Weblog d'en Xavi Caballé «En la fèrtil, rica e deleitosa illa d'Anglaterra habitava un cavaller valentíssim, noble de llinatge e molt més de virtuds» «Tirant lo Blanc» de Joanot Martorell
Segurament això és una cosa que no preocupa a la majoria d'usuaris, que confien cegament en la configuració per defecte o creuen, erròniament, que és un problema que no els afecta en absolut (al cap i a la fi, qui voldrà entrar a la meva xarxa Wi-Fi?). Però aquells que alguna vegada s'han enfrontat a configurar la seguretat el seu punt d'accés, el més probable és que hagin desistit o hagin passat hores i hores intentant determinar com configurar correctament tots aquests mots tan rars que apareixen a la pestanya de seguretat de la configuració del punt d'accés.
Una de les últimes novetats presentades per la Wi-Fi Alliance, l'organisme responsable de l'especificació Wi-Fi, és l'especificació "Wi-Fi Protected Setup", pensada per estandarditzar i simplificar la forma en la qual es configura la seguretat de les connexions sense fil. Mitjançant aquesta especificació es garanteix que la configuració per defecte inclourà totes les característiques de seguretat correctament habilitades, eliminant tota la complexitat de configuració del costat de l'usuari.
El més important de Wi-Fi Protected Setup, és que està pensada no sols per protegir les comunicacions d'ordinadors. També permet i simplifica la configuració de qualsevol altre dispositiu que es connecti de forma sense fil, des d'impressores a càmeres de fotos.
Què fa Wi-Fi Protected Setup?
En el moment de connectar el dispositiu, l'usuari ha d'introduir un PIN o prémer una combinació de botons per activar la configuració. La resta de paràmetres són generats de forma automàtica, de manera que l'usuari no ha d'establir ni l'identificador de xarxa (SSID) ni la contrasenya per al xifrat de les comunicacions.
Wi-Fi Protected Setup és un important avenç en dos sentits: en primer lloc, garanteix la configuració de la seguretat de les comunicacions, utilitzant WPA2 o WPA. El segon avantatge és que elimina tota la complexitat de la connexió i la presa de decisions per part de l'usuari.
Actualment Wi-Fi Protected Setup està disponible com a certificació opcional per als protocols 802.11 a b i g. Alguns fabricants ja han obtingut les primeres certificacions, per la qual cosa segurament en pocs mesos ja podrem començar a utilitzar els primers equips, una vegada hagin entrat en els circuits de fabricació en sèrie i distribució en massa. També existeix la intenció d'ampliar l'especificació per cobrir el protocol 802.11 n (tant en el preestàndard previst per a aquest any com en l'estàndard final, disponible durant el 2008).
BackupPC és una potent eina especialitzada en la realització de còpies de seguretat de les estacions de treball i ordinadors portàtils, emmagatzemant-la en un servidor. Dóna suport a Linux i Windows. Les seves prestacions són realment interessants:
A clever pooling scheme minimizes disk storage and disk I/O. Identical files across multiple backups of the same or different PCs are stored only once resulting in substantial savings in disk storage and disk I/O.
One example of disk use: 95 latops with each full backup averaging 3.6GB each, and each incremental averaging about 0.3GB. Storing three weekly full backups and six incremental backups per laptop is around 1200GB of raw data, but because of pooling and compression only 150GB is needed.
Optional compression support further reducing disk storage. Since only new files (not already pooled) need to be compressed, there is only a modest impact on CPU time.
No client-side software is needed. The standard smb protocol is used to extract backup data on WinXX clients. On linux clients, tar over ssh/rsh/nfs is used to backup the data. With version 2.0.0, rsync is also supported on any client that has rsync or rysncd.
A powerful web (http/cgi) user interface allows administrators to view log files, configuration, current status and allows users to initiate and cancel backups and browse and restore files from backups.
A full set of restore options is supported, including direct restore (via smbclient, tar, or rsync/rsyncd) or downloading a zip or tar file.
Supports mobile environments where laptops are only intermittently connected to the network and have dynamic IP addresses (DHCP).
Flexible configuration parameters allow multiple backups to be performed in parallel, specification of which shares to backup, which directories to backup or not backup, various schedules for full and incremental backups, schedules for email reminders to users and so on. Configuration parameters can be set system-wide or also on a per-PC basis.
Users are sent periodic email reminders if their PC has not recently been backed up. Email content, timing and policies are configurable.
Tested on Linux, Freenix and Solaris hosts, and Linux, Win95, Win98, Win2000 and WinXP clients.
Detailed documentation.
Open Source hosted by SourceForge and freely availble under GPL.
Cal indicar que BackupPC és un sistema per a la realització de còpies de seguretat basat en fitxers i no fa imatges de les particions.
BackupPC està escrit en PERL i utilitza SAMBA per connectar via SMB i tar (encapsulat en ssh, rsh o nfs) o rsync per connectar amb els sistemes Unix. És robust, de confiança i força documentat.
La segona novel·la publicada per Carlos Ruiz Zafón es situa a la ciutat de Calcuta, l'any 1932. És una història on es barreja la intriga amb el misteri i els fenòmens sobre naturals.
Un grup de joves que viu dins d'un internat per a orfes viuen els seus últims dies abans de separar-se. Acaben de fer els setze anys i han de sortir de l'orfenat. Però un d'ells té aquest dia marcat, sense saber-ho, des del mateix moment del seu ingrés.
Arran de conèixer a una noia, durant la última celebració que fan encara a l'orfenat, tota una sèrie d'esdeveniments increïbles. Tot això posarà al grup a prova i només la gran amistat i germanor existent els permetrà continuar endavant.
La narració es d'aquelles que, com passa amb les altres novel·les de Ruiz Zafón, ràpidament enganxa al lector dins de la història. Malgrat ser considerada com una novel·la juvenil, és ben apte per a tots els públics. No és la seva millor novel·la, però permet passar una estona prou agradable.
De la contraportada:
Calcuta 1932: El cor de les tenebres. Un tren en flames travessa la ciutat. Un espectre de foc sembra el terror en les ombres de la nit. Però això només és el començament. El dia abans de complir setze anys, Ben, Sheere i els seus amics s'hauran d'enfrontar al més terrible i mortífer enigma de la ciutat dels palaus.
Títol: «El palau de la mitjanit» («El Palacio de la Medianoche») Autor: Carlos Ruiz Zafón Traducció: Pau Joan Hernández 1a edició - juny 2006 Editorial Planeta ISBN 84-9708-176-5
WFetch és una eina per ajudar a solucionar problemes de connectivitat entre servidors web (en plataforma Windows) i navegadors, tot mostrant la informació transmesa i les respostes dels servidor i els clients.
The following features are available in the current version of WFetch:
Multiple HTTP verbs (GET, HEAD, PUT, DELETE, TRACE, POST, OPTIONS)
Un dilema que tenim molts: si no fem servir la mateixa contrasenya a tot arreu, aleshores mai no la recordem... però, com podem utilitzar la mateixa contrasenya i sentir-nos segurs? Què passa si la nostra contrasenya única es divulga o algú la coneix?
