an unprecedented amount of calls from people whose e-mail systems are melting down under this onslaught," Druker said.
WinSID és una eina per al descobriment d'instàncies d'Oracle. Per a executar-lo no utilitza el client d'Oracle (de fet, no cal ni que estigui instal·lat) i permet determinar si un servidor remot té una base de dades Oracle. En cas de trobar-la, obté informació sobre els serveis, el SID, estadístiques del listener, connexions establertes... a més a més, genera un TNSNAMES.ORA per a la connexió descoberta.
[A Programmer's Perspective] Securing Web Applications és un curt article on s'explica de forma ben clara quines tècniques de programació cal utilitzar per tal d'evitar els principals problemes de seguretat de les aplicacions web: validació de les dades introduïdes per l'usuari als formularis, verificació del formulari, control d'accés als fitxers, injecció SQL i Cross-Site Scripting. Bona lectura.
[PC World] A Brief History of Computers, As Seen in Old TV Ads. Un recull d'anuncis de televisió que permeten veure com ha evolucionat la informàtica des de la dècada dels 80 del segle passat fins a l'actualitat.
[F-Secure] Com funciona el malware dels telèfons mòbils... un còmic que il·lustra el funcionament de CommWarrior, un cuc que es distribueix via Bluetooth.
[DestinationCRM] Data Security and Terrorism Are Top Two Executive Concerns. La consultora Harris Interactive ha realitzat una enquesta entre directius d'empreses per saber quines són les seves principals preocupacions. La conclusió és que les gran preocupacions són el terrorisme i la seguretat de la informació.
Most organizations, at some point, are going to have some kind of a crisis they must respond to. According to a study conducted by market research firm Harris Interactive, business leaders are most worried about data security and terrorism. The findings, based on Harris Interactive's Internet-based survey of 197 senior executives of large corporations--those with revenue surpassing $1 billion--are discussed in detail in the December 2006 issue of The Harris Report.
(...)
The compromise of corporate information systems outpaced all other crisis situations: 61 percent of respondents revealed that data security is one of their top worries or a major worry. One of the reasons why data security is such a prevalent concern is the due to the amount of information that companies are held accountable for and the consequences associated with failing to safeguard that data. Security gaffes can have a damaging influence on consumer trust and company reputation, according to Mike Dabadie, division president of Harris Interactive's brand and strategic consulting practice. "In today's economy you have businesses that are responsible for quite a bit of information not only internally but also externally."
De tots aquests "hàbits", personalment l'únic que no acostumo a fer és el cinquè... i la veritat és que es tracta d'un consell ben simple per tal d'evitar els scrolls horitzontals.
La idea d'aquests hàbits és aprofitar les característiques del sistema Unix, però a la vegada otpimitzar les tasques.
Ampliant el comentari anterior, el que realment cal conèixer per avaluar la seguretat de Windows no és el fet que s'hagi descobert una vulnerabilitat a Vista sinó aquesta taula que publica SANS Institute:
Unspecified vulnerabilites fixed in a accidentally released patch. Patch has been withdrawn after being public and eventually replaced with one without security fixes.
PATCH NOW: Typically used where we see immediate danger of exploitation. Typical environments will want to deploy these patches ASAP. Workarounds are typically not accepted by users or are not possible. This rating is often used when typical deployments make it vulnerable and exploits are being used or easy to obtain or make.
Critical: Anything that needs little to become "interesting" for the dark side. Best approach is to test and deploy ASAP. Workarounds can give more time to test.
Important: Things where more testing and other measures can help.
Less urgent: Typically we expect the impact if left unpatched to be not that big a deal in the short term. Do not forget them however.
The difference between the client and server rating is based on how you use the affected machine. We take into account the typical client and server deployment in the usage of the machine and the common measures people typically have in place already. Measures we presume are simple best practices for servers such as not using outlook, MSIE, word etc. to do traditional office or leaisure work.
The rating is not a risk analysis as such. It is a rating of importance of the vulnerability and the perceived or even predicted threat for affected systems. The rating does not account for the number of affected systems there are. It is for an affected system in a typical worst-caserole.
Only the organization itself is in a position to do a full risk analysis involving the presence (or lack of) affected systems, the actually implemented measures, the impact on their operation and the value of the assets involved.
Tanta gràcia em fan les declaracions del tipus: «Windows Vista és el sistema més segur que hi ha» com les declaracions: «Hi ha un problema de seguretat que afecta a Windows Vista». Els dos casos són declaracions fetes des d'un total desconeixement de la seguretat informàtica i la industria del software (IMHO).
Computer security researchers and hackers have found more flaws in Microsoft's Vista, the long-awaited update to the Windows operating system, according to a report Monday.
One programmer said it was possible to increase a user's privileges on all of the company's recent operating systems, including Vista, while a computer security firm said that it found five other vulnerabilities, including one error in the software code underlying the company's new Internet Explorer 7 browser
The browser flaw means that users could become infected with malicious software simply by visiting a particular Web site, according to the report.
That would make it possible for an attacker to inject rogue software into the Vista-based computer, the paper said, citing executives at Determina, a maker of software intended to protect against vulnerabilities.
En la meva opinió, no importa tant saber que *hi ha* problemes de seguretat; el que realment és important és saber quan de temps passa entre el descobriment del problema de seguretat (ja sigui de forma 'reglada' o través d'un 0-day) i la disponibilitat dels mecanismes necessaris per eliminar-lo, habitualment a través d'un pegat. També dono molta importància a la disponibilitat de mecanismes que facilitin una ràpida distribució del pegat.
Evidentment que cal fer tot el possible per evitar, d'entrada, l'existència de problemes de seguretat. Les mesures de prevenció són d'allò més important... però també són igualment importants les mesures de reacció davant situacions que, de forma inevitable, es produiran.
Per tant, l'important no és saber que *avui* Windows Vista té problemes de seguretat, sinó quan de temps passa abans que aquests problemes disposin d'una solució.
a short scan of 10 web operating systems shows us that this neck of the woods is promising, but still young and suffering from many a beginner’s disease. I’d say that YouOS, Goowy and DesktopTwo are the names you should watch now and in the near future, while the others *might* turn into promising products, but we’ll have to wait a month or two for that to happen. Also, keep in mind that while it’s relatively easy to judge who has the best functionality, it’s much harder to see who has the best code, or the most solid framework to build upon, so it’s safe to say that we can expect a few surprises to happen here.
Primer haig de dir que la denominació de WebOS em sembla megalòmana i pensada per fer creure que aquestes aplicacions són molt més del que en realitat són. D'altra banda sembla que és una necessitat per a molts usuaris, per això tants projectes oberts...
Ara fa uns mesos hi va haver una mena d'hype al voltant de l'EyeOS. Jo sempre he cregut que necessitava d'una eina d'aquesta, que em facilités l'accés als fitxers amb independència d'on estic. Fins ara sempre ho he resolt de la forma «bruta»: els porto al disc dur del meu portàtil... però amb el temps, aquesta solució demostra força problemes: no sempre tinc la última versió i la sincronització de la informació és una cosa força pesada de fer.
En llegir la quantitat d'articles sobre l'EyeOS publicats en els últims mesos, la veritat es que em van entrar ganes de provar-lo. Dit i fet, baixar-lo i instal·lar-lo és una tasca trivial i en pocs minuts el tens funcionant.
El mires i dius, si senyor... molt maco. Però a la que portes una poca estona utilitzant-lo, la pregunta que et fas és ben evident: i això serveix per alguna cosa? No nego que són entorns en un estat molt embrionari, molts dels quals han nascut amb la única idea d'obtenir diners de forma fàcil (vendre'ls o obtenir finançament extern)... però la utilitat és més aviat nul·la. En el cas concret de l'EyeOS, l'únic que he provat, les meves conclusions són prou clares:
L'entorn és molt maco, però amb força problemes... a la poca estona d'utilitzar-lo, la meitat de les icones deixen de funcionar, els documents desapareixen (de l'entorn, no del disc).
Després de cinc minuts d'utilitzar-lo arribes a la conclusió que l'entorn no serveix per a fer res. Les aplicacions són tan limitades que la seva funcionalitat és més aviat nul·la més enllà d'un document que digui: «això està escrit amb EyeOS».
La capacitat multiusuari és deficient: quan dos usuaris editen el mateix fitxer, cap té constància del que fa l'altre i al final, el més fàcil es carregar-se'l.
En definitiva, que el vaig esborrar... d'aquí a un temps tornaré a mirar aquests projectes per mirar si algun d'aquests s'ha convertit en quelcom mínimament utilitzable i amb alguna capacitat pràctica.
El llibre, aquesta petita cosa tan simple i tan familiar, és en essència un dels miracles més grans i misteriosos de la terra: un ésser completament desconegut de nosaltres, parlant moltes vegades en una llengua ininitel·ligible, lluny molts mils de quilòmetres, que ha reunit de diferents maneres sobre el paper una trentena de signes que anomenem lletres, confegint les quals ens fa entendre misteriosament el sentit total de paraules, idees, imatges, sentiments: i admirem la bella disposició dels paisatges, sentim l'encís de la paraula rimada, de la música verbal, tan aviat commoguts fins a vessar llàgrimes, com enutjats i pensatius o rient joiosament; però el llibre fa possible sempre el miracle de poder-nos endinsar en la vida d'un altre esperit fraternal i llunyà...
Màxim Gorki citat per Emili Eroles a «Memòries d'un llibre vell»
Free WiFi airports és un wiki on hi ha la relació d'aeroports del món (bé, per ara només dels Estats Units i d'Àustria) on hi ha connectivitat WiFi gratuïta.
Microsoft ha publicat, sense anunciar-ho massa, una actualització del client WiFi de Windows XP amb SP2. Aquesta nova versió millora el WPA2 de forma que una estació no informa dels noms de les xarxes preferides.
A computer that has the WPA2/WPS IE Update installed lets users manually configure options for WPA2 authentication and encryption. However, until the Wireless Client Update is installed, network administrators cannot centrally configure WPA2 options by using the Wireless Network (IEEE 802.11) Policies node of Computer Configuration Group Policy. Computers that have Windows XP Service Pack 2 and the Wireless Client Update installed can apply these configuration options when they configure the computers by using Computer Configuration Group Policy.
On a computer that is running Windows Vista or that is running Microsoft Windows Server Code Name "Longhorn," you can specify WPA2 options when you configure wireless networks by using the Wireless Network (IEEE 802.11) Policies node of Computer Configuration Group Policy.
Què vol dir això? Bàsicament que amb aquesta actualització la màquina Windows XP no informarà del nom de les xarxes WiFi definides com a preferides (aquelles a les que es connecta automàticament en detectar-ne el senyal). Aquesta informació pot ser utilitzada per un punt d'accés malèvol per tal de fer un atac del tipus man-in-the-middle i evita que els atacants coneguin els noms de les xarxes on el nostre equip s'intentarà connectar de forma automàtica.
Mr Wales has begun working on a search engine that exploits the same user-based technology as his open-access encyclopaedia, which was launched in 2003.
The project has been dubbed Wikiasari, a combination of wiki, the Hawaiian word for quick, and asari, which is Japanese for «rummaging search».
Mr Wales told The Times that he was planning to develop a commercial version of the search engine through Wikia Inc, his for-profit company, with a provisional launch date in the first quarter of next year.
Aquest nadal porta la mala notícia de la mort de James Brown, el padrí del Soul.
Segons expliquen, ahir va anar al dentista per una revisió de rutina, i li van descobrir una pneumònia severa. El van ingressar a l'hospital... a les poques ja era mort.
Marxa una de les grans veus de la música del segle XX, inventor del funk i el padrí del soul. Els seus millors discos són:
Això sí, tot el que tenia de bo com a músic i artista ho tenia de dolent com a persona: detingut en diverses ocasions per possessió de droga i per maltractament de la seva dona, va estar diverses vegades per la presó (la última de les vegades per amenaçar a gent amb una pistola).
Un llibre de contes de Nadal per les fredes tardes de Nadal... :)
«Cartes del Pare Noël» és un recull de les cartes que va escriure en J.R.R. Tolkien cada Nadal, des de l'any 1920 i fins el 1943, adreçades als seus quatre fills. Aquestes cartes anaven signades pel Pare Noël (amb una preciosa lletra tremolosa), pel Gran Ós Polar (amb una lletre molt gruixada ja que té les potes molt grosses) i per un elf anomenat Ilbereth que escriu utilitzant l'alfabet àrtic.
El llibre inclou la fotografia de les cartes originals, a més dels sobres i segells també dibuixats per en Tolkien, amb la traducció al català.
Les cartes parlen sobre la vida al Pol Nord i els desitjos per a la celebració del Nadal... són divertides i curioses, tot demostrant la increïble capacitat de l'autor del Senyor dels Anells per crear nous móns.
De la contaportada:
Cada desembre els fills de J. R. R. Tolkien rebien un sobre amb un segell del Pol Nord. A dins hi havia una carta escrita a mà, amb una estranya lletra llarga i fina, i un dibuix preciós ple de colors o fet només amb quatre traços.
Les cartes eren del Pare Noël.