La solució simple: utilitzar una contrasenya diferent a cada web i fer servir alguna mena de gestor per emmagatzemar-la... però això té el perill que si perdem el gestor (o estem lluny de casa) aleshores no tenim accés a la contrasenya.
Una altra solució: la mateixa contrasenya a tot arreu, però xifrada en funció del lloc on la fem servir.
Això és el que fa PwdHash. Agafa la contrasenya i la xifra amb el nom de domini. D'aquesta forma, la mateixa contrasenya és, aparentment, totalment diferent per a cada web. I nosaltres només cal que recordem una única contrasenya.
PwdHash està disponible en forma d'extensió per al Firefox, amb versions beta per a l'Internet Explorer 6, Internet Explorer 7 i Opera, però també com una pàgina web a la que hi podem accedir des de virtualment qualsevol lloc.
[Skrentablog] The joy of the hack. Ja fa vint-i-cinc anys del primer virus, l'Elk Cloner. Per quina raó el va escriure el seu autor?
A reporter just called me and wanted to talk about my virus, Elk Cloner, that I wrote back in 1982, when I was in the 9th grade. Apparently it's the 25th anniversary of the virus and since I wrote the first one she wanted my thoughts.
(...)
The essence of the hack isn't just realizing you can use a system in a new, unexpected way. It's getting a disproportionate effect from your effort. It's catalyzing potential energy stored in the system.
Dilluns vinent, a les 19.00 hores a l'FNAC de Plaça Catalunya
Durante cuatro días, los blogs serán los protagonistas en el Fórum. El lunes 29 averiguaremos hacia dónde va la blogoesfera con Marta Peirano (La Petite Claudine), José Cervera (Retirario), Ignacio Escolar (Escolar.net) -autores de tres de los blogs españoles más visitados-, y el lingüista, escritor y editor José Antono Millán, blogger de "El futuro del libro", el único de la blogoesfera hispana esponsorizado por Google
In general terms, DeltaCopy is an open source, fast incremental backup program. Let's say you have to backup one file that is 500 MB every night. A normal file copy would copy the entire file even if a few bytes have changed. DeltaCopy, on the other hand, would only copy the part of file that has actually been modified. This reduces the data transfer to just a small fraction of 500 MB saving time and network bandwidth.
Unlike "rsync", DeltaCopy is a only available for Windows and is tighly integrated with services available only on Microsoft platforms (NT4, XP, 2000 & 2003). Here is a list of features
Incremental backup - Copies part of the file that is actually modified
Task scheduler - Profiles in DeltaCopy can run based on a schedule
Email notification - Administrators can receive email confirmation on successful as well as failed transfers
One-click restore - Backed up files can be easily restored.
Windows friendly environment - No need to manually modify configuration files or play around with command line options.
NSI Security NewsWatch, a roundup of news, trends and issues of concern for busy security professionals. This complimentary news service is distributed twice each month. Please share this e-mail with your colleagues and encourage them to sign up to get their own copy at http://nsi.org/newswatch.html
El proyecto de reforma del Código Penal (CP) levanta ampollas en la comunidad hacker, por la criminalización sin condiciones del acceso no autorizado a sistemas informáticos. El texto, publicado en el Boletín Oficial de las Cortes Generales, destaca porque usa por primera vez la palabra hacker, pasando por delante del Diccionario de la Real Academia, aunque no la define
(...)
La propuesta avisa contra "las intrincadas vías tecnológicas que permiten violar la privacidad o reserva de datos contenidos en sistemas informáticos" y afirma: "Esta preocupante laguna, que pueden aprovechar los llamados hackers, ha aconsejado incorporar al artículo 197 un nuevo apartado". Este apartado propone hasta dos años de prisión para quien acceda sin autorización a "datos o programas informáticos contenidos en un sistema informático o en parte del mismo", siguiendo la Decisión Marco 2005/222/JAI de la UE, que dice: "Al menos en los casos que no sean de menor gravedad", coletilla que obvia el proyecto español.
Generating Policies for Defense in Depth. Per defense in depth s'entén l'aplicació de diverses mesures de seguretat, en diversos entorns i sistemes de seguretat, que siguin redundants per tal de prevenir possibles forats de seguretat originats per una configuració errònia o una vulnerabilitat específica en una de les capes de protecció pugui ser evitada per la resta de proteccions.
Coordinating multiple overlapping defense mechanisms, at di ering levels of abstraction, is fraught with the potential for miscon guration, so there is strong motivation to generate policies for those mechanisms from a single speci cation in order to avoid that risk.
This paper presents our experience and the lessons learned as we developed, validated and coordinated network communication security policies for a defensein- depth enabled system that withstood sustained red team attack. Network communication was mediated by host-based rewalls, process domain mechanisms and application-level security policies enforced by the Java Virtual Machine. We coordinated the policies across the layers using a variety of tools, but we discovered that, at least for defense-in-depth enabled systems, constructing a single speci cation from which to derive all policies is probably neither practical nor even desirable.
Ahir CanalPDA va publicar la versió original de l'article sobre WiFi i la salut. I l'error tenia una pífia de campionat, totalment atribuïble a mi i en cap cas a CanalPDA.
Mentre l'escrivia, el subconscient em va trair i vaig escriure justament el contrari d'allò que volia dir. Així vaig escriure «en los últimos meses se ha confirmado, por primera vez utilizando estudios científicos metódicos, que las emisiones de radiofrecuencias emitidas por algunos dispositivos tales como los hornos microondas y los teléfonos móviles pueden ser potencialmente cancerigenas».
Això és absolutament fals i erroni! Fins ara si alguna cosa s'ha demostrat es la manca d'una relació causa-efecte entre les emissions electromagnètiques del telèfons mòbils i l'aparició de càncer. De fet si continueu amb l'article, expreso la necessitat de tenir més dades abans de poder treure'n conclusions.
Vull demanar disculpes als que han llegit la versió original de l'article i, especialment, a tothom de CanalPDA. L'error és únicament responsabilitat meva.
Malgrat que els últims estudis científics confirmen que no n'hi ha una relació causa-efecte entre les emissions de radiofreqüències i el càncer, hi ha encara una certa tendència a pensar que l'exposició contínua a fonts d'emissió com els telèfons mòbils pot tenir efectes perjudicials per a la salut.
Per efecte domino, les limitacions que van començar a imposar-se a les instal·lacions utilitzades per la telefonia mòbil s'estan aplicant també a altres fonts de radiofreqüències, entre elles les utilitzades per a les comunicacions sense fil (WiFi)
Així, al Regne Unit han començat a prohibir-se la instal·lació de dispositius WiFi en determinades ubicacions, especialment aquelles que són freqüentades per nens.