Els explicaven mervallosos contres sobre la vida al Pol Nord: com un dia que tots els rens es van escapar i van anar escampant els regals pertot arreu; com l'Ós Polar, un pocatraça, va escalar el Pol Nord, va caure sobre la teulada de cal Pare Noël i va anar a parar al menjador; com va partir la lluna en quatre i va fer que l'home que hi havia a dins caigués al jardí del darrere; o les guerres amb les empipadores hordes de gòblins, que vivien en unes coves que eren just sota casa seva!
A vegades l'Ós Polar qui escriu quatre ratlles, i a vegades ho fa l'elf Ilbereth, amb la seva lletra elegant i fluida, per afegir més vida i humor a les narracions.
Cap lector, jove o gran, no podrà deixar de sentir-se encantat per la inventiva i l'«autenticitat» de les Cartes del Pare Noël.
Títol: «Cartes del Pare Noël» («Letters from Father Christmas») Autor: J. R. R. Tolkien (edició revisada per Baillie Tolkien) Traductor: Jordi Ferré Ibarz 1a edició - Octubre 2006 Editorial Empúries 111 pàgines ISBN 84-9787-205.3
[Burce Schneier] Real-World Passwords. Bruce Schneier comenta les contrasenyes dels usuaris de MySpace, obtinguts a través d'un atac phishing.
Password Length: While 65 percent of passwords contain eight characters or less, 17 percent are made up of six characters or less. The average password is eight characters long.
(...)
Character Mix: While 81 percent of passwords are alphanumeric, 28 percent are just lowercase letters plus a single final digit -- and two-thirds of those have the single digit 1. Only 3.8 percent of passwords are a single dictionary word, and another 12 percent are a single dictionary word plus a final digit -- once again, two-thirds of the time that digit is 1.
(..)
Common Passwords: The top 20 passwords are (in order): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey. (Different analysis here.)
Lo divertido del tema son las contraseñas que escoge la gente. Hay algunas que no se me habrían ocurrido nunca, como las culinarias: hamburguesa, huevo, macarrones, marisco4, cangrejo, sardinas.
Están los cinéfilos: micasa, starwars, sirenita.
Los músicos, por supuesto, estamos en una web para ell@s: Elvis, Beethoven, Madonna, Bustamante (arj), lalala, guitarra, contradanza...
Tenemos a los que van a lo fácil, fácil: 11111, 123123123, 123456.
Los religiosos: cristoamado, GODEXISTS, diosesamor, infierno.
[Help Net Security] 7 Steps to Securing USB Drives. Els discos USB ja fa temps que són un dispositiu força habitual i amb una capacitat d'emmagatzematge considerbale (d'uns quants GB). D'altra banda, són fàcils de perdre o deixar-los oblidats a qualsevol lloc. Aquesta combinació fa que siguin una font important de pèrdua d'informació confidencial.
Even when used with the best intentions, the data stored on USB drives is generally not covered by routine company procedures, such as backup, encryption, or asset management. How can companies keep track of the data coming in or leaving the company via these devices? Keeping company data secure has become a significant challenge for any corporate IT department.
(...)
When company information is stored on non-secure and personally owned devices, employees put their company at risk every time they step out the door. Auditing companies are at risk of exposing account numbers, hospitals can be exposed if patient information falls into the wrong hands, and finance companies need to ensure that mission critical data is not lost. Once company data falls into the wrong hands, the possibility of threats and risk are almost infinite. Companies lose credibility, leave themselves open to lawsuits, and expose employees to ID theft or fraud,just to name a few.
The risks from personal storage devices can be classified as follows:
El PDP 7 va ser l'ordinador que va utilitzar Ken Thompson l'any 1967 per desenvolupar el sistema operatiu Unics. Aquest sistema operatiu posava les bases del que avui coneixem com a Unix, però estava escrit en llenguatge ensamblador i per tant, lligat a aquesta plataforma. Posteriorment, el mateix Ken Thompson, amb la col·laboració de Dennis Ritchie el van portar a C, de forma que el mateix sistema operatiu es podia utilitzar a diferents màquines.
La història de Unics és prou divertida: Ken Thompson estava acostumat a utilitzar Multics i havia desenvolupat un joc, anomenat Space Travel. En voler donar més característiques al joc, com ara la capacitat de rotar els planetes, es va adonar que el sistema Multics no li facilitava les tasques. Això el va inspirar a escriure un nou sistema operatiu per al PDP 7, que va anomenar Unics.
L'any 1996 es va celebrar una partida històrica: per última vegada, el campió mundial d'escacs era capaç de guanyar a un ordinador. Quan, un any i escaig més tard feien la partida de revenja el resultat va ser diferent: l'ordinador era capaç de guanyar al millor jugador humà.
L'IBM Deep Blue era pura força bruta: un ordinador amb 30 processadors RS/6000 en paral·lel, funcionant amb el sistema operatiu AIX, que analitzava totes les possibles jugades abans d'escollir un moviment. Malgrat que la màquina no sabia pròpiament jugar als escacs, sinó que analitzava totes les possibilitats, la victòria final de la partida va ser una demostració pràctica de com havia avançat la potència de càlcul i les possibilitats reals dels ordinadors.
«The Sleuth Kit» és una col·leció d'eines per a la realització d'anàlisis forenses que permeten l'extracció de dades a partir de l'anàlisi de l'estructura interna del sistema de fitxers. Dóna suport a un bon nombre de sistemes de fitxers (NTFS, FAT, FF, EXT2 i EXT3), treballant sempre d'una forma no intrusiva i sense utilitzar les primitives del sisrtema operatiu per a l'accés a disc.
Disponible per a Windows, Mac OS X i sistemes *nix (Linux, BSD, Solaris, BeOS, QNX) en diverses plataformes (x86, x86-64, IA-64, PowerPC, SPARC, Alpha, MIPS i ARM).
Eraser és una eina per esborrar dades del disc dur de forma segura i evitant-ne la recuperació. Fa diverses escriputres, primer amb tot '0', després amb tot '1' i a continuació diverses vegades:
Eraser is an advanced security tool (for Windows), which allows you to completely remove sensitive data from your hard drive by overwriting it several times with carefully selected patterns. Works with Windows 95, 98, ME, NT, 2000, XP, Windows 2003 Server and DOS.
Eraser is Free software and its source code is released under GNU General Public License.
This script will check for and detect around 58 known rootkits and a couple of sniffers and backdoors and make sure that your machine is not infected with these. It does this by running a series of tests which check for default files used by rootkits, wrong file permissions for binaries, checking the kernel modules and so on.
This is another very useful program created by Nelson Murilo and Klaus Steding Jessen which aids in finding out any rootkits on your machine. Unlike Rootkit hunter program, chrootkit does not come with an installer, rather you just unpack the archive and execute the program by name chrootkit. And it conducts a series of tests on a number of binary files. Just like the previous program, this also checks all the important binary files, searches for telltale signs of log files left behind by an intruder and many other tests. In fact, if you pass the option -l to this command, it will list out all the tests it will conduct on your system.
He rebut, en aquests últims dies, tres regals de la meva wishlist d'Amazon:
D'una banda, en pjorge m'ha regalat el llibre «Digital retro» que recull l'evolució en el disseny dels ordinadors personals, des dels primers models fins a l'actualitat.
better !pout !cry
better watchout
lpr why
santa claus < north pole > town
cat /etc/passwd > list
ncheck list
ncheck list
cat list | grep naughty > nogiftlist
cat list | grep nice > giftlist
santa claus < north pole > town
who | grep sleeping
who | grep awake
who | grep bad || good
for (goodness sake) {
be good
}
better !pout !cry
better watchout
lpr why
santa claus < north pole > town
While cookies can help web developers offer services and features that would require extensive programming otherwise, there are some significant security risks that must be understood before cookies are ever implemented into a website.
First, cookies are stored as plaintext on the user's computer. This means anyone can read them at any time from the local machine. This includes a nosy family member, but also includes the user of the website. In other words, web developers can never assume that the cookie data is a place to store sensitive data.
Second, cookies are passed as plaintext unless there is an encrypted session. As a result, anyone with a sniffer can capture the cookies contents and use them as their own. In other words, if a person logs into a web application at an unprotected wireless hotspot, an attacker can grab the session value and insert it into their own cookie, thus hijacking the session from the valid user.
Third, and possibly the most significant, cookies can be stolen via cross-site scripting exploits on a vulnerable web application. For example, numerous blogging sites have been found to have persistent XSS vulnerabilities over the last few years. If a malicious hacker wants to steal a user's session id cookie information, they can easily do this by injecting a simple "document.cookie" request into a blog post. This type attack can be used to steal hundreds of session values, all of which can be used by the attacker to collect sensitive information or create chaos by posting fake content under a stolen account.
Bé, tècnicament s'acaba a la mitjanit d'avui... però ja es pot considerar tancada el repartiment de participacions de sis dècims de loteria a tots aquells que ens han enviat un microconte.
En total n'hem repartit 45 participacions en els 9 dies que han passat des de l'anunci de dimarts passat. Tota una diferència en relació als anysanteriors, en que repartíem les 100 participacions en poques hores.
Està vist que quan cal treballar una mica per obtenir un regal, costa de participar-hi. De totes formes, estic sorprès de la qualitat dels contes que heu enviat i crec que la resta d'amics que han participat en el repartiment de la loteria també estan contents de com ha anat. Ens hauria agradat repartir més participacions, és clar... però bé, tampoc no ha anat tant malament.
Si heu visitat la capital francesa (o, com jo només ho sabeu per la pel·lícula «El Codi da Vinci»), haureu vist unes plaques al terra que indiquen per on passa l'anomenat meridià de París.
Aquestes plaques porten la inscripció dels punts cardinals nord i sud, i també el mot ARAGO. En veure la pel·lícula en va entrar curiositat per saber que volen dir, però entre una cosa i l'altra fins avui no ho havia cercat.
Resulta que aquests medallons es va ficar l'any 1994 com a homenatge a Arago... I qui és aquest Arago? Pels francesos és François Arago, però per als catalans és Francesc Joan Domènec Aragó, un matemàtic, físic, astrònom i polític nascut a Estagell, al Rosselló (Catalunya del Nord).
The specimen was recovered from the Yixian Formation, a treasure trove of fossils in northeastern China that has previously yielded the remains of early birds and feathered dinosaurs.
Only seven centimetres (3.5 inches) long, the tiny skeleton from the Early Cretaceous shows an embryonic or newborn reptile with two heads and two necks.
The draft APIs will be available to security vendors for testing and comment through the end of January. A final version of the APIs will then become available when Microsoft releases Service Pack 1 for Vista sometime in mid-2007, according to Ben Fathi, vice president of development for the Windows Core Operating System.
Microsoft also released a separate Criteria Evaluation document that details the processes Microsoft used in evaluating vendor requests for APIs to the Vista kernel. As with the draft APIs, Microsoft is seeking third-party security vendor feedback on its criteria evaluation processes.
8. IBM VM (ListServ) Ordinador: IBM VM Importància: Llistes de correu
A diferència de la resta d'ordinadors, l'IBM VM és important no tant per les seves característiques com ordinador (malgrat que alguns dels conceptes que va popularitzar, com les màquines virtuals --per això s'anomena VM-- avui en dia tornen a ser populars), sinó per un servei molt específic que hi havia disponible: el ListServer.
La xarxa BITNET, finançada per IBM, va servir de plataforma pel naixement de les llistes de correu i la popularització de la primera killer application d'Internet, el correu electrònic. Durant anys i panys, les principals llistes de distribució es basaven en ListServer, un software de fàcil ús (per a l'usuari) que permetia mantenir converses amb múltiples participants. Malgrat que avui, per culpa del correu brossa, el correu electrònic sembla una aplicació obsoleta i poc útil, cal recordar la gran importància que va tenir pel desenvolupament d'Internet.
Jaume I, el nostre gran rei, és EL personatge per excel·lència de la iconografia històrica dels Països Catalans. Sempre que es vol trobar un referent sobre la gloriosa història, la figura de Jaume I surt immediatament. Això es nota en la gran quantitat de bibliografia històrica que trobem, especialment durant els segles XIX i XX.
Jaume I va ser certament un rei diferent a qualsevol altre: amb una gran visió política, després d'uns fracassos inicials en l'expansió cap a Occitània va saber canviar els objectius i es va fixar a la Mediterrània, amb les Illes Balears i el País Valencià com principals objectius. Figura de dimensions fora de l'habitual, tant en l'aspecte físic com en l'intel·lectual, va marcar un abans i un després en la nostra història. Fins i tot avui, 730 anys després de la seva mort, encara en som plenament hereus.
La vida de Jaume I va tenir autèntics episodis insòlits, des del moment mateix de la seva concepció i fins a la seva mort. A més a més tenim la sort que ell mateix els va escriure, en el seu Llibre dels Fets. Aquesta història mereix ser coneguda i explicada.
Entrant ja a parlar d'aquesta novel·la cal dir que no és pas la primera novel·la història centrada en la figura del gran Rei. Ja fa uns anys, Albert Salvadó va escriure la trilogia «Jaume I el conqueridor» on es feia un passeig per tota la seva vida.
A «Jaime I el Conquistador», Ferran Cremades es centra en un episodi molt concret: el setge i conquesta de Balansiya, el nom àrab de València. Una característica ben destacable es que presenta els dos costats de la visió: la dels conqueridors cristians però també la dels habitants de la ciutat, població musulmana que veu com un exèrcit estranger vol fer-los fora de casa seva.
De la contraportada:
Siglo XIII. La inestabilidad generada tras la derrota en la batalla de Las Navas de Tolosa hace peligrar la hegemonía musulmana en España. En su afán por alcanzar la gloria, y cegado por el lujo y la ambición, el emir Zayyán querrá mantener a toda costa el control definitivo de la urbe más próspera y refinada del Mediterráneo.
La Valencia de los espléndidos jardines, de los palacios de puertas doradas y del puente de Piedra con sus siete arcos padecía las horas más inciertas de su historia: intrigas políticas, crímenes, delaciones y traiciones se sucedían por doquier. El miedo y la sospecha se habían adueñado de cada rincón de la ciudad y del reino. Sobre este trasfondo emergerá la célebre figura de Jaime I el Conquistador, que, junto a Fernando de Castilla, emprenderá la toma de los territorios de Al Ándalus a fin de ganarlos para la cristiandad. Rey de Aragón y Mallorca, conde de Barcelona y Urgell, Jaime I, tras recibir la bula papal de Gregorio IX, comenzará el sitio de Valencia en una batalla sin parangón.
Ferran Cremades nos relata la apasionante historia nunca contada del asedio y caída de la capital mediterránea a manos del rey cristiano, al tiempo que nos muestra la vulnerabilidad de la gloria, el amor y la fortuna. Un espléndido mosaico de lo que fue la cultura árabe en nuestro país.
Títol: «Jaime I el Conquistador» Autor: Ferran Cremades 1a edició - octubre 2006 Edicions Martínez Roca 563 pàgines ISBN 84-270-3304-4
Bernd R. Fix sobre A not so smart card — possiblement l'únic cas on la longitud de la clau (320 bit RSA) és la principal deficiència de seguretat d'un sistema.
Jacob Appelbaum i Ralf-Philipp Weinmann sobre Unlocking FileVault — l'any passat Jacob va parlar dels sistemes de xifrat de disc; enguany es centra en el sistema de xifrat inclòs a Mac OS X
[Dark Reading] Banking on Security... una interessant lectura sobre l'experiència d'una auditoria de seguretat en un banc.
We were recently hired by a regional bank to assess its security. When negotiating the services agreement with the bank president we agreed to perform the standard network security penetration testing, but he insisted we also test the security awareness of the bank staff.
(...)
After signing some legal boilerplate and "get out of jail free" paperwork, here's what we agreed to: Pose as a vendor, enter the facility, plug into the network, sniff traffic, look for login and passwords, then try to become domain administrator of the network.
S'enceta, el proper mes de gener, el Month of Apple Bugs, per al de publicar cada dia una vulnerabilitat prèviament no documentada al sistema operatiu Mac OS X
A pair of security researchers has picked January 2007 as the Month of Apple Bugs, a project in which each passing day will feature a previously undocumented security hole in Apple's OS X operating system or in Apple applications that run on top of it. According to a post over at The Washington Post's Security Fix blog, the project is being put together by researchers Kevin Finisterre and the guy who ran November's Month of Kernel Bugs project."
A veure si passa el mateix que amb la setmana de vulnerabilitats d'Oracle, que va ser cancel·lada davant la reacció negativa d'Oracle... Apple farà el mateix?
[News.com] Skype worm on the loose. Detectat un cuc que es distribueix mitjançant el xat de l'Skype.
Early reports indicate that the worm sends messages via Skype Chat, an instant-messenging tool. The messages ask recipients to download and run a file called sp.exe.
Once the file is executed, it installs spyware that can steal passwords and other personal information. It also connects to a remote server to download additional code.
Novel·la ambientada a començaments del segle XIX sobre la història de l'últim condemnat per la Inquisició espanyola... farcida d'intriga, conspiracions, aventures de tota mena.
Però el que més destaca del llibre és la participació del lector: és un llibre pensat per a ser llegit de forma activa, descobrint els nombrosos paranys i pistes per ajudar a seguir la trama de la història. Tot això el fa diferent de les altres novel·les de l'autor, que es poden qualificar com només d'històriques. «Inquisitio» és una novel·la d'aventures situada en un període històric, però bàsicament és d'aventures.
La història té un fonament cert: Gaietà Ripoll, l'últim ajusticiat per la Inquisició a València, i amb una excel·lent documentació per reconstruir una època. El nucli es la defensa d'una persona innocent contra l'aparell oficial de l'església catòlica que, implicada fins al moll de l'ós amb l'estat, representa l'autèntic poder. El segon personatge destacat és el pare Llorenç Ramo, de l'escola pia i persona molt influent a la societat valenciana que, malgrat el que pugui semblar, s'acaba situant en una posició intermèdia... tot creant una societat secreta.
Un llibre molt recomanable per aquestes vacances nadalenques!
De la contraportada:
Al segle XV, l'església catòlica crea la Inquisició, també anomenada Sant Ofici, per lluitar contra l'heretgia. Va ser una institució que va perseguir, torturar i jutjar centenars de persones, algunes de les quals van ser condemnades a mort per les seves creences. Quatre-cents anys després, a principis del segle XIX, a València un grup de persones inquietants pretenen ressuscitar la funesta institució, per preservar la societat que ells veuen amenaçada pel progrés imparable d'una industrialització que avança.
A cavall entre els fets i la ficció, Inquisitio retrata la història de l'últim condemnat pels intolerants. Amb el ritme i les acurades descripcions històriques que caracteritzen la seva prosa, Alfred Bosch novel·la un dels episodis més obscurs de la nostra història recent.
La vida de Gaietà Ripoll s'altera de sobte, quan la Inquisició l'arresta i el processa per heretge. Ja som al segle XIX, envoltats de trens i màquines de vapor, però els ultracatòlics converteixen Ripoll en el darrer condemnat del Sant Ofici. El Pare Llorenç Ramo, l'home que s'esforça per salvar-lo, es troba desbordat per una ciutat de València plena de sectes, símbols críptics i memòries personals.
Inquisitio retrata la relació entre dos homes. L'un (Ramo) és un clergue jove i ambiciós, profundament escèptic i poblat de febleses mundanes . L'altre (Ripoll) és un pobre mestre, profundament creient, però acusat de desafiar els dogmes de la fe. A cavall entre els fets reals i la ficció, assistirem a la davallada del religiós i a la remuntada de Ripoll, que en martiri troba sentit a la seva modesta existència.
Per cert, un detall digne de menció: al final del llibre l'autor fa un resum indicant que hi ha de veritat i que hi ha de ficció.
Títol: «Inquisitio» Autor: Alfred Bosch 1a edició - octubre de 2006 Columna Edicions Premi Prudenci Bertrana 2006 430 pàgines ISBN 8466407707
Austin, la capital de Texas, s'anomena a ella mateixa com Live Music Capital of the World... és a dir, la capital mundial de la música en directe. I, efectivament, enlloc més he vist tantes actuacions musicals de forma simultània... passejant pel centre de la ciutat per tot arreu trobes llocs on hi ha una actuació musical en directe.
En aquest marc, es va enregistrar el nou disc de Van Morrison. Encara no el tinc... ja que és un disc de distribució reduïda: només es pot comprar a la web oficial de Van Morrison o bé als seus concerts en directe.
Es tracta d'un disc doble, amb el següent contingut:
CD1:
Back On Top
Big Blue Diamonds
Playhouse
Days Like This
Muleskinner Blues
In The Midnight
Bright Side of the Road
Don't You Make Me High
Cleaning Windows
I Can't Stop Loving You
CD2:
Real Real Gone / You Send Me
Saint James Infirmary
Moondance
It's All In the Game / You Know What They're Writing About
3. Commodore 64 Ordinador:Commodore 64 Importància: Primer ordinador popular
El Commodore 64 va ser un ordinador revolucionari que encara avui no ha estat prou valorat. De fet, part del disseny dels ordinadors actuals és una evolució d'allò que per primera vegada es va fer al Commodore 64, com la presència de processadors específics per a tasques concretes, alliberant la CPU principal.
Va ser, a més, el primer ordinador amb un elevat nivell de popularitat, amb varis milions d'unitats venudes (17 milions a tot el món) i més de 10.000 títols de software.
4. IBM PC Ordinador:IBM PC Importància: La institucionalització de la informàtica personal
Tot just fa vint-i-cinc anys, IBM entrava al món dels ordinadors personals amb l'IBM PC. Un equip de característiques impressionats per a l'època: processador Intel 8088 a 4,77 MHz (un compromís entre un processador de 16-bit com era el 8086 i els processadors de 8 bit que aleshores eren els habitualment utilitzat als ordinadors personals), 16 KB de memòria RAM ampliable a 256 KB, monitor de fòsfor verd (però amb l'opció de l'adaptador gràfic CGA que donava 16 colors) o bé sortida per a utilitzar un televisor com pantalla. Per a l'emmagatzematge extern de la informació, l'opció bàsica era la unitat de cassette i, com podeu veure a la foto, una o dues unitats de disc flexible de 120 KB. L'equip portava, com era habitual aleshores, el BASIC de Microsoft (conegut com a BASICA) a la ROM. Si s'utilitzava l'equip amb la unitat de cassette, o bé sense disc d'inici amb sistema operatiu si l'equip disposa d'unitat de disc flexible, arrencava amb aquest intèrpret de BASIC. Ara bé, si es disposava d'una unitat de diskette es podia iniciar la màquina amb un sistema operatiu extern.
Què va marcar l'IBM PC? D'una banda, que es considerés la informàtica personal com quelcom important. Deixava de ser una col·lecció de màquines dedicades bàsicament als jocs per a ser utilitzades dins de les empreses. A més a més, i mai sabrem si de forma intencionada o accidental, era una màquina oberta que permetia la seva expansió per l'usuari i, el que va ser més important, utilitzar-lo com a base per als ordinadors compatibles amb la mateixa arquitectura, el mateix software de base i la capacitat d'executar el mateix software d'usuari.
Hi ha, per tant, un abans i un després de l'existència de l'IBM PC.
5. Compaq Portable PC Ordinador:Compaq Portable Importància: El primer clònic de l'IBM PC
Si l'IBM PC va ser important, també té la seva importància el Compaq Portable. I tot això gràcies a ser el primer clònic de l'IBM PC que es va comercialitzar. Era una màquina que tenia la capacitat d'executar tot el software i acceptar tots els perifèrics dissenyats per l'ordinador d'IBM en una màquina que no era fabricada per IBM. A més a més també el podem considerar, juntament amb l'Osborne 1, en el prototipus dels ordinadors portàtils.
A nivell de hardware, utilitzava una BIOS dissenyada per Compaq utilitzant tècniques d'enginyeria inversa, igual a la d'IBM però sense el BASICA (l'intèrpret de BASIC s'executava en RAM). El processador era un Intel 8088 a 4.77MHz i incorporava 128 KB de memòria, dues unitats de disc de 5,25 polzades i una pantalla de 9 polzades amb capacitat gràfica (CGA). Es van vendre unes 53.000 unitats.
Aquest model de Compaq va encetar un mercat que, amb els anys, seria bàsic per entendre la informàtica personal: les màquines basades en processadors Intel compatibles amb l'IBM PC.
6. Apple ][ Ordinador:Apple ][ Importància: Definir el concepte d'ordinador personal
Cap relació d'ordinadors importants no pot ser completa sense una menció a l'Apple ][. Ha passat a la història per introduir conceptes com ara les targetes d'expansió i un fàcil accés a la placa base (conceptes avui presents en qualsevol ordinador personal). El seu hardware era un processador 6502 a 1 MHz, 4 KB de memòria RAM, una unitat de cassette i un intèrpret de BASIC en ROM. Amb els anys va anar evolucionant i va tenir una llarga vida comercial (fins a la dècada dels 90 on l'Apple ][ va passar a ser una targeta d'expansió pels Macintosh).
Però més enllà del hardware, que si bé era impressionant per a l'època, tampoc no es pot considerar com "excepcional" hi ha dos aspectes de l'Apple ][ que han marcat història: el primer ordinador personal que va ser clonat i el naixement d'una comunitat d'usuaris totalment identificats amb la marca.
7. Apple Macintosh Ordinador:Apple Macintosh Importància: Els primers ordinadors personals amb interfície gràfica
Malgrat que tècnicament no va ser el primer ordinador personal comercialitzat amb un sistema operatiu totalment gràfic, sí va ser el primer que va demostrar la viabilitat comercial dels conceptes d'interfície gràfica d'usuari i de l'ús del ratolí.
Comercialitzat inicialment l'any 1984, només un any després de l'entrada d'IBM al món de l'ordinador personal, el primer Mac utilitzava un processador Motorola 68000, a 8 MHz, 128 KB de memòria RAM i un monitor integrat de 9 polzades capaç de treballar a una resolució de 512x342 en modalitat monocroma. Aquestes característiques el convertien en un ordinador a anys llum de la resta de sistemes aleshores disponibles (tant en funcionalitats com en preu).
El Macintosh va donar vida a Apple i va marcar molts objectius que la resta d'indústria encara trigaria molts anys en arribar.