Els efectes sobre la salut es van tenir en compte en el moment de realitzar l'especificació WiFi. En general es considera que la reduïda potència utilitzada així com el fet que la transmissió no és permanent, fa que els seus efectes sobre la salut puguin considerar-se pràcticament innocus. Així, per exemple, una persona que treballi un any al costat d'un punt d'accés d'una xarxa WiFi rep una quantitat d'energia similar a la rebuda per 20 minuts de conversa amb un telèfon mòbil.
No obstant això, totes aquestes dades tenen, encara avui, pocs estudis científics que els avalin. Són necessàries més dades per poder aconseguir un ús responsable de les radiacions electromagnètiques, reduint al màxim els efectes possibles o reals sobre la salut de les persones i realitzant les correccions necessàries per eliminar tots aquells efectes perniciosos.
Del 25 de gener al 25 de maig hi ha l'exposició «Per bruixa i metzinera. La cacera de bruixes a Catalunya (s. XV-XVII)» al Museu d'Història de Catalunya, al Palau de Mar de Barcelona.
L'exposició està dedicada al fenomen de la cacera de bruixes, que tant a Catalunya com a la resta d'Europa es va viure, amb cronologies i intensitats variables, entre els segles XV i XVII. La història de la cacera de bruixes constitueix un tema de gran modernitat historiogràfica, vinculat a corrents actuals com la història de les mentalitats i de la cultura popular, la història de les dones, la microhistòria o la història com a narrativa.
La mostra dóna el protagonisme a les víctimes anònimes de la persecució, tot revelant la càrrega de misogínia que s'hi amagava al darrere, i trenca alguns tòpics estesos en l'imaginari comú sobre la cacera de bruixes, com el de la Inquisició, ja que van ser sobretot eclesiàstics els que van encapçalar les protestes contra la cacera de bruixes.
«Scripting News» potser no va ser el primer weblog (hi ha qui afirma que altres weblogs són més antics), però és prou important per dues raons:
«Scripting News» va definir allò que posteriorment s'anomenaria weblog i ho va fer d'una forma intencionada. Altres pàgines web tenen el mateix principi dels weblogs, però no era el seu objectiu... Posats a dir, el primer weblog va ser la primera pàgina web del Tim Berners-Lee que, segons explica al «Weabing the web» no era massa diferent a allò que avui entenem com a weblog.
No hi ha cap altre weblog que hagi influït tant en la resta de weblogs com «Scripting News»... Jo mateix em declaro absolutament deudor de l'herència de pensament creada per Dave Winer.
Com ja us vaig dir, aquest dimecres aprofitant que en JJ és per Barcelona hem quedat uns quants per fer-la petar i anar a sopar.
El lloc de trobada és la cafeteria de l'Ateneu Barcelonès, al carrer de la Canuda número 6 dimecres 24 a les 20.30 hores. Allà hi serem una estona xerrant i després, pels voltants de les 21.30 o una mica més tard, anirem a sopar pels voltants.
[Slashdot] Netscape Dumps Critical File, Breaks RSS 0.9 Feeds. Un nou exemple de com moltes implementacions tenen autèntics talons d'aquil·les. L'especificació RSS 0.91 inclou la referència a un DTD que es troba als servidors de Netscape. Bé, algú de Netscape va fer neteja dels servidors web i va pensar que el fitxer ja no era necessari, esborrant-lo. Resultat: nombroses fonts RSS van deixar de ser operatives.
[SearchSecurity] Ten dos and don'ts for secure coding. Quins són els principals errors de programació que originen vulnerabilitats potencials de seguretat i com evitar-los. A més a més, inclou aquesta checklist pensada per als programadors.
Security practitioners should understand how developers introduce security vulnerabilities into applications and work to support the developers in improving code quality and security. Encouragement and support for improvement must be a fundamental part of the charter of the security organization. The first step is to understand the kinds of mistakes that contribute to vulnerabilities. Let's review some common, fundamental dos and don'ts for secure coding.
Canada, the largest source of wood pulp for the UK paper industry, was the first nation to promote large-scale green publishing in 2003, when Rainforest Books in Vancouver printed J K Rowling's Harry Potter titles on 100 per cent recycled paper. Greenpeace is working on a campaign to persuade more publishers to do the same. Two hundred authors worldwide, including Helen Fielding, Philip Pullman and Ian Rankin, have signed up.
This report was developed by the Technical Working Group for the Investigation of High Technology Crimes and is intended to be a resource for individuals responsible for investigations involving the Internet and other computer networks. It is one of a series of electronic crime investigation documents already published or in development by the National Institute of Justice (NIJ). The guides are developed by technical working groups that consist of practitioners and subject matter experts brought together by NIJ to help law enforcement agencies and prosecutors deal with the growing volume and complexity of electronic crime.
The series of guides will discuss the investigation process from the first responder, to the laboratory, to the courtroom. Specifically, the guides will address:
Electronic crime scene investigation by first responders.
Forensic examination of digital evidence.
Internet and network investigations.
Investigative uses of technology.
Courtroom presentation of digital evidence.
Development of a digital evidence forensic unit.
The recommendations presented in this guide are not mandates or policy directives and may not represent the only correct course of action. The guide is intended to be a resource for those who investigate crimes related to the Internet and other computer networks. It does not discuss all of the issues that may arise in these investigations and does not attempt to cover traditional investigative procedures.
[ComputerWorld Security] The Surprising Security Threat: Your Printers. Malgrat que el Blaster ja va demostrar que les impressores podien audar en la transmissió de determinats cucs, encara avui en dia pràcticament no se'ls hi dóna cap mena d'importància alhora de considerar la seguretat d'una xarxa.
In essence, networked printers need to be treated like servers or workstations for security purposes — not like dumb peripherals.
At the Black Hat conference in Las Vegas in August, O’Connor delivered a blow-by-blow presentation on how to bypass authentication, inject commands at the root level and create shell code to take over printers in Xerox Corp.’s WorkCentre line of printers, which run on Linux operating systems. He described the kinds of mischief you could do with a compromised printer, including password-catching, password-snarfing (changing passwords), hijacking functions, grabbing print jobs and playing with a billing program.
O’Connor, who says he has proved in his research lab that these hacks are possible, showed a video of himself exploiting these vulnerabilities in his lab during his Black Hat presentation.
Nordea believes that 250 customers have been affected by the fraud, after falling victim to phishing e-mails containing the Trojan. According to McAfee, Swedish police believe Russian-organized criminals are behind the attacks. Currently, 121 people are suspected of being involved.
The attack started by a tailor-made Trojan sent in the name of the bank to some of its clients, according to McAfee. The sender encouraged clients to download a "spam fighting" application. Users who downloaded the attached file, called raking.zip or raking.exe, were infected by the Trojan, which some security companies call haxdoor.ki.
Haxdoor typically installs keyloggers to record keystrokes, and hides itself using a rootkit. The payload of the .ki variant of the Trojan was activated when users attempted to log in to the Nordea online banking site. According to the bank, users were redirected to a false home page, where they entered important log-in information, including log-in numbers.