Davant la negativa de Microsoft en publicar Service Pack pels seus productes, obligant a la instal·lació separada de decenes (potser ja centenars) d'actualitzacions, hi ha una alternativa prou interessant: Offline Update. Es tracta d'una eina que crea un DVD (o bé CD) amb totes les actualitzacions necessàries per a Windows, de forma que es puguin instal·lar fins i tot abans de connectar l'equip a la xarxa
Looking for manageable Windows updates even without an internet connection? Our offline update 3.0 script collection downloads the entire body of updates for Windows 2000, XP or Server 2003 from Microsoft's servers in one fell swoop and then uses them to create patch packages on CD, DVD or USB stick. Those in turn allow you to update as many PCs as desired.
(...)
Anyone installing Windows fresh from a CD or who acquires a PC with a preinstalled instance of Windows is in a tricky situation: to protect the machine against the various dangers of the internet, one must first install all current security updates to plug the countless holes in Windows and Internet Explorer. To fetch a copy of the updates, however, Microsoft requires that your computer be connected to the internet.
That is risky: anyone using a slow modem to surf the net will have to wait several hours until the 60 updates - some 40 MB in all - dribble their way through the connection. In the meantime, one visit to a rigged website is enough to let a bug get a crucial first toehold in the machine.
(...)
We here offer an alternative to this update dilemma, starting immediately: version 3 of our script collection Offline Update requires only a few steps to reel in a current service pack at any time, combining all released Windows updates at the time of download. The download script acquires the complete update library for selected operating systems from Microsoft's servers and uses them to created ISO images for CDs or DVDs as desired. These in turn can be used to update as many PCs as you wish.
Encara esteu a temps de demanar una participació de 10 cèntims per a cada un dels nombres 39999, 35111, 02991, 71049, 21515 i 77756... recordeu que només cal que escriviu un petit conte, de qualsevol temàtica i qualsevol longitud i ens envieu un missatge a loteriabitacorera@gmail.com. Animeu-vos... hi ha temps fins que arribem a les cent participacions o les 00.00 hores del dia 22!!!
Alguns dels contes que ens heu enviat fins ara són:
pfSense és una distribució basada en FreeBSD, directament executable des del CD-ROM, especialitzada en seguretat. Poc actuar com tallafocs, control d'ample de banda, accés remot (VPN), balanceig de càrrega, etc...
Acaba de publicar-se un tutorial en català on s'explica com configurar-lo per tal d'actuar com tallafocs.
Agafant la idea de Ten Servers that Changed the World, i basant-me en part en ell, he començat a preparar la llista dels 10 ordinadors que han canviat el món... l'aniré publicant durant els propers dies.
La web va néixer en un NeXTCube, amb un processador a 25 MHz, 2 GB de disc i un monitor en blanc i negre. Era el 6 d'agost de 1991 quan Tim Berners-Lee va publicar la primera pàgina web de la història. Al NeXT es va crear el primer servidor web, el primer navegador i el primer editor HTML.
No hi ha dubte de la importància de la web. Gràcies a disposar d'una interfície de fàcil ús per a l'accés a la informació, a mitjans de la dècada dels 90 hi va haver l'explosió d'Internet al món real, fora del reducte acadèmic on va néixer. Avui el món és difícil d'entendre sense la web i, alhora, és una demostració de com una tecnologia senzilla i fàcil d'implementar pot transformar el món.
Malgrat que el Sun Ultra 2 és un ordinador de gama baixa, va tenir l'honor de ser la màquina utilitzada pels fundadors de Google, Larry Page i Sergey Brin pel seu sistema de cerca Backrub, que posteriorment va evolucionar per convertir-se en Google.
Les característiques d'aquest servidor són 2 processadors a 200 MHz, 256 MB de memòria RAM i connexió a la xarxa de la universitat d'Stanford. Tot això l'any 1998. La fotografia que podeu veure no és l'aspecte de la màquina quan feia de servidor de Backrub sinó la seva conversió posterior en servidor de discos durs.
Google s'ha convertit en l'empresa emblemàtica d'Internet, en base a oferir una sèrie de serveis potents, fàcils d'utilitzar i, a la vegada, mantenir una imatge d'empresa innovadora i diferent. Malgrat això, Google té massa poder i informació sobre allò que fem, de forma que potencialment es pot convertir en el gran Big Brother. Temps al temps.
Més informació sobre la història de Google i les seves màquines:
Laptop encryption will be made mandatory at many government agencies and other organizations that store customer/patient data and will be preinstalled on new equipment. Senior executives, concerned about potential public ridicule, will demand that sensitive mobile data be protected
Theft of PDA smart phones will grow significantly. Both the value of the devices for resale and their content will draw large numbers of thieves.
Canvis legislatius
Congress and state governments will pass more legislation governing the protection of customer information. If Congress, as expected, reduces the state-imposed data breach notification requirements significantly, state attorneys general and state legislatures will find ways to enact harsh penalties for organizations that lose sensitive personal information.
Tendències d'atac
Targeted attacks will be more prevalent, in particular on government agencies. Targeted cyber attacks by nation states against US government systems over the past three years have been enormously successful, demonstrating the failure of federal cyber security activities. Other antagonistic nations and terrorist groups, aware of the vulnerabilities, will radically expand the number of attacks. Targeted attacks on commercial organizations will target military contractors and businesses with valuable customer information.
Cell phone worms will infect at least 100,000 phones, jumping from phone to phone over wireless data networks. Cell phones are becoming more powerful with full-featured operating systems and readily available software development environments. That makes them fertile territory for attackers fueled by cell-phone adware profitability.
Voice over IP (VoIP) systems will be the target of cyber attacks. VoIP technology was deployed hastily without fully understanding security.
Tècniques d'atac
Spyware will continue to be a huge and growing issue. The spyware developers can make money so many ways that development and distribution centers will be developed throughout the developed and developing world.
0-day vulnerabilities will result in major outbreaks resulting in many thousands of PCs being infected worldwide. Security vulnerability researchers often exploit the holes they discover before they sell them to vendors or vulnerability buyers like TippingPoint.
The majority of bots will be bundled with rootkits. The rootkits will change the operating system to hide the attack's presence and make uninstalling the malware almost impossible without reinstalling a clean operating system.
Estratègies de defensa
Network Access Control will become common and will grow in sophistication. As defending laptops becomes increasingly difficult, large organizations will try to protect their internal networks and users by testing computers that want to connect to the internal network. Tests will grow from today's simple configuration checks and virus signature validation to deeper analysis searching for traces of malicious code.
Els autors del llibre «Forensic Discovery», Dan Farmer i Wietse Venema, han publicat la versió íntegra del llibre en format HTML. És pràcticament el mateix llibre que es pot comprar en paper i es considerada una de les millors referències en informàtica forense.
In the spirit of our past work, our commitment to science and research, and our desire to help others we have also decided to put the text of the book online for free. Addison-Wesley was also kind enough to permit us to put up our final HTML drafts that we sent to the publisher; minus the final formatting and a few minor changes these should be very close to the book version and is suitable for printing, grep'ing, and the like. We will put up the final PDF version in the future as well.
Com l'any passat i fa dos anys, en JJ Merelo, fernand0 i enguany també en pjorge, canopus i rvr, us regalem participacions de la loteria de Nadal. Enguany són sis dècims, de forma que el regal són 10 cèntims de cada un dels dècims!
Enguany hem volgut donar-vos una mica de feina... per poder participar us demanem que escriviu un petit conte (no importa la mida, des d'unes poques línies fins allà on arribi la vostra imaginació) de temàtica lliure. L'heu de publicar bé al vostre weblog o als comentaris de qualsevol dels nostres weblogs.
Per a rebre la vostra participació cal que ens envieu un missatge a loteriabitacorera@gmail.com amb l'enllaç al vostre conte. A canvi, us regalarem 10 cèntims del 39999 (JJ Merelo), 10 cèntims del 35111 (fernand0), 10 cèntims del 71049 (canopus), 10 cèntims del 77756 (pjorge), 10 cèntims del 21515 (rvr) i 10 cèntims del 02991 (jo).
Hi ha un seguit de senzilles normes:
Només una participació per persona.
Només s'accepten participacions enviades per correu electrònic.
Heu de rebre una resposta on s'indicarà la vostra participació. Si passat un període de temps raonable no rebeu cap resposta, torneu a enviar el missatge (penseu que estem a punt d'entrar en període de festes... així que, si us plau, espereu-vos unes quantes hores abans d'insistir).
Només pagarem si el premi té sentit... és a dir, no es farà reintegrament ni premis petits, entenent com a tal menys de 30 euros de premi per una participació.
El pagament es farà per transferència bancària (o personalment) descomptant les despeses de comissió del banc.
El període d'acceptació de participants finalitza quan es produeixi la primera d'aquestes circumstàncies:
El 21 de desembre a les 12.00 GMT
S'arriba al nombre de 100 participacions
Quan s'arribi a qualsevol d'aquestes circumstàncies, avisarem a través dels nostres weblogs.
Espai reservat per a les clàusules legals que ens protegeixen i ens alliberen de tota responsabilitat si hi ha cap mena de problema. Però com som una colla d'infeliços, ens refiem en la bona fe de tothom :-)
La relació d'adreces recollides amb els participants en aquest joc no s'utilitzarà per a res més que informar sobre aquest esdeveniment. Està emmagatzemada al servidor de GMail (Google) i es farà una còpia de seguretat privada. Un cop passat tot això es destruirà.
En cas de premi, el pagament es farà un cop nosaltres l'haguem cobrat.
En cas de dubte, es demanarà una identificació fefaent de la personalitat del propietari de l'adreça d'email.
En cas de problemes amb alguna adreça de correu en el moment de repartir el premi, només insistirem un màxim de 5 vegades durant un mes.
No ens fem responsables de qualsevol dany provocat per acció o omissió fora del nostre control als vostres sistemes informàtics durant el procés del sorteig.
Es tracta d'un regal i no s'estableix cap relació contractual, amb les condicions anteriors i posteriors.
El fitxer que es crea a partir dels correus rebuts és un fitxer domèstic i, per tant, no està subjecte a la LOPD. No es farà cessió de dades a cap part i serà destruït un cop celebrat el sorteig i repartit el diner entre els afortunats lectors.
Ara que s'acosten les festes, que comença a fer fred... cada vegada donen més ganes de passar les tardes a casa. Una alternativa es mirar una pel·lícula, però moltes vegades costa decidir-se per quin títol escollir. Aquesta llista mostra 20 autèntics hackers vistos pel cinema... sovint les pel·lícules són dolentes (algunes fins i tot insuportables), però és divertit sempre veure com el cinema mostra als hackers.
De totes les pel·lícules que cito, les meves preferides són «Sneakers», «Office Space», «Tron» i «The Matrix». Algunes com «Superman III» o «Jurassic Park» són certament infumables... però hi ha personatges que són autèntics hackers.
The first trip where this happened, as we were scheduled to leave the gate, there was a delay, and then the pilot said over the intercom: "We're having trouble with some of the cockpit instruments, so I'm going to force a hard reboot by switching off all the power for a bit." The lights and all other power on the plane then went off, and after a fifteen second pause, on again. A minute later, the pilot said: "That seems to have fixed the problem," and we were off.
[Port 666] La mente de un hacker. Apunts de la conferència La mente de un hacker realitzada fa uns dies a Madrid per Jeimy Cano, de la universitat Los Andes de Colòmbia.
Secunia ofereix, des de fa pocs dies, un servei anomenat Software Inspector que ajuda a determinar la possible existència de software vulnerable al sistema. La definició que dóna Secunia és:
The Secunia Software Inspector will inspect your operating system and software for insecure versions and missing security updates. A normal inspection lasts 5-40 seconds, while a thorough inspection may take several minutes.
Feature Overview - The Secunia Software Inspector:
Detects insecure versions of applications installed
Verifies that all Microsoft patches are applied
Assists you in updating your system and applications
Runs through your browser. No installation or download is required.
The Secunia Software Inspector works by inspecting version information on your system and therefore it does not take into account if you e.g. applied a workaround to address a vulnerability.
El funcionament és ben simple: un applet Java que, prèvia autorització de l'usuari, fa una cerca dels programes instal·lats (o, si s'escull l'opció d'anàlisi en profunditat, en totes les unitats de disc) i en determina la versió i el nivell d'actualització. A continuació compara la versió amb la última publicada pel fabricant i, en cas de que tinguem una versió antiga ens avisa i ens diu que hem de fer per actualitzar-la.
L'he provat en una de les meves màquines virtuals i em mostra això:
Si marco la vulnerabilitat detectada al reproductor Flash, la informació és aquesta:
És bàsicament el que diu la descripció de Secunia: només mira la versió instal·lada i no verifica si la vulnerabilitat realment hi és... Tampoc no fa cap comprovació de la configuració del sistema operatiu (per exemple, aquesta màquina virtual no té cap antivirus instal·lat).
La revisió que fa, d'altra banda, és molt superficial. Per exemple, en aquesta màquina virtual tinc instal·lat software mooooolt antic (com el Netscape Communicator 4.8, que el necessito per emmagatzemar els certificats de seguretat en format cert7, i tots els components addicionals que inclou com ara el Real Player 8). Aquest software antic, altament insegur, no és detectat.
Però el més sorprenent és això de que el Windows està OK. Tinc instal·lat un Windows XP amb SP2, però no l'actualitzo pas i tampoc el tinc configurat per que instal·li ell sol les actualitzacions de forma automàtica; és una màquina que faig servir per provar coses i per generar els certificats el format cert7 amb el Communicator, que és la única forma que he trobat de fer-ho) així que tampoc no em preocupa massa que no estigui actualitzada.