[InformationWeek] Review: Six Rootkit Detectors Protect Your System. Els detectors són els de F-Secure, IceSword, RKDetector, RootkitBuster, RootkitRevealer i Rootkit Unhooker. Especialment interessant les conclusions:
The rootkit detection tools out there right now seem to break down into two basic categories:
Professionally written tools, which seem to be mostly marketed as a way to get people to buy a full commercial product.
Independently authored tools of broadly varying pedigrees and usability.
Ironically enough, it was one of the independent tools — Rootkit Unhooker — that turned out to be the best. I'm not sure that means the big vendors will see them as competition, though, since the indie-written tools clearly are meant for self-appointed pros.
If rootkits continue to proliferate and become as difficult to detect as is predicted to happen, that will be yet another selling point for the major security-software makers to market their own products. But it also will be an incentive for the indies to continue to write and update their tools for their own market, too.
Threat modeling not only raises security awareness amongst developers, but also makes application security an integral part of the application design and development process. It is a great way to help an organization bridge the knowledge gap between information security and development professionals.
Performed during the application design stage, threat modeling identifies and evaluates the risks to an application. This involves categorizing which assets or sensitive information the application accesses in order to identify potential threats to the application. The end result is ideally a reduction in the number of vulnerabilities that make it through to the release version. Also, since the cost of addressing security issues increases as the software design life cycle proceeds, threat modeling not only helps create better products, increases customer confidence in your applications, but also benefits the bottom line.
[Bruce Schneier] Choosing Secure Passwords . Malgrat el títol, l'article explica com funcionen els actuals programes per trencar contrasenyes.
Offline password guessers have gotten both fast and smart. AccessData sells Password Recovery Toolkit, or PRTK. Depending on the software it's attacking, PRTK can test up to hundreds of thousands of passwords per second, and it tests more common passwords sooner than obscure ones.
So the security of your password depends on two things: any details of the software that slow down password guessing, and in what order programs like PRTK guess different passwords.
La nova versió de l'Outlook inclosa a l'Office 2007 té una diferència significativa respecte a qualsevol versió anterior: no fa servir el motor de l'IE per a presentar el contingut HTML, sinó que s'utilitza l'editor del Word 2007. S'explica a Microsoft takes email design back 5 years. A nivell de funcionalitat es perden algunes funcions com les imatges de fons... però es guanya en seguretat.
Sempre xalo llegint aquests articles sobre la infraestructura que hi ha al darrera de les grans webs: Inside MySpace.com
MySpace started small, with two Web servers talking to a single database server. Originally, they were 2-processor Dell servers loaded with 4 gigabytes of memory
(...)
In the second-generation architecture, MySpace ran on three SQL Server databases—one designated as the master copy to which all new data would be posted and then replicated to the other two, which would concentrate on retrieving data to be displayed on blog and profile pages. This also worked well—for a while—with the addition of more database servers and bigger hard disks to keep up with the continued growth in member accounts and the volume of data being posted.
(...)
The next database architecture was built around the concept of vertical partitioning, with separate databases for parts of the Web site that served different functions such as the log-in screen, user profiles and blogs. Again, the Web site's scalability problems seemed to have been solved—for a while.
(...)
So, MySpace moved to a distributed computing architecture in which many physically separate computer servers were made to function like one logical computer. At the database level, this meant reversing the decision to segment the Web site into multiple applications supported by separate databases, and instead treat the whole Web site as one application. Now there would only be one user table in that database schema because the data to support blogs, profiles and other core features would be stored together.
(...)
When MySpace hit 10 million accounts, it began to see storage bottlenecks again
(...)
In mid-2005, when the service reached 26 million accounts, MySpace switched to SQL Server 2005 while the new edition of Microsoft's database software was still in beta testing
(...)
problem is that MySpace is pushing Microsoft's Web technologies into territory that only Microsoft itself has begun to explore, Benedetto says. As of November, MySpace was exceeding the number of simultaneous connections supported by SQL Server, causing the software to crash.
Most application developers underestimate the risk of SQL injections attacks against web applications that use Oracle as the back-end database. Our audits of custom web applications show many application developers do not fully understand the risk of SQL injection attacks and simple techniques used to prevent such attacks.
This paper is intended for application developers, database administrators, and application auditors to highlight the risk of SQL injection attacks and demonstrate why web applications may be vulnerable. It is not intended to be a tutorial on executing SQL attacks and does not provide instructions on executing these attacks.
2007 serà l'any de la (in)seguretat als terminals mòbils. D'una banda, creix vertiginosament el nombre d'amenaces de programari maliciós detectades. I per un altre, es descobreixen nous punts febles, com la possibilitat d'utilitzar els SMS de servei de les operadores per propagar infeccions de virus.
Si heu seguit les prediccions per a l'any 2007 que es publiquen aquí i allà durant aquestes dates, ben segur que en més d'un lloc haureu llegit que els telèfons mòbils donaran de parlar en temes de seguretat informàtica. I molt em temo que realment serà així.
En aquests moments es compleixen ja dos requeriments previs per permetre la proliferació de virus als telèfons mòbils.
D'una banda, els telèfons mòbils són equips amb la suficient potència de procés per permetre fer coses interessants. De fet, qualsevol telèfon mòbil actual té com a mínim la mateixa capacitat de procés que la d'un ordinador personal de fa uns quants anys.
En segon lloc, tenim l'estandardització dels seus sistemes operatius. Fins a la data, cada model de telèfon de cada fabricant disposava del seu sistema operatiu únic i particular. Això impedia, per la simple regla del nombre de víctimes potencials, la proliferació d'atacs massius. Si un equip concret era vulnerable d'alguna forma, el seu nombre d'usuaris (sempre reduït comparat amb el global) feia que no hi hagués al·licients per als autors de virus, per la qual cosa continuaven concentrant-se allà on les seves accions continuaven sent més conegudes.
Avui en dia, els telèfons mòbils comencen a mostrar una unificació en el seu programari de base. La majoria de telèfons avançats actuals ja utilitzen algun d'aquests quatre sistemes operatius: Symbian, Windows Mobile, Java (J2ME) o bé Palm OS. Si a tot això li sumem l'interès que desperta la propagació de virus i cucs en els telèfons mòbils, el còctel explosiu s'està remenant... i en breu serà servit.
Recopilem algunes dades. Fa unes setmanes, el fabricant d'antivirus F-Secure realitzava un recompte del programari maliciós ja existent per a les diverses plataformes mòbils i constatava l'important augment: de 27 espècimens identificats al 2004 hem passat 334 el passat 2006. Destaca especialment l'explosió de malware per al sistema operatiu Symbian, que representa el 98% del total.
Tenim per tant, la demostració de l'interès dels autors de virus en desenvolupar codi maliciós per a telèfons mòbils.