Però una cosa es que no em preocupi el seu nivell d'actualització i l'altra que me digui que no té cap problema de seguretat. Des de la publicació del SP2 s'han descobert alguns problemes de seguretat; no molts, certament, però sí alguns... Al tauler de control d'aquesta màquina només es mostra una actualització instal·lada:
Ens trobem doncs amb un producte que ofereix el pitjor que es pot oferir: una falsa sensació de seguretat. Els usuaris que l'executin creuran que el seu sistema és segur quan en realitat té nombrosos problemes de seguretat.
Només aquells que marquin l'opció de verificació en profunditat (Enable thorough system inspection) veuran els molts i nombrosos problemes. A la mateixa màquina virtual, el que amb la verificació normal era gairebé tot verd passa a ser tot vermell:
Certament això s'acosta molt més a la realitat que no pas el primer exàmen. Aquest hauria de ser el valor per omissió de la prova per tal que l'eina fos realment útil. Però ara per ara l'únic que aconsegueix és que, amb l'exàmen per defecte, em pensi que el meu sistema és pràcticament una fortalesa.
He modificat la configuració de l'Apache per tal que explícitament comprimexi les transferències dels fitxers rss.xml, ja que això és el que consumeix més ample de banda de tota la web. Fins ara, el mod_gzip només comprimia els fitxers HTML.
El canvi consisteix en afegir aquestes dues línies:
Per cert, el canvi m'ha servit per descobrir una eina força interessant: HTTP Trace.
Espero que això no trenqui els lectors RSS... en teoria no hi hauria d'haver cap problema, ja que si no entenen els fitxers gzip no han d'enviar l'Accept-Encoding: gzip, deflate... però si teniu algun problema, m'ho diueu :) (clar que els que tinguin problemes segurament no llegiran això).
Per veure la importància de comprimir, compareu aquestes dues línies del log:
GET /rss.xml HTTP/1.1" 200 47528 mod_gzip: DECLINED:EXCLUDED
GET /rss.xml HTTP/1.1" 200 14806 mod_gzip: OK In:47816 Out:14430:70pct.
La primera línia és una petició al fitxer XML quan encara el mod_gzip no comprima els fitxers XML; la segona una petició quan el mod_gzip ja comprimeix els XML. La primera petició són 46 KB de transferència, mentre que la segona to just són 14 KB... ja que el fitxer s'ha comprimit en un 70%.
En el que portem de mes, com referència, la transferència dels fitxers XML són 716 MB... Amb el percentatge de compressió, només si la meitat de les peticions són comprimides puc estalviar uns 300 MB d'ample de banda. Si això ho multiplico per 3 és un estalvi d'un 1 GB de transferència al mes. És poca cosa, certament, però com el servidor el tinc a l'ADSL de casa, serà un estavi que s'agrairà.
Disponible, en format PDF, a versió íntegra del llibre «Handbook of Applied Cryptography» d'Alfred J. Menezes, Paul C. van Oorschot i Scott A. Vanstone (ISNB 0-8493-8523-7; cinquena impressió, agost 2001). El cotingut és:
Avui en dia llegir això no sembla res nou... però aquesta declaració surt al llibre «Memòries d'un llibreter català», d'Antoni Palau i Dulcet. Editat per la Llibreria Catalònia de Barcelona l'any 1935.
A spread model of flash worms. Estudi realitzat per un investigador del centre d'avaluació de la seguretat d'Intel on s'analitza el model de distribució que permet a un cuc que s'aprofita d'una vulnerabilitat infectar de forma ràpida a tota la població potencial. Exemples d'aquests cucs són el Sasser, l'Slammer o el Code Red.
In this work we we introduce a mathematical model for epidemics of worms using hit-list spreading technique. Flash worms to infect the whole vulnerable population. The estimated infection time shows that even heavy network worm can potentially infect large-scale vulnerable population within few seconds. Primarily the work is based on results of the work Top Speed of Flash Worms by S. Staniford et al.. We also genralize infection doubling technique used to increase a resilience of flash worms epidemics.
It took the whole day for Code Red I v2 to spread among over 350,000 Internet hosts. Slammer worm infected more than 90 percent of up to 100,000 vulnerable hosts within 10 minutes (Inside the Slammer Worm by D. Moore et al.), Witty worm infected almost all of its 12,000 victims in 45 minutes (The Spread of the Witty Worm by C. Shannon and D. Moore).
ICMPshell v0.2 permet realitzar una connexió tipus telnet amb un servidor remot, obrint un shell... La particularitat és que tot el tràfic s'envia amb el protocol ICMP, tant per a l'emissió com per a la recepció.
How does it work? The ISHELL server is run in daemon mode on the remote server. When the server recieves a request from the client it will strip the header and look at the ID field, if it matches the server then it will pipe the data to "/bin/sh". It will then read the results from the pipe and send them back to the client and the client prints the results to stdout.
By default the client and server send packets with an ICMP type of 0 (ICMP_ECHO_REPLY), however this can be changed on both the client and server side. ISHELL does not care what type you send out from the client or server end, the types do not have to match.
Online criminals will develop malware for any application that attracts large numbers of consumers and, as a result, are likely to start creating movie Trojans. When a user opens such a file in their media player, the software will automatically start downloading and installing malware or adware. A first example of such an online threat was detected earlier this month in the Realor worm that targets the Real Player.
Mobile phones too are expected to receive increased scrutiny from criminals.
(...)
McAfee's complete list of predictions for next year:
The number of password-stealing websites will increase using fake sign-in pages for popular online services such as eBay.
The volume of spam, particularly bandwidth-eating image spam, will continue to increase.
The popularity of video sharing on the web makes it inevitable that hackers will target MPEG files as a means to distribute malicious code.
Mobile phone attacks will become more prevalent as mobile devices become 'smarter' and more connected.
Adware will go mainstream following the increase in commercial Potentially Unwanted Programs.
Identity theft and data loss will continue to be a public issue – at the root of these crimes is often computer theft, loss of back-ups and compromised information systems.
The use of bots, computer programs that perform automated tasks, will increase as a tool favoured by hackers.
Parasitic malware, or viruses that modify existing files on a disk, will make a comeback.
The number of rootkits on 32-bit platforms will increase, but protection and remediation capabilities will increase as well.
Vulnerabilities will continue to cause concern fuelled by the underground market for vulnerabilities.
[ComputerWeekly] Laptop security - it's not that difficult. Una sèrie de consells, simples i bàsics, per tal d'evitar que el fet de perdre un portàtil tingui conseqüències importants a nivell de seguretat.
Firstly, introduce encryption facilities for all users handling sensitive personal data.
(...)
Secondly, introduce a risk assessment process into the reporting process for laptop losses and thefts. In the absence of any security advice, most IT helpdesks will simply replace the lost laptop with a new one. You need to establish if there was any sensitive data on the laptop or any suspicious circumstances surrounding the loss, and, if so, to conduct a damage assessment as quickly as possible.
Thirdly, monitor and analyse where and how laptops are being lost or stolen
(...)
Finally, take special action to remind staff to look after their laptops during the run up to Christmas period, when many staff are distracted and may well leave their laptops unattended in pubs, trains or offices.
El segon consell és molt important: sovint els responsables de seguretat no saben que s'ha perdut un portàtil que contenia dades importants fins que han passat alguns dies (i sovint se n'assabenten per les converses a la màquina del cafè).
[Silicon.com] Top 10 mobile designs classics. Deu telèfons mòbil que han marcat una fita pel seu disseny. De tots els telèfons que surten jo només n'he tingut un, l'Ericsson R380... una bona idea, amb un software deficient i una mala sincronització amb el PC (la qual cosa eliminava molta de la seva utilitat).
17" Wide-Aspect UltraSharp TFT Active Matrix WUXGA (1920x1200)
512MB NVIDIA GeForce Go 7950 GTX Graphics Card
Up to 100GB 7200RPM or 120GB 5400RPM SATA hard drive
8X DVD+/-RW with Dual-layer DVD+R write capability
6-USB 2.0
Em sorprèn l'absència de connexió de xarxa i suport WiFi.
I pels que voleu donar la nota, un "portàtil" amb pantalla de 20 polzades: Dell XPS M2010. És clar que, en aquest cas, un pes de 8,3 KG fa que difícil es pugui anomenar portàtil.
Details of how the Nextel bugs worked are sketchy. Court documents, including an affidavit (p1) and (p2) prepared by Assistant U.S. Attorney Jonathan Kolodner in September 2003, refer to them as a "listening device placed in the cellular telephone." That phrase could refer to software or hardware.
One private investigator interviewed by CNET News.com, Skipp Porteous of Sherlock Investigations in New York, said he believed the FBI planted a physical bug somewhere in the Nextel handset and did not remotely activate the microphone.
"They had to have physical possession of the phone to do it," Porteous said. "There are several ways that they could have gotten physical possession. Then they monitored the bug from fairly near by."
But other experts thought microphone activation is the more likely scenario, mostly because the battery in a tiny bug would not have lasted a year and because court documents say the bug works anywhere "within the United States"--in other words, outside the range of a nearby FBI agent armed with a radio receiver.
Microsoft anuncia que el proper dimarts publicarà cinc pegats per a Windows (amb valoració de crítics) i un per a Visual Studio (també crític)... però no pas per a la nova vulnerabilitat de Word malgat la constatació que s'està utilitzant en atacs.
[ComputerWorld] How Microsoft fights off 100,000 attacks per month. Es ben evident que Microsoft és un objectiu per a molts possibles atacants, tant els professionals (Microsoft és una de les empreses més profitoses del món; per tant robar informació privilegiada és un objectiu real per a molts atacants) com dels, diguem-ne... amateurs (aconseguir fer un deface de la pàgina web de Microsoft seria quelcom recordat durant força temps). Per això, és interessant conèixer com protegeix l'accés als seus sistemes. D'entrada, confirmen el volum dels atacs:
Last year, Microsoft IT said it was the target of more than 100,000 intrusion attempts per month. Currently, Microsoft filters out about 9 million spam and virus e-mails a day out of 10 million received. Yes, that means that roughly 90% of incoming e-mails are spam.
Per tal de protegir l'accés remot a la seva xarxa, Microsoft utilitza sistemes d'autenticació de doble factor
The first layer of protection for the Microsoft VPN is two-factor authentication. After an infamous incident in fall 2000, Microsoft installed a certificate-based public-key infrastructure and rolled out smart cards to all employees and contractors with remote access to the network and individuals with elevated access accounts such as domain administrators.
Two-factor authentication requires that you have something physical. In this case, it means the smart card and a password.
El segon nivell de protecció es verificant els sistemes que tenen accés a la xarxa:
The second layer of protection for the Microsoft corporate VPN is a connection "sandbox," implemented using Windows Server 2003’s Network Access Quarantine Control. Before a connected computer can access any resources on the corporate network, a program scans the computer for security.
An approved operating system must be installed, along with all critical security patches; the scanning program coordinates with Microsoft’s methods for deploying patches, such as the Microsoft Update site. In addition, Windows Firewall must be enabled. Finally, the remote computer must not be connected to any other VPNs or be using any other type of remote-access software.
També fan servir una política estricta per a les contrasenyes:
Microsoft uses what is a slightly stricter version of the standard Windows Server 2003 password policy for its own network, or perhaps I should say that Windows Server 2003 comes standard with a slightly relaxed version of the secure password policy Microsoft first deployed and vetted internally.
De sempre he preferit tenir un fons negre a les sessions de terminal. Aquesta és una tendència que em penso deu ser molt personal, ja que pràcticament totes les distribucions gràfiques de Linux per defecte configuren el terminal amb un fons clar.
Això és fantàstic si fas servir un entorn gràfic... però si, com és el meu cas, gairebé totes les màquines Linux a les que tinc accés només són en mode text i jo, per configuració, escullo un fons negre pel meu terminal, provoca situacions com aquesta:
La combinació de colors de l'editor VI fa que els resultats de les cerques siguin totalment invisibles.
Però una única línia ho soluciona tot. Només cal editar el fiter /etc/vimrc, on es troben els paràmetres de configuració de VI, i afegir: set background=dark i tot canvia, fent que el VI funcioni perfectament amb un fons negre:
Després de molt de temps, nova versió de l'script que automatitza la baixada i instal·lació dels nous fitxers de definicions de virus per a la versió Linux del McAfee Antivirus. Aquest és l'antivirus que tinc instal·lat al servidor de correu i, fins ara, estava utilitzant una versió modificada de l'uvupdate antic... que no sempre rutllava. Aquesta nova versió funciona perfectament :)
uvupdate was developed to help you to have everytime a fresh and good working virus scanning engine.
Absurdistan Gary Shteyngart. (Random House) A young American-educated Russian with an ill-gotten fortune waits to return to the United States in this darkly comic novel.
After This Alice McDermott. (Farrar, Straus & Giroux) In her effectively elliptical novel, McDermott continues to scrutinize the lives of Irish Catholics on Long Island.
Against the Day Thomas Pynchon. (Penguin Press) In Pynchon's globe-trotting tale, set (mostly) on the eve of World War I, anarchic Americans collide with quasi-psychic European hedonists and a crew of boyish balloonists, anticipating the shocks to come.
Alentejo Blue Monica Ali. (Scribner) Ali's second novel revolves around the inhabitants of a southern Portuguese village.
All Aunt Hagar's Children Edward P. Jones. (Amistad/HarperCollins) Several characters from Jones's first story collection return in this one, set mostly in Washington, D.C.
No ficció
The Afterlife. Donald Antrim. (Farrar, Straus & Giroux) Antrim's memoir reckons with his complicated grief at the death of his emotionally volatile, alcoholic mother.
America at the crossroads: Democracy, Power, and the Neoconservative Legacy. Francis Fukuyama. (Yale University) Parting ways with fellow neocons, Fukuyama censures their blunders and those of the Bush administration, and offers advice for the future.
Andrew Carnegie. David Nasaw. (Penguin Press) Nasaw's colorful biography reveals a far from conventional capitalist.
At Cannan's Edge: America in the King Years, 1965-68. Taylor Branch. (Simon & Schuster) The third volume, remarkable for its breadth and detail, in the Pulitzer Prize-winning author's history of the life and times of Martin Luther King Jr. and the civil rights movement.
Ava Gardner: "Love Is Nothing." Lee Server. (St. Martin's) A fond reckoning of her marriages, affairs, friendships and movies.
Els llibres de la sèrie Administration Handbook (aquest i el de sistemes Unix) són dos llibres que sempre he tingut ben a prop de l'ordinador. Ara acaba de sortir la segona edició del llibre d'administració de Linux (la primera edició és de l'any 2002, així que ja està bé aquesta actualització).
«Linux Administration Handbook» és un llibre pràctic pensat per a ser utilitzat com referència i com solucionador de tasques... és d'aquells llibres que mostren directament com fer les coses i no omplen les pàgines amb palla i més palla.
La primera edició del llibre utilitzava com plataformes tres variants de Linux: Red Hat, SuSE i Debian. Aquesta nova edició cobreix Red Hat Enterprise, Fedora Core, SuSE, Debian i Ubuntu... es troba a faltar Gentoo per tenir un llibre ben complet.
Què diferencia aquest llibre dels molts altres que podeu trobar sobre Linux? No dedica ni una pàgina a com instal·lar el sistema operatiu: recordeu, sou administradors de sistemes i en conseqüència ja sabeu instal·lar-lo. Aquí, trobareu coses molt més interessants com, per exemple la configuració de la xarxa amb totes les seves possibilitats, la utilització de sistemes de fitxers; la configuració dels servidors de correu, web; la configuració del suport d'impressió; tasques d'administració i manteniment del sistema; mesura i control del rendiment de l'equip; cooperació amb Windows; polítiques de seguretat i administració de la seguretat.
A més de l'edició en paper, els autors mantenen una pàgina web força completa, http://www.admin.com/ encara que a hores d'ara encara no parla d'aquesta segona edició.
En definitiva, el llibre de referència per antonomàsia sobre com fer tasques d'administració de sistemes al món Linux. Un llibre que ha de ser ben a prop del teclat i la pantalla de qualsevol administrador de sistemes. Molt recomanable.
Nemesis és una eina, amb versions per a *nix i Windows, que permet la generació de tràfic (ARP, DNS, ETHERNET, ICMP, IGMP, IP, OSPF, RIP, TCP i UDP) de forma que es pot verificar el funcionament d'eines de seguretat perifèrica com tallafocs i sistemes de detecció d'intrusions.
[SecurityFocus] Viruses go Virtual. Els efectes d'un virus a Second Life:
For about two hours, the virtual landscape of Second Life filled with golden rings and the distinctive two-tone ding of Sega's popular Sonic the Hedgehog games. The rings' listed creator was the fictional "Dr. Robotnik," a character from the Sonic games. However, the deluge of rings was not some form of cross promotion, but a viral attack of self-replicating objects, known less than affectionately as "grey goo."
You’re not the only one. Spam is back - in e-mail in-boxes and on everyone’s minds. In the last six months, the problem has gotten measurably worse. Worldwide spam volumes have doubled from last year, according to Ironport, a spam filtering firm, and unsolicited junk mail now accounts for more than 9 of every 10 e-mail messages sent over the Internet.
(...)
Three years ago, Bill Gates, Microsoft’s chairman, made an audacious prediction: the problem of junk e-mail, he said, «will be solved by 2006». And for a time, there were signs that he was going to be proved right.
(...) Spammers have effectively foiled the first strategy - analyzing the reputation of the sender - by conscripting vast networks of computers belonging to users who unknowingly downloaded viruses and other rogue programs. The infected computers begin sending out spam without the knowledge of their owners. Secure Computing, an antispam company in San Jose, Calif., reports that 250,000 new computers are captured and added to these spam «botnets» each day.
(...)Some antispam veterans are not optimistic about the future of the spam battle. «As an industry I think we are losing,» Mr. Peterson of Ironport said. «The bad guys are simply outrunning most of the technology out there today.»
This guide will walk you through the creation of an encrypted filesystem using LUKS. LUKS is the Linux Unified Key Setup and is a standard format for linux hard disk encryption. It has a lot of interesting features such as using a key on a removable disk, keeping multiple keys, and more.
[Debian/Ubuntu Tips & Tricks] How-to: Monitoring a Server with Munin. Munin és una eina, fàcil de configurar, que genera informes gràfics sobre l'activitat d'un servidor: càrrega, estat de la targeta de xarxa, ús de la CPU, ús de la memòria... tot això sense que calgui molt de temps per a la seva configuració.
OfficeCat és una utilitat, executable des de la línia d'ordres, que verifica si un fitxer d'Office conté algun exploit que fa ús de vulnerabilitats en els programes de Microsoft.
Ryan Naraine (eWeek) i Dave Aitel (OnSecurity) parlen sobre la simulació d'atacs, noves tècniques i eines per a les proves de penetració, Windows Vista...
Marshall McLuhan, the guru of The Gutenberg Galaxy (1962), recommends that the browser turn to page 69 of any book and read it. If you like that page, buy the book. It works. Rule One, then: browse powerfully and read page 69. If maps are useful, so are charts. Bestseller lists weed down the mass of available novels to the 20 or so that everybody is reading - but almost certainly will not be reading in a few months' time. The trick is not to get into the game late, but to pick the rising titles near the bottom, or to check out what is on the list of the other major English-speaking country before they arrive on your shores.
Publicades dues noves versions de GnuPG, la 1.4.6 i la 2.0.1. Es tracta d'una actualització de seguretat que elimina una vulnerabilitat que podia permetre l'execució de codi malèvol alhora de processar un fitxer/document especialment formatat. Es recomana l'actualització a aquesta nova versió.
SftpDrive és un sistema de fitxers per a Windows que permet mapejar un servidor SSH com una unitat de disc. La versió d'avaluació és operativa durant sis setmanes. Aquesta mena d'utilitats no són rares al món *nix, però al món Windows no són pas massa habituals.
[News.com] Adware sample targets Mac OS X. Un programa del tipus adware, específic per a Mac OS X. S'instal·la de forma automàtica a l'ordinador de l'usuari només visitant una pàgina web... i no necessita que l'usuari tingui privilegis d'administrador.
In theory, this program could be silently installed to your user account and hooked to each application you use. This particular sample successfully launched the Mac's Web browser when we used any of a number of applications
Malicious software that targets Mac OS X systems is rare and has been limited largely to proof-of-concept code, instead of actual attacks. However, there are indications that hackers are increasingly targeting the Mac, which experts have said is not impervious to attacks.
eEye ha iniciat un nou servei, anomenat Zero-Day Tracker, on es documenten les vulnerabilitats del tipus 0-day (vulnerabilitats per a les quals encara no hi ha pegat) que són utilitzades de forma activa en atacs o per virus i cucs.
Actualment inclou l'avís de sis vulnerabilitats 0-day a Windows Media Player, Visual Studio 2005, Windows, Internet Explorer i PowerPoint...
Microsoft avisa sobre l'existència d'una vulnerabilitat, per a la qual encara no hi ha disponible cap pegat, que afecta al Word (versions 2000, 2002, 2003, 2004 per Mac i 2004 per Mac OS X; també afecta al visualitzador de documents d'Office 2003 i al Microsoft Works 2004, 2005 i 2006). La vulnerabilitat pot ser utilitzada per atacar un sistema vulnerable on s'obri un document especialment preparat.
[News.com] FBI taps cell phone mic as eavesdropping tool. El govern dels Estats Units ha aprovat un nou mètode per tal d'investigar als membres del crim organitzat: activar remotament el micro del seu telèfon mòbil per tal d'escoltar les seves converses. Sembla de novel·la... però tot apunta a que és un sistema real!
The FBI appears to have begun using a novel form of electronic surveillance in criminal investigations: remotely activating a mobile phone's microphone and using it to eavesdrop on nearby conversations
The technique is called a "roving bug," and was approved by top U.S. Department of Justice officials for use against members of a New York organized crime family who were wary of conventional surveillance techniques such as tailing a suspect or wiretapping him.
(...)
The surveillance technique came to light in an opinion published this week by U.S. District Judge Lewis Kaplan. He ruled that the "roving bug" was legal because federal wiretapping law is broad enough to permit eavesdropping even of conversations that take place near a suspect's cell phone.
Kaplan's opinion said that the eavesdropping technique "functioned whether the phone was powered on or off." Some handsets can't be fully powered down without removing the battery; for instance, some Nokia models will wake up when turned off if an alarm is set.
(...)
The U.S. Commerce Department's security office warns that "a cellular telephone can be turned into a microphone and transmitter for the purpose of listening to conversations in the vicinity of the phone." An article in the Financial Times last year said mobile providers can "remotely install a piece of software on to any handset, without the owner's knowledge, which will activate the microphone even when its owner is not making a call."
Concretament, l'informe del Departament de Comerç del govern dels Estats Units avisa de tres vulnerabilitats de seguretat als telèfons mòbils:
Your cellular telephone has three major security vulnerabilities:
Vulnerability to monitoring of your conversations while using the phone.
Vulnerability of your phone being turned into a microphone to monitor conversations in the vicinity of your phone while the phone is inactive.
Vulnerability to "cloning," or the use of your phone number by others to make calls that are charged to your account.
[Scanit] VoIP Security - Does it exist?Els principals problemes de seguretat que pateix VoIP i que es poden utilitzar per escoltar converses, segretar converses o redirigir les trucades amb destinació a un número per tal que els rebi un altre:
The team at Scanit R&D Labs have conducted a significant amount of research into VoIP and it’s inherent vulnerabilities. Broadly, VoIP attacks can be divided into two groups: Signalling attacks and Media stream attacks. We tested the most popular SIP routers that are being used by the majority of VoIP providers and uncovered some startling results.
Signalling attacks can be used to eavesdrop on conversations and re-route or hijack calls. Due to the fact that the SIP protocol presently does not support message integrity, it is extremely easy to re-play or re-send SIP messages to the SIP registrar or proxy and have it perform functions such as adding another client to a conversation or re-routing of a call. Since SIP messages are also sent over a clear-text channel, it becomes a trivial task for an attacker to perform ARP poisoning and inspect, intercept and modify all SIP messages on the local network.
(...)
VoIP is definitely here to stay. However, the rapid deployment of VoIP has seen it progress with little or no attention given to security. While the technological advancements of VoIP have grown by leaps and bounds, security is still left behind to catch up. The vulnerabilities listed in this article are merely a small percentage. Several more vulnerabilities have presented themselves during internal tests and a large number of Proof of Concept attacks have been developed in-house.
This does not mean that larger organizations should abandon the idea of a VoIP implementation. VoIP implementations can be secured with a little effort placed during the design and implementations phases. Being fully aware of the risks involved with VoIP implementations goes a long way into understanding how to secure it.
La veritat és que mai no he tingut cap interès especial en saber qui em visitava i qui no... però ja fa temps vaig incloure el codi de Google Analytics dins del servidor. No l'utilitzava tant per saber *qui* o *quants* em visitaven, sinó per la curiositat de *com* em visitaven: quins navegadors, quins sistemes operatius, quines resolucions de pantalla, quins idiomes... i coses com aquesta.
Però amb el Google Analytics també puc saber quanta gent visita la web. Com us dic, fins ara era una dada que no consultava. Avui, amb això de rebre el xec per pagar la publicitat he tingut curiositat per conèixer les xifres. Només he mirat les del 2006. De fet, només el tinc des de desembre del 2005, així que són les úniques dades significatives.
Aquests dos gràfics mostren l'evolució de les visites que rebo a caballe.cat i a quands.cat:
Pels que vulguin nombres en lloc de gràfics, els valors són aquests:
Caballe.cat
Absolute Unique Visitors
Unique Pageviews
Visites
Gener
3.373
14.008
6.934
Febrer
3.834
12.277
7.101
Març
3.626
13.932
7.093
Abril
4.254
17.089
7.158
Maig
6.040
16.921
9.867
Juny
2.755
10.777
5.789
Juliol
2.609
11.021
5.305
Agost
3.003
12.176
5.288
Setembre
2.916
10.896
5.658
Octubre
3.217
11.893
6.255
Novembre
3.842
13.747
6.728
Quands.cat
Absolute Unique Visitors
Unique Pageviews
Visites
Gener
2.879
5.623
4.463
Febrer
1.978
4.734
3.701
Març
2.269
6.320
4.743
Abril
1.581
4.808
3.681
Maig
1.620
4.813
3.805
Juny
1.473
4.392
3.405
Juliol
1.217
3.499
2.862
Agost
1.232
3.178
2.582
Setembre
1.590
3.920
3.227
Octubre
1.836
4.713
3.483
Novembre
2.027
4.681
3.544
Les tres columnes són el nombre de visitants únics (el nombre de persones diferents que han visitat la web com a mínim una vegada al mes), el nombre de pàgines visitades i, finalment, el nombre total de visites incloent els usuaris que visiten més d'una vegada al mes.