Hi ha un altre problema per completar l'amenaça: com distribuïm el cuc. Bé, un investigador alemany ja ha aconseguit solucionar-lo. Es tracta de utilitzar els missatges de servei que envien els operadors de la xarxa per configurar els telèfons dels usuaris. Són ideals per a aquest objectiu: quan el telèfon rep un d'aquests missatges, l'executa sense verificar qui l'està enviant. En alguns casos, requereix que l'usuari llegeixi el missatge (una cosa que fem tots quan el telèfon emet els dos bips curts) abans d'executar el programa associat. En altres telèfons, s'executa automàticament tot just rebre'l.
Per tant, és tot just qüestió de temps que es descobreixi algun mètode per forçar la tramesa d'aquests missatges de servei i utilitzar-los per a la difusió massiva de cucs o virus. No costa gaire imaginar un cuc que, quan infecti un telèfon, comenci a enviar còpies d'ell mateix a tots els contactes de la nostra agenda... o, fins i tot més radical, que truqui i enviï els missatges de forma aleatòria a qualsevol número de telèfon. Això causaria pànic a la nostra factura telefònica i, més encara, en les companyies telefòniques que veurien com les seves xarxes són incapaces d'aguantar l'allau de missatges enviats de forma indiscriminada.
Definitivament, l'any 2007 serà el de la seguretat als telèfons mòbils!
NGSSoftware ha publicat el document «Oracle Passwords and OraBrute» on es tracta com protegir l'Oracle davant atacs de força bruta contra les contrasenyes i es presenta l'eina d'atac de força bruta OraBrute.
This paper will discuss the weakness of Oracle passwords and how they are implemented with reference to a number of current security issues. Lastly this paper will introduce a tool to exploit this weakness in Oracle's most privileged account.
Passwords currently represent a problem for Oracle databases in a number of ways. The first problem is the design of the password algorithm which is limited by the fact that the salt is the username for the password hash.
(...)
The second problem is the limited character set of a standard Oracle password.
(...)
This paper introduces OraBrute, a command line tool which will brute force the SYS AS SYSDBA account for as long as is needed. OraBrute is simple and fast so it will easily execute 10 attempts per second on an Intel 1.6GHz laptop. OraBrute will exit when the account has been brute forced at which point it dumps the SYS.USER$ table to a local file as well as the brute force password to Standard Out.
El codi font d'OraBrute, en C, es troba dins el document.
Swiss information-technology firm Objectif Sécurité announced last week that its latest pre-generated list of passwords and their hashes, known as a rainbow table, can now crack the standard encryption on Word and Excel documents in about 5 minutes on average. Using about 4 gigabytes of data, the program--named Ophcrack_office--can quickly defeate almost 99.6 percent of all passwords, according to the company.
[SANS] Adobe 7.0.9 released to address the XSS vulnerability. Publicada la versió 7.0.9 de l'Acrobat Reader que elimina la vulnerabilitat XSS. Es recomana l'actualització a tots els usuaris de les versions anteriors a la 8.0.
[Wi-Fi Planet] Is Wi-Fi Bad For Humans? Les radiacions de microones utilitzades a Wi-Fi tenen algun efecte sobre el cos humà?
There has been some concern lately, mostly in the UK, that the radio frequency radiation (RFR) emitted by Wi-Fi devices poses a health risk to people. Individuals suffering from a variety of innocuous but unpleasant symptoms including nausea and "brain fog" have attributed their ailments to Wi-Fi signals. The complaints have resulted in the banning of Wi-Fi in some areas, particularly those frequented by children. However, according to the most recent scientific studies, the fears are much ado about nothing.
(...)
"In virtually all the environments I surveyed, the RF signal from WLANs was a small fraction of the total RF fields in the environment," Foster says. "Other sources included mobile base stations, and broadcast radio and TV stations in the region."
While the study was not designed to assess health risks to humans, the measurements taken by Dr. Foster provide clear data on real world exposure levels (versus lab environments or estimates.) Based on the levels he consistently detected, Dr. Foster concludes that there is no cause for concern.
The fundamental issue is that the Oracle Applications 11i application account passwords are stored in the database encrypted using the APPS database password as the encryption key rather than using a strong, one-way hash algorithm.
(...)
The fundamental issue is that the Oracle Applications 11i application account passwords are stored in the database encrypted using the APPS database password as the encryption key rather than using a strong, one-way hash algorithm.
Improving the Oracle Applications 11i user password storage is a complex change and we don't expect Oracle to fix it in 11i for the foreseeable future (remember 11.5.10 is supported until November 2012). Hopefully in Release 12, (1) a strong, one-way hash algorithm will be implemented, (2) the APPLSYSPUB database account will be eliminated, and (3) the GUEST account will be eliminated.
Exploiting 802.11 Wireless Driver Vulnerabilities on Windows, per Johnny Cache, H D Moore i skape
This paper describes the process of identifying and exploiting 802.11 wireless device driver vulnerabilities on Windows. This process is described in terms of two steps: pre-exploitation and exploitation. The pre-exploitation step provides a basic introduction to the 802.11 protocol along with a description of the tools and libraries the authors used to create a basic 802.11 protocol fuzzer. The exploitation step describes the common elements of an 802.11 wireless device driver exploit.
Subverting PatchGuard Version 2
Windows Vista x64 and recently hotfixed versions of the Windows Server 2003 x64 kernel contain an updated version of Microsoft's kernel-mode patch prevention technology known as PatchGuard. This new version of PatchGuard improves on the previous version in several ways, primarily dealing with attempts to increase the difficulty of bypassing PatchGuard from the perspective of an independent software vendor (ISV) deploying a driver that patches the kernel.
Locreate: An Anagram for Relocate
This paper presents a proof of concept executable packer that does not use any custom code to unpack binaries at execution time. This is different from typical packers which generally rely on packed executables containing code that is used to perform the inverse of the packing operation at runtime. Instead of depending on custom code, the technique described in this paper uses documented behavior of the dynamic loader as a mechanism for performing the unpacking operation.
To help assuage this uncertainty, iDefense Labs is pleased to announce the Q1, 2007 quarterly challenge. iDefense will pay $8,000 for each submitted vulnerability that allows an attacker to remotely exploit and execute arbitrary code on either of these two products.
Technologies Covered:
Microsoft Internet Explorer 7.0
Microsoft Windows Vista
Vulnerability Challenge Ground Rules:
The vulnerability must be remotely exploitable and must allow arbitrary code execution in a default installation of one of the technologies listed above
The vulnerability must exist in the latest version of the affected technology with all available patches/upgrades applied
'RC' (Release candidate), 'Beta', 'Technology Preview' and similar versions of the listed technologies are not included in this challenge
The vulnerability must be original and not previously disclosed either publicly or to the vendor by another party
The vulnerability cannot be caused by or require any additional third party software installed on the target system
The vulnerability must not require additional social engineering beyond browsing a malicious site
Working Exploit Challenge: In addition to the $8,000 award for the submitted vulnerability, iDefense will pay from $2,000 to $4,000 for working exploit code that exploits the submitted vulnerability.