El pic que veieu al maig és gràcies a aquest post que va ser referenciat per Boing Boing.
Bé, no sé si són moltes, poques... ni tan sols si són les visites que em mereixo... ;)
Per cert, a aquestes dades cal sumar les més de 84.000 transferències del fitxer rss.xml durant el mes de novembre.
Entre les moltes possibles classificacions que es poden fer amb els llibres, n'hi una que sempre he marcat ben clarament: els llibres de consulta i els llibres de lectura.
Les diferències són importants: els llibres de consulta no estan fets per llegir-los de cap a peus i cada secció del llibre hauria de ser totalment independent de l'altra, per permetre la seva lectura quan sigui necessari. A més, han de ser llibres àgils, d'enquadernació flexible i resistent alhora.
Un altre aspecte important és que aquests llibres han de tenir marges amplis per tal que el lector pugui escriure notes. El subratllat d'aquests llibres és important (bé clàssic, amb llapis o més modern amb els retoladors fluorescents).
Els llibres de lectura són tot el contrari. Han de ser enquadernacions elegants, amb lletra clarament impresa i d'un tipus molt llegible, per poder-los llegir en qualsevol situació (des de la butaca, al tren, la sala d'espera del metge... passant pel llit o qualsevol altre lloc on es pugui llegir).
En aquests llibres considero gairebé un sacrilegi fer-hi anotacions. Si cal marcar alguna referència s'utilitza un punt de lectura, es fa una petita marca a l'extrem del full o bé s'apunta en una llibreta apart.
La mía (entre tantas) la de subrayar mis libros, recuerdo que lo inicie como técnica de estudio y luego resultó ser una herramienta para todo (...) No ver un libro subrayado me hace sentir que nadie ha pasado por él, retomar un libro ya leído y detenerme en los subrayados me recuerda la que fui
Ahh pero muchas personas consideran eso un ultraje, aun no entiendo por que, pero el caso es que muchas veces titubeé a la hora de pasar hasta una pequeña línea de grafito
(..)
Intuyo por qué subrayo. Quizás la razón más útil del asunto es la de acumular posibles epígrafes, pero creo que es mucho más que eso. Es algo más profundo y personal. Subrayo porque necesito subrayar, porque no puedo enfrentarme a un libro sin un lapiz cerca. No subrayo la frase grandiosa o la perfecta … sino la frase que dijo lo que quería decir y no dije.
Subrayo para hacer el libro mío, para darle mi sello, para apropiarme de él. Gozo y me emociono y siento que la vida es mejor, o al menos, más calmada, cuando me enfrento a un autor que piensa como yo o siente como yo o, si bien es muy distinto a mí, somos capaces de estar de acuerdo en un par de cosas. Deduzco que subrayo aquellas frases que resumen, perfectamente, cosas que estoy pensado o he pensado. Subrayo como homenaje y celebración al autor del libro, pero también subrayo para recordar el trayecto que yo hice a través de él.
I vosaltres, de quin parer sou? Subratlleu qualsevol llibre o feu com jo que marqueu una clara distinció entre els llibres que es poden subratllar i els que no... o encara sou més radicals i ni us passa pel cap la idea de fer el més mínim senyal a l'interior d'un llibre?
[WhiteHat Security] Myth-Busting AJAX (In)Security. En diverses vegades s'ha comentat que l'adopció d'AJAX com plataforma pel desenvolupament d'aplicacions web obria unes noves vulnerabilitats, algunes explotables de forma remota i altres que obren la porta a atacs de denegació de servei. Aquest document contradiu aquesta visió, indicant que AJAX no és ni més ni menys segur que la resta de tecnologies... tot depèn de les pràctiques utilitzades i que AJAX aporta un gran benefici a la seguretat: la simplificació de les noves aplicacions web. Per tant, més simplificació, menys vulnerabilitats potencials.
Does AJAX cause a larger "Attack Surface"? No.
The term "Attack Surface" applies to a concept used to measure security by analyzing the points in a system that are open to attack. For software, these points are areas of data input and output that can be manipulated by a third-party. Obviously the smaller attack surface an application has, the easier it is to secure. What’s also obvious is that web applications, or any application, only have as much functionality (attack surface) as has been programmed in. It doesn’t matter if the user interface uses AJAX, Flash, ASCII art, or anything else. Again, AJAX is a web browser (client-side) technology. It does not execute on the server. While the coolness factor of AJAX drives developers to publicly expose more functionality - which may introduce new "server-side" vulnerabilities - this can hardly be blamed on AJAX. New code has always meant an increased risk of vulnerabilities.
Furthermore, in my experience, AJAX-enabled web applications are no more functionally complex than standard web applications. Google Maps is actually a less sophisticated application than the seemingly simple craigslist. Gmail is less complex than Outlook Web Access.
De l'informe de F-Secure... nombre de malware per a les diverses plataformes de telèfons mòbils durant aquests darrers anys:
Està clar quina és la plataforma a evitar: Symbian. Amb molta diferència és on hi ha més malware. La segona plataforma amb és malware és PalmOS (9), seguida de Windows Mobile (8). La plataforma amb menys malware és J2ME amb només dos especímens (això si, els dos de l'any 2006).
F-Secure ha realitzat un resum de l'estat de la seguretat informàtica en aquest segon semestre del 2006, del juliol al desembre. Està disponible en forma de vídeo (nombrosos formats) i també com a transcripció. Al primer semestre també van fer un vídeo semblant, que em va passar totalment desapercebut.
Els temes tractats van des del phishing a les amenaces als telèfons mòbils, passant pels principals virus i cucs, els atacs a xarxes socials, els exploits per a l'Internet Explorer, l'auge dels 0-day...
Tcpflow és un programa que captura les dades que es transmeten dins de les connexions TCP, emmagatzemant-la en una forma que facilita l'anàlisi del protocol i la depuració. És a dir, es tracta d'un sniffer que identifica els diversos paquets d'una comunicació TCP i genera una captura per a cada sessió completa.
El fiscal del Supremo Félix Herrero Abad ha elaborado un informe en el que sostiene que los servidores de Internet no tienen obligación de controlar o supervisar los contenidos de las páginas webs que alberguen. El fiscal diferencia entre un servidor de Internet y el director de un medio de comunicación, que sí responde de los contenidos. "La red informática ha sido configurada como un ámbito de libertad global que, a su vez, es salvaguarda de las libertades", dice. Asegura que los servidores sólo deben atenerse a las disposiciones de la Ley de Servicios de la Sociedad de la Información (LSSI) y de la directiva comunitaria de comercio electrónico.
El fiscal señala que la Constitución "proscribe la censura previa" y que "la libertad de expresión e información es uno de los más recios pilares en los que se asienta la democracia
(...)
El teniente fiscal de Madrid, Pedro Martínez, coincide con la Fiscalía del Supremo y va más allá: "No sólo la obligación de censura previa impuesta a los proveedores de servicios amenaza la libertad de expresión en Internet, sino también el proyecto de Ley de Sociedad de la Información, que refuerza el carácter de control sobre Internet al permitir que también sea la autoridad gubernativa quien pueda cerrar una web, perdiendo los jueces así su exclusividad en esta materia". Martínez califica el proyecto de "regresión incalificable del Estado de derecho" y recuerda "que el PP, en la pasada legislatura, se vio en la obligación de retirar una propuesta similar por entrar en colisión con el artículo 20 de la Constitución, cuyo apartado 5 señala: 'Sólo podrá acordarse el secuestro de publicaciones, grabaciones y otros medios de información en virtud de resolución judicial".
(..)
El escrito de la Fiscalía del Supremo es fruto de un recurso de la Asociación de Internautas contra una sentencia de la Audiencia de Madrid que condena a esta asociación a pagar 36.000 euros "por publicar" la página www.putasagae.org, propiedad de la plataforma de coordinación de movilizaciones contra la Sociedad General de Autores (SGAE).
Suppose you turn on your laptop while sitting at the kitchen table at home and respond OK to a prompt about accessing a nearby wireless Internet access point owned and operated by a neighbor. What potential liability may ensue from accessing someone else's wireless access point? How about intercepting wireless connection signals? What about setting up an open or unsecured wireless access point in your house or business? Attorneys can expect to grapple with these issues and other related questions as the popularity of wireless technology continues to increase.
This paper explores several theories of liability involving both the accessing and operating of wireless Internet, including the Computer Fraud and Abuse Act, wiretap laws, as well as trespass to chattels and other areas of common law. The paper concludes with a brief discussion of key policy considerations.
En l'improbable supòsit que algun dia arribi a escriure un llibre, m'agradaria que el resultat s'assemblés a «El hacker y las hormigas, versión 2.0».
Era una mica escèptic, perquè el subtítol del llibre, «La imprescindible alternativa al Criptonomicón y al Yo, Robot de Asimov», en principi espantava: el Criptonomicón no em va agradar gens ni mica, però en canvi, l'altra referència («Jo, robot») era tota una garantia.
A «El hacker y las hormigas» trobem la història d'un hacker (com deixa ben clar l'autor, en el sentit d'expert informàtic) que treballa en una empresa de robòtica i que es troba implicat dins d'una conspiració d'un abast realment insospitat al ser acusat de propagar per la xarxa una mena de virus (les formigues del títol) que ataquen la xarxa de televisió digital. El llibre es situa uns quants anys en el futur, quan la realitat virtual i la intel·ligència artificial són elements quotidians, tant en el desenvolupament de nous sistemes informàtics com en la vida de les persones.
Es tracta d'un llibre força divertit i molt entretingut de llegir... especialment si estàs treballant en el món informàtic ;)
De la contraportada
Jerzy Rugby está solo en el mundo real: se ha separado de su esposa que se ha llevado también a sus hijos. Afortunadamente, sin embargo, mantiene su trabajo como programador, como hacker en el ciberespacio. Trabaja al servicio de GoMotion Corporation en su intento de fabricar robots inteligentes capaces de autorreplicarse. Al menos cuando programa, Jerzy es feliz, completamente feliz.
Experto en vida artificial y en algoritmos genéticos, un día Jerzy descubre con horror que su estación de trabajo está infestada de hormigas. Unas hormigas que Jerzy conoce muy bien ya que él mismo ha ayudado a desarrollarlas para su jefe Roger Coolidge.
Además, gracias a la absurda intervención del robot de Jerzy, el prototipo Studly, ese nuevo y temible virus fórmico, acaba invadiendo el sistema de televisión digital y deja sin emisión a todo el mundo. Como era de esperar, la justicia considera responsable a Jerzy. La loca aventura de un hacker con todo tipo de problemas está servida.
Prefaci del llibre
Terminé la primera versión de «El hacker y las hormigas» a principios de 1993. En ese momento, había sido recientemente despedido después de tres agradables años de trabajo en la empresa Autodesk, Inc.
Vale la pena mencionar que en Silicon Valley, la palabra «hacker» a menudo se sigue usando en el sentido original de «un programador fanáticamente consagrado e inventivo» en lugar del sentido moderno y corrupto de «criminal informático». El protagonista de «El hacker y las hormigas» se corresponde en general con el primer sentido, con sólo algún toque del segundo.
Las «hormigas» del título se inspiraron en un programa llamado boppers.exe que escribí para Autodesk. El programa se diseñó para demostrar los principios de la vida artificial, y ahora está disponible gratuitamente en www.rudyrucker.com. El programa muestra bichos artificiales que evolucionan y mejoran en sus labores. ¿Qué tipo de labores? En uno de los ajustes del programa, las hormigas rojas intentan entrar en los senderos de las hormigas verdes y evitar los senderos de las hormigas azules. No es como diseñar robots industriales, pero es un comienzo.
Siendo fieles al espíritu mañoso del hacker, he revisado profusamente «El hacker y las hormigas» para su reedición por parte de Four Walls Eight Windows. Parece razonable definir esta edición como «Versión 2.0».
Un cambio ha consistido en retirar cualquier anacronismo que hiciera que el libro pareciese ambientado en el siglo XX y no en el XXI. Considerando que las ideas fundamentales del libro son futurísticas, quería que al menos fuese contemporáneo.
Un segundo cambio consistía en clarificar las descripciones sobre cómo hacer evolucionar mejores robots. Al hacerlo, me aproveché de las útiles sugerencias de mi amigo John Walker. Sin embargo, no hice uso de todas las ideas de John; cuando hayas terminado de leer «El hacker y las hormigas», quizá disfrutes leyendo el final alternativo al libro que ha colgado de su sitio web http://www.fourmilab.ch/documents/hackants13.html.
Un tercer grupo de cambios se refieren a convertir Jerzy Rugby en una persona más agradable y dotarle de una vida emocional más coherente. Pero no esperes demasiado en lo que se refiere a consciencia de sí mismo: Jerzy sigue siendo un hacker.
Un cambio final consistió en añadir una frase para indicar el cambio que lleva desde los robots de El hacker y las hormigas hasta los robots de mi novela Software.
Títol: «El hacker y las hormigas, versión 2.0» («The Hacker and the Ants») Autor: Rudy Rucker Traductor: Pedro Jorge Romero 1a edició - Octubre 2006 285 pàgines ISBN 84-96575-25-x
Cain & Abel 4.2 és una excel·lent eina per a la recuperació de contrasenyes a la plataforma Windows. Permet recuperar les contrasenyes tot capturant el tràfic de la xarxa, aplicant la força bruta amb un diccionari, realitzant criptoanàlisi, enregistrant converses VoIP, analitzant els protocols de routing...
The latest version is faster and contains a lot of new features like APR (Arp Poison Routing) which enables sniffing on switched LANs and Man-in-the-Middle attacks. The sniffer in this version can also analyze encrypted protocols such as SSH-1 and HTTPS, and contains filters to capture credentials from a wide range of authentication mechanisms. The new version also ships routing protocols authentication monitors and routes extractors, dictionary and brute-force crackers for all common hashing algorithms and for several specific authentications, password/hash calculators, cryptanalysis attacks, password decoders and some not so common utilities related to network and system security
New Feauteres:
Cain's MitM NTLM Challenge Spoofing. (Requires APR to be active and a MitM condition between victim hosts). You can now spoof server challenges in NTLM authentications; this feature enables the use of RainbowTables for cracking network hashes. WARNING !!! Enabling Challenge Spoofing cause users to fail authentications so use it carefully.
NTLM Session Security authentications downgrade to LM&NTLMv1. The following protocols are supported: SMB, DCE/RPC, TDS, HTTP, POP3, IMAP, SMTP.
LM + spoofed challenge Hashes Cryptanalysis via Sorted Rainbow Tables.
HALFLM + spoofed challenge Hashes Cryptanalysis via Sorted Rainbow Tables.
NTLM + spoofed challenge Hashes Cryptanalysis via Sorted Rainbow Tables.
New types of RainbowTables have been added to Winrtgen v2.3. "lmchall" and "ntlmchall" tables can be used against LM and NTLM response hashes for spoofed challenges (default: 0x1122334455667788). "halflmchall" tables can be used against the first 8 bytes LM response hashes for spoofed challenges to recover the first 7 characters of the original password.
A critical vulnerability has been identified in Adobe's Acrobat and Reader software which affects Internet Explorer users.
As well as causing crashes, the frailty could allow a botnet to take control of the whole computer when a PDF is opened within Explorer.
The hole is present in Acrobat Standard and Professional versions 7.0.0 to 7.0.8, and Adobe Reader 7.0.0 to 7.0.8. Only Microsoft's browser is vulnerable.
Adobe encara no ha publicat cap pegat per eliminar aquesta vulnerabilitat, però sí unes indicacions per impedir-ne la utilització
The following workaround will prevent these vulnerabilities from occurring in Adobe Reader 7.0.X on Windows using Internet Explorer:
Exit Internet Explorer and Adobe Reader.
Browse to <volume>:\Program Files\Adobe\Acrobat 7.0\ActiveX. Note: If you did not install Acrobat to the default location, browse to the location of your Acrobat 7.0 folder.
Select AcroPDF.dll and delete it.
NOTE: This workaround will prevent PDF documents from opening within an Internet Explorer window. After applying this workaround, clicking on PDF files within Internet Explorer will either open in a separate instance of Adobe Reader or the user will be prompted to download the file, which can then be opened in Adobe Reader. This workaround may disrupt some enterprise workflows and use of PDF forms.
Avui han començat les emissions de la nova etapa del Canal 33, el Canal 33 Digital. Per primera vegada hi ha un canal de televisió "no convencional" i prou interessant. Avui s'han passat el dia emeten concerts (com el de Serrat, quan he fet la foto)... però el més interessant comença dilluns, amb el programa Cànon que emetrà documentals de forma temàtica: els dilluns sobre religió, història, mitologia, llegendes i filosofia; els dimarts sobre arts plàstiques, arquitectura; els dimecres sobre música, estils i història de la música; els dijous sobre literatura i autors; els divendres sobre arts escèniques i cinema.
Per quina raó no hi ha webs on es parla de tecnologia i en català... i les que hi ha són projectes mig morts, desèrtics o ben morts del tot?
Cat-Linux fa ben bé un any que no s'actualitza; Puntbarra va estar nou mesos en silenci i, un cop ressuscitat, és gairebé com si no hi fos: la última notícia publicada té més de dos mesos i el ritme de publicació és ben pobre: no es estrany haver d'esperar setmanes o mesos entre noticia i noticia.
Fa uns dies vaig conèixer l'existència de La Tafanera que, d'entrada feia pensar en la possibilitat de tenir un lloc actualitzat. Però aquesta impressió ha durat ben poc: ara, per exemple, està mostrant en portada notícies de fa 10, 7, 6, 8 dies... i les més noves tenen més d'un dia.
Hi ha alguna web tecnològica que mostri notícies de forma actualitzada?
PowerShell Documentation Pack és la documentació oficial del PowerShell, el nou intèrpret d'ordres de Microsoft per a Windows. Inclou la guia d'inici, la guia d'usuari i la guia de referència ràpida. Encara no m'he mirat massa les possibilitats de PowerShell, però pel poc que he vist sembla ser un intèrpret d'ordres força potent.
Només en sis mesos, els passatgers dels taxis de Washington-Baltimore s'han oblidat de 6.102 telèfons mòbils mentre que a San Francisco (Oakland) van perdre 2.754 telèfons.
Molts d'aquests telèfons no són mai reclamats.
La PDA és el segon dispositiu habitualment oblidat: els darrers sis mesos, 2.260 a Washington-Baltimore i 306 a San Francisco.
Per les PDA els usuaris si que acostumen interès en la seva recuperació: 93% dels usuaris de Washington-Baltimore i 78% a San Francisco.
Pel que fa als portàtils, en aquests darrers sis mesos s'han oblidat 339 a Washington-Baltimore per només 8 a San Francisco.
El 100% dels portàtils han pogut ser recuperats pels seus propietaris.
La notícia és de fa ara un mes, però no per això és important: Emirates to allow in-flight mobile phone service. A partir del proper gener, es podrà utilitzar el telèfon mòbil dins de l'avió, tant per fer trucades com per rebre missatges (espero que també per accedir a Internet i al correu electrònic).
La mesura no és automàtica, atès que cal instal·lar un sistema de protecció als avions per evitar les interferències. El primer avió d'Emirates serà un Boeing 777 i poc a poc s'anirà ampliant a tots els avions de la flota.
Hi ha limitacions, però:
Mobile phones will only be used at cruise altitude, like in the case of other electronic devices, while cabin crew will have full control over the system.
"The number of calls that may be made at any one time is also limited to a maximum of five or six calls, the same number as for the current in-seat phones used regularly by Emirates' passengers," the statement added.
The service will also allow passengers to send and receive text messages, with charges in line with international roaming rates.
Les tairfes, com s'indica... trucades internacionals.
Relacionada amb aquesta notícia, Mobile calls allowed on half of all airlines by 2008: a mitjans del 2008, el 59% de les companyies aeries ja permetran l'ús del telèfon mòbil. Les primeres europees són Air France, TAP i Ryanair.
Tot això ho trobareu molt més ampliat a l'informe: Airline IT Trends Surveyon s'explica com la introducció de la tecnologia està afectant al funcionament de la indústria aeronàutica: el 89% de les companyies ja ofereixen bitllets electrònics, es facilita el checkin electrònic bé amb sistemes tipus caixer o bé a través de pàgines web.
[Then Register] Email pioneer says breakthrough was too much trouble. Entrevista a Eric Allman, autor del Sendmail... on afirma que, si hagués conegut tota la feinada que calia fer, no hauria començat a treballar-hi.
To be honest if I had known how much work it would have been I would probably never have agreed to do it. It was harder to write than I expected. Most people who have worked on this sort of thing say the same; it looks deceptively easy till you actually get in to try and do it
[Howto Forge] LDAP Authentication in Linux. Una guia howto que mostra com emmagatzemar els usuaris d'un sistema Linux dins d'un directori LDAP.
This howto will show you howto store your users in LDAP and authenticate some of the services against it. I will not show howto install particular packages, as it is distribution/system dependant. I will focus on "pure" configuration of all componenets needed to have LDAP authentication/storage of users. The howto assumes somehow, that you are migrating from a regular passwd/shadow authentication, but it is also suitable for people who do it from scratch.
The 23rd Chaos Communication Congress (23C3) is a four-day conference on technology, society and utopia. The Congress offers lectures and workshops on a multitude of topics including (but not limited to) information technology, IT-security, internet, cryptography and generally a critical-creative attitude towards technology and the discussion about the effects of technological advances on society.
The Chaos Communication Congress is the annual congress of the Chaos Computer Club e.V. (CCC). The Congress has established itself as the "European Hacker Party" bringing in people from all over Europe and even further away.
The congress not only addresses the techno geek but also those who are interested in appliances and aftermathes. A part of the lectures will be held in English, the rest in German. The language used for each lecture is clearly marked in the conference program.
L'adaptació cinemotogràfica de la novel·la Eragon ja té data: el proper 15 de desembre i en català. Podeu baixar-vos el cartell de la versió catalana i veure els nous trailers. De moment, promet força.
El CyLab de la universitat Carnegie Mellon ha publicat l'estudi Phinding Phish: An Evaluation of Anti-Phishing Toolbars, una comparativa de les barres d'eines per a la detecció d'atacs phishing que tant han proliferat durant els últims anys. L'estudi analitza el comportament de les barres més populars (Cloudmark, EarthLink, eBay, GeoTrust, Google, McAfee, Netcraft, SpoofGuard) així com les funcions dels navegadors (Internet Explorer 7, Netscape 8.1) per tal d'avaluar la seva utilitat alhora d'avisar a l'usuari d'un possible atac phishing. L'estudi es centra tant en el seu funcionament con en la usabilitat.
La conclusió es prou aclaridora: les millors només són capaces de detectar un 75% dels llocs i quatre de les barres d'eines ni tan sols arriben a detectar-ne la meitat.
En definitiva, que són més aviat unes eines ben poc útils.
SANS Institute ha publicat una checklist de seguretat per a Mac OS X. Ofereix una sèrie de passos a realitzar tant per realitzar una auditoria de seguretat del sistema operatiu com per saber quines opcions de seguretat hi ha disponibles per tal d'enfortir-ne la seguretat.
Tracta temes sobre:
Seguretat dels comptes d'usuauri
Preferències de sistema relatives a la seguretat
Protecció del sistema i les dades
Integritat del sistema
Protecció contra virus
Serveis de xarxa
També indica quines són les tasques habituals que cal realitzar per tal de garantir-ne la seguretat .
The Internet is a seemingly limitless source of information. It provides the power of collective knowledge and information to a vast array of users who access innumerable resources for countless reasons. These resources are typically accessed by using a human readable name designed to be easily remembered, thus increasing the usability of the resource. These human readable names, as the very term implies, are for the sake of the human users. Network devices, however, find each other by using a number, referred to as IP (Internet Protocol) addresses. The Domain Name System is the service that maps the human readable names to device specific IP addresses creating the user friendly nature of networked systems.
The Internet and millions of other networks are dependent upon the functionality of the Domain Name System. DNS is a complex, hierarchical system of distributed databases which are dependent upon each other to respond to queries by network users. The failure of this system at any level has crippling effects on network access. An infiltration of the DNS system can lead to disastrous consequences by directing unsuspecting users to network locations that are designed to steal their valuable information. Given the interconnected nature of economic, military and political communications, protecting this DNS structure from threats has taken on a new level of significance. BIND is the standard DNS server used on Linux and Unix systems. This document will first present an overview of the DNS architecture and name resolution process as well as describe common threats to DNS. Finally this document will outline some of the defensive configurations that can be implemented in BIND to help protect against some of these common threats.
[Heise Security] 
Ahir vaig rebre la còpia del nou disc de Van Morrison, «Live at Austin City Limits Festival». L'he escoltat dues vegades i realment es tracta d'un gran disc... dels bons discos de música en directe que ha fet en Van Morrison.
Fa uns dies 
Aquesta serà, de ben segur, una tendència que cada vegada es farà més popular durant l'any 2007 i que, amb tota probabilitat, serà un autèntic estàndard a finals d'any.
Aquest nadal porta la mala notícia de la mort de 
El meu Firefox s'acaba d'actualitzar automàticament a la 
Pel que fa al Thunderbird, s'ha publicat la 
![Apple ][](http://caballe.cat/media/2006/12/appleII.jpg "Apple II")
Els autors del llibre «
El CERT disposa d'una col·lecció de podcats anomenada «
Publicades dues noves versions de 
En l'improbable supòsit que algun dia arribi a escriure un llibre, m'agradaria que el resultat s'assemblés a «El hacker y las hormigas, versión 2.0».
Una càmara fotogràfica que, externament, sembla un encenedor Zippo... i de la marca Zippo.
La notícia és de fa ara un mes, però no per això és important: ![Apple ][](http://en.wikipedia.org/wiki/Image:Apple-II.jpg){kind=link}