URIBL és una llista negra de dominis que s'utilitzan dins del correu brossa (és a dir, les adreces on ens envien els missatges de publicitat no sol·licitada i no pas l'origen dels missatges). La idea és facilitar un mecanisme per identificar i bloquejar el correu brossa en funció de l'origen i la informació que inclouen (el domini on ens envien) i no pas l'origen.
Instruccions per a la integració de l'URIBL amb l'SpamAssassin.
URIBL lists domains that appear in spam, NOT where they were sent from. Our lists are intended to be used with antispam software to help TAG emails as spam. We do not BLOCK. If you are being blocked by someone because you are on our list, take it up with the person blocking you, not us!
Currently we have 4 lists:
black.uribl.com - This lists contains domain names belonging to and used by spammers, including but not restricted to those that appear in URIs found in SPAM. This list has a goal of zero False Positives. This zone rebuilds frequently as new data is added.
grey.uribl.com - This lists contains domains found in UBE/UCE, and probably honour opt-out requests. This list can and probably will cause False Positives depending on your definition of SPAM. This zone rebuilds several times a day as necessary.
red.uribl.com - This list contains domains that are not listed on black and are either very young (domain age via whois), or use whois privacy features to protect their identity. This list is automated in nature, so please use at your own risk.
multi.uribl.com - Which checks to see if a domain is on any of our lists. This zone rebuilds if any of the above zones are rebuilt.
Encara no se ben bé per quina raó, però vés per on em vaig apuntar al premi de weblogs que convoca el diari «20 minutos». Si hi esteu apuntats i em voleu votar, només heu de seguir l'enllaç.
Ser un autor d'èxit i haver publicat un best-seller comporta moltes coses.
Una d'elles és la reedició de les teves primeres obres. Carlos Ruiz Zafón, ha fet un gran best-seller «L'ombra del vent» i un segon llibre que també ha tingut una vendes importants, «Marina». Per tant, era qüestió de temps que l'editorial l'aprofités per recuperar els seus títols anteriors.
«El príncep de la boira» és el primer llibre que va publicar en Ruiz Zafón. Es tracta d'una novel·la d'aventures, adreçada al públic juvenil. Malgrat que l'autor, a la presentació, rebutja aquesta mena de classificació i voldria pensar que es tracta d'una novel·la que pot ser llegida per tota mena de públic, la seva estructura l'identifica clarament com una d'aquelles novel·les que té l'important repte d'enganxar al lector a les primeres pàgines per evitar que es tanqui el llibre i es passi a fer alguna altra cosa.
En aquest cas la història no té cap secret ni té la mateixa elaboració que a les altres novel·les de l'autor: durant la Segona Guerra Mundial una família decideix deixar la gran ciutat per instal·lar-se en una casa la costat de la platja de l'Atlàntic. Però la casa té la seva pròpia història: va ser construïda per un prestigiós cirurgià anglès per anar a viure amb la seva dona. La dona, per culpa d'un accident, no podia tenir fills... però poc després de traslladar-se a aquesta nova casa, va quedar embarassada. L'any 1929 va néixer el fill d'aquest matrimoni... fins que a l'agost de 1936 el fill va aparèixer ofegat a la platja.
Des d'aquell tràgic dia, la casa havia estat abandonada fins que la família d'en Max es trasllada set anys després. A partir d'aquí es van descobrint una sèrie de fenòmens que poc a poc fan creure que hi passa quelcom extraordinari... fins a l'aparició del Príncep de la Boira... un diabòlic personatge que pot concedir qualsevol desig, però a un preu molt alt.
Bona lectura per passar una tarda. El llibre es pot llegir perfectament en unes poques hores i és una bona lectura per una tarda de diumenge.
Títol: «El príncep de la boira» («El príncipe de la niebla») Autor: Carlos Ruiz Zafón Traducció: Mireia Sánchez 1a edició - Juny 2006 Editorial Planeta ISBN 978-84-9708-175-7
Canadian coins containing tiny transmitters have mysteriously turned up in the pockets of at least three American contractors who visited Canada, says a branch of the U.S. Defence Department.
Security experts believe the miniature devices could be used to track the movements of defence industry personnel dealing in sensitive military technology.
Some Gartner clients have ceased to provision new IPSec remote-access accounts, and others have replaced IPSec with SSL, citing the benefits of easier administrative provisioning of user accounts and a simpler user experience with VPN sessions, according to the report. Instead, these businesses are interested in SSL VPNs, which can be accessed via browsers, making them more flexible than IPSec, which requires separate client software on remote machines.
M'imagino que, a més dels avantatges que s'indiquen no es pot oblidar la facilitat de configuració i manteniment i, molt especialment, la major compatibilitat: els diversos venedors de sistemes d'accés remot via IPSec tenen una gran tradició de fer implementacions totalment incompatibles... he vist molts ordinadors de companys de feina amb dos i tres clients IPSec diferents instal·lats, un per cada xarxa remota que s'havia d'accedir.
[Network World] NSA helped Microsoft make Vista secure. Microsoft ha comptat amb l'ajuda de l'agència d'espionatge nord-americana en temes de seguretat de Windows Vista.
The National Security Agency (NSA) stepped in to help Microsoft Corp. develop a configuration of its next-generation operating system that would meet U.S. Department of Defense (DOD) requirements, said NSA Spokesman Ken White.
This is not the first time the secretive agency has been brought in to consult private industry on operating system security, White said, but it is the first time the NSA has worked with a vendor prior to the release of an operating system.
[The Times Magazine] Open-Source Spying. Les agències d'espionatge i la seva obsolescència tecnològica. Un mite trencat
When he went onto Intelink — the spy agencies’ secure internal computer network — the search engines were a pale shadow of Google, flooding him with thousands of useless results. If Burton wanted to find an expert to answer a question, the personnel directories were of no help. Worse, instant messaging with colleagues, his favorite way to hack out a problem, was impossible: every three-letter agency — from the Central Intelligence Agency to the National Security Agency to army commands — used different discussion groups and chat applications that couldn’t connect to one another. In a community of secret agents supposedly devoted to quickly amassing information, nobody had even a simple blog — that ubiquitous tool for broadly distributing your thoughts.
With the proliferation of digital based evidence, the need for the timely identification, analysis and interpretation of digital evidence is becoming more crucial. In many investigations critical information is required while at the scene or within a short period of time - measured in hours as opposed to days. The traditional cyber forensics approach of seizing a system(s)/media, transporting it to the lab, making a forensic image(s), and then searching the entire system for potential evidence, is no longer appropriate in some circumstances.
(...)
The Cyber Forensic Field Triage Process Model (CFFTPM) proposes an onsite or field approach for providing the identification, analysis and interpretation of digital evidence in a short time frame, without the requirement of having to take the system(s)/media back to the lab for an in-depth examination or acquiring a complete forensic image(s). The proposed model adheres to commonly held forensic principles, and does not negate the ability that once the initial field triage is concluded, the system(s)/storage media be transported back to a lab environment for a more thorough examination and analysis.
[El Faristol] Google signa un acord amb biblioteques catalanes per digitalitzar part del seu fons. Google i la Biblioteca de Catalunya han signat un acord de col·laboració per tal d'incloure dins de Google Books llibres del fons de cinc de les principales biblioteques catalanes: biblioteca del monestir de Montserrat, biblioteca pública episcopal del seminari de Barcelona, biblioteca del centre excursionista de Catalunya, la biblioteca de l'Ateneu Barcelonès i la Biblioteca de Catalunya. Ells libres que es digitalitzaran són aquells que han passat al domini públic i que podrien representar un fons d'uns 300.000 volums.
A Treonauts han fet una interessant comparativa entre les prestacions del Treo 680 i de l'iPhone d'Apple:
Com a conclusió:
It’s funny that the iPhone should so clearly have helped me to better recognize the terrific accomplishments that Palm has delivered with our Treo. It may not be immediately perceived to be quite as “cool" as an iPhone but the fact is that the Treo clearly deserves the praise and success that it has already achieved.
I have no doubt that the iPhone will be an extremely successful device in its own right - one which will continue to help grow the smartphone space with an even younger generation - but for now at least I certainly don’t believe that it will be a Treo-killer.
In the information age, as we have become increasingly dependent upon complex information systems, there has been a focus on the vulnerability of these systems to computer crime and security attacks, exemplified by the work of the President’s Commission on Critical Infrastructure Protection. Because of the high-tech nature of these systems and the technological expertise required to develop and maintain them, it is not surprising that overwhelming attention has been devoted by experts to technological vulnerabilities and solutions.
Yet, as captured in the title of a 1993 conference sponsored by the Defense Personnel Security Research Center, Computer Crime: A Peopleware Problem, it is people who designed the systems, people who attack the systems, and understanding the psychology of information systems criminals is crucial to protecting those systems
(...)
This article is reprinted from Security Awareness Bulletin No. 2-98, published by Department of Defense Security Institute, September 1998. The research on which this article is based is part of a broader research program conducted by Political Psychology Associates, Ltd., for the Office of the Assistant Secretary of Defense
[iDefense] Microsoft Excel Long Palette Heap Overflow Vulnerability. És ben evident que, durant aquest 2007, les aplicacions d'ofimàtica en general i de Microsoft Office en particular, seran una de les principals víctiemes de les vulnerabilitats de seguretat.
Remote exploitation of an heap-based buffer overflow vulnerability in Microsoft Corp.'s Excel spreadsheet application format could allow an attacker to execute arbitrary code in the context of the user who started Excel.
The vulnerability specifically exists in the handling of the PALETTE record in BIFF8 format spreadsheet files. By supplying a record with too many entries, an exploitable buffer overflow condition can occur.
Successful exploitation of this vulnerability would allow an attacker to execute arbitrary code in the context of the user who opened the document. In order exploit this vulnerability, an attacker would need to convince the target to open an Excel spreadsheet file. Likely attack vectors include sending the file as an attachment in an email or linking to the file on a website.
Bé, finalment un dels grans rumors de fa anys s'ha desvetllat: Apple ha presentat el seu telèfon mòbil, l'iPhone... i ho ha fet d'una forma espectacular. És un telèfon de somni, gairebé tot allò que tothom somniava.
Avui tothom parlarà de tot el meravellós que és aquest telèfon. Però... a la vegada, perdoneu-me... jo en sóc una mica escèptic.
Si realment tot el que s'ha vist es fa realitat, ens trobem sens dubte amb el millor telèfon mòbil del món. Un telèfon que voldrà tenir molta gent, d'una empresa amb molta reputació. Així doncs, només 10 milions d'unitats en un any i mig? Només es plantegen un objectiu tan poc ambiciós com un 1% del mercat per un telèfon que, tal i com s'ha presentat, tothom el voldrà?
Segona cosa que no veig clara: Apple sempre ha destacat per presentar bons productes... i en certa mesura, avançar-se a la resta de fabricants alhora de presentar un 'pack'. Però no recordo mai un producte tan avançat respecte a la competència com aquest. L'iPhone que s'ha vist avui és a uns quants anys de diferència si el comparem amb la resta de telèfons mòbils
L'experiència dels fabricants de telèfons crec que és molt clara: mai cap fabricant l'ha encertada a la primera. Tots els fabricants de telèfons han hagut de fer diverses generacions per obtenir un producte de qualitat... Apple ho sembla haver aconseguit a la primera. Però, a més, deixa a la competència molt lluny: el seu producte és, aparentment, mooooolt millor que la resta.
Com pot ser que estigui tan avançat respecte a la resta?
Tercer punt fosc: algú l'ha vist? No he seguit la presentació (no tinc QuickTime), però pels seguiments em sembla que tota l'estona l'iPhone només s'ha vist en vídeos. Ha estat, doncs, una presentació «PowerPoint»... i tots sabem que als «PowerPoints» tot sempre és espectacular, bonic... i tot funciona de meravella. Després la realitat és molt diferent.
Existeix realment l'iPhone que hem vist? Es tot tan bonic? On hi ha l'aspecte amagat... si l'iPhone és tot allò que he vist, jo ho tinc ben clar: en vull un. I com jo, pràcticament tots els usuaris d'ordinadors i telèfons mòbils en voldran un. L'iPhone és millor telèfon que cap altre existent avui (i segurament cap millor que cap altre telèfon existent en els propers dos anys).
Hi ha alguna cosa que no veig clara i no se pas quina...
Al weblog de David Pogue explica al seu weblog New York TImes l'experiència de capturar les connexions WiFi en una cafeteria de Manhattan:
We met (Jon, the camera crew and I) in a Manhattan Wi-Fi coffee shop. Turns out there was absolutely nothing to it. Jon sat a few feet away with his PowerBook; I fired up my Fujitsu laptop and began doing some e-mail and Web surfing.
That’s all it took. He turned his laptop around to reveal all of this:
Every copy of every e-mail message I sent *and* received.
A list of the Web sites I visited.
Even, incredibly, the graphics that had appeared on the Web sites I had visited.
None of this took any particular effort, hacker skill or fancy software. Anyone could do it. You could do it.
No és cap novetat des del punt de vista tècnic, però sí que es publiqui a un mitjà tan generalista com el New York Times
[The New York Times] Independent Bookstores: Cozy, Friendly, Full of Surprises. El suplmenent dominical del New York Times va publicar ahir un interessant passeig per les llibreries independents de Nova York. Interessant per tenir-lo a l'agenda i, en el proper viatge, anar més enllà del Barnes & Noble.
NEW YORK has always been known as a city capable of sating any desire: for money, for high fashion, for companionship. But if you're just a bespectacled out-of-towner who suffers from simple book lust, its eclectic collection of independent bookstores can scratch your itch, too.
Even with the Jolly Green Corporate Bookstore Giant spreading its shelves throughout Manhattan faster than Meg Ryan's 1998 laptop can say «You've got mail», the city still has many spots where specialized collections, cozy atmosphere and friendly and knowledgeable staff win out over huge selection, standardized décor and jam-packed cafes (serving coffee from that other Jolly Green Corporate Giant).
How to secure Oracle in 20 minutes. Una sèrie de consells bàsics per enfortir la configuració d'un servidor de base de dades Oracle. No és un sistema per protegir completament la base de dades, sinó senzillament tapa els forats més evidents:
Aquest dissabte Dissabte dia 20 de gener, dins de la Festa Major del barri de Sant Antoni de Barcelona, es celebra el III Campionat de Wardriving de Catalunya. Com en edicions anteriors, es tracta de diversos equips que passegen pel barri tot tractan de detectar la presència de punts d'accés a xarxes sense fils.
A l'edició d'enguany hi ha la novetat de la divisió dels participants en dues categories, una popular adreçada a persones que tenen interès en el món de les noves tecnologies i que tenen com interès aprendre; la segona categoria, HiTech, es per persones amb experiència i que volen demostrar els seus coneixements amb l'ús d'antenes direccionals i la seva capacitat per trencar el xifrat de les xarxes.
YouTerm és un servei gratuït per a la publicació de captura de sessions de consola o terminal... El seu ús es ben simple i hi podeu trobar autèntiques meravelles.
[IT Security] 10 Steps to Creating Your Own IT Security Audit. Avui en dia, hi ha recursos suficients per tal que un mateix es faci una auditoria de seguretat. L'article explica que cal mirar i les consideracions incloses dins d'una auditoria.
[Heise Security] The year 2007: A review through the crystal ball. Les prediccions de seguretat informàtica per a l'any 2007... serà com el 2006, però amb noves víctimes (i d'importància) com la borsa que patirà un atac DDoS a gran escala. D'altre punts crítics seran les connexions VoIP, exploits per a les extensions multimèdia dels navegadors, etc...
In their persistent quest to breach the Internet’s defenses, the bad guys are honing their weapons and increasing their firepower.
With growing sophistication, they are taking advantage of programs that secretly install themselves on thousands or even millions of personal computers, band these computers together into an unwitting army of zombies, and use the collective power of the dragooned network to commit Internet crimes.
These systems, called botnets, are being blamed for the huge spike in spam that bedeviled the Internet in recent months, as well as fraud and data theft.
Security researchers have been concerned about botnets for some time because they automate and amplify the effects of viruses and other malicious programs.
Fa uns dies comentava com l'exèrcit nord-americà està fent l'elecció de la tecnologia a utilitzar per xifrar tots els discos de tots les seus ordinadors. Aquesta sembla ser una tendència força generalitzada (un estudi de Gartner deia que pràcticament la totalitat dels discos durs d'ordinadors de les grans multinacionals estarien xifrat a finals d'aquest any).
Però el xifrat dels discos durs planteja uns seriosos problemes de gestió... que SANS Institute està reunint dins d'un projecte. Es convida a tothom que hagi de fer front a un projecte d'aquest tipus que participi amb la seva experiència.
Dos anys després de les primeres notícies arriba el primer portàtil que incorpora, de fàbrica, una petita pantalla auxiliar a l'exterior de la carcasa. Es tracta de l'Asus W5Fe, un portàtil Centrino Core 2 Duo amb pantalla de 12,1 polzades i que incorpora, a més del display extern de 2,8 polzades una càmara fotogràfica de 1,3 megapíxels.
Per a que serveix aquesta pantalla externa? Doncs per utilitzar l'ordinador sense necessitat d'obrir-lo. Incorpora un controlador per al ratolí i, d'aquesta forma, es pot consultar l'agenda, llegir el correu electrònic rebut, escollir una cançó... Imagineu-vos la situació: arribeu a l'edifici i comenceu a pujar per l'ascensor, però no recordeu a quina sala es celebra la reunió. Fins ara hi havia dues opcions: o consultar l'agenda/telèfon o bé obrir l'ordinador per tal de mirar la convocatòria. Amb aquesta pantalla addicional, no cal obrir l'ordinador. És un d'aquells detalls d'acabat que fins pots gaudir-ne no li dones prou importància.
Crec que aquesta mena de pantalles seran força habituals a partir de finals d'enguany i començaments de l'any vinent.
Una de les xerrades més interessants (i que sembla tenir més repercursió) del passat 23C3 és la «Subverting AJAX» que tracta sobre les vulnerabilitats de les aplicacions basades en AJAX
Ajax and the new dynamic extensions leverage new threats that lead to innovative attack scenarios against web applications.
In a world where the user learned to behave properly in his interaction with the old web interfaces, many innovative technologies are emerging. Ajax and new dynamic web extensions empower web browsers and client-server communications as well as they leverage new threats and undisclosed attack scenarious. Web 2.0 is going to be the first choice in upcoming web projects and many companies are migrating to new dynamic front-ends to increment value to their institutional sites, intranet corporates and Online Banking portals. After a quick overview of simple Cross Site Scripting attacks, the speech will focus on security aspects of Web 2.0 technologies exploring unconventional and undisclosed attacking techniques.
During the presentation we will show the next step in content/request hijacking and the next generation of client-side and server-side injection. Specifically, by applying advanced Javascript techniques like prototyping we'll see how to hijack functions and objects in order to have transparent attacks without breaking javascript code in Ajax web pages. Moreover, will be shown non trivial ways to attack web pages and inject code by taking advantage of other kinds of vulnerabilities in a cross domain environment. Finally, we will see how poor design choices in web browsers would bring to new kind of attacking vectors like UXSS through plugins and sandbox framework flaws
La presentació, disponible en format PDF tracta sobre un error de disseny a JavaScript que pot ser utilitzada per a la injecció de codi que pot permetre el segret de les peticions.
Val a dir que no m'acaba de quedar del tot clar si ens trobem davant de problemes reals de disseny de JavaScript i d'AJAX o bé de situacions provocades per les pràctiques de programació utilitzades.
Solaris Operating System for x86 Installation Check Tool 1.2 verifica si un sistema (arquitectura Intel x86) té possibilitats d'executar el sistema operatiu Solaris. Per fer-ho carrega el nucli del sistema i mostra els dispositius del sistema detectats, indicant si hi ha controlador o no.
No. It took a long time. It was really hard to do because you've got to remember that I was trying to make it usable over a 300 baud modem. That's also the reason you have all these funny commands. It just barely worked to use a screen editor over a modem. It was just barely fast enough. A 1200 baud modem was an upgrade. 1200 baud now is pretty slow.
9600 baud is faster than you can read. 1200 baud is way slower. So the editor was optimized so that you could edit and feel productive when it was painting slower than you could think. Now that computers are so much faster than you can think, nobody understands this anymore.
The people doing Emacs were sitting in labs at MIT with what were essentially fibre-channel links to the host, in contemporary terms. They were working on a PDP-10, which was a huge machine by comparison, with infinitely fast screens.
So they could have funny commands with the screen shimmering and all that, and meanwhile, I'm sitting at home in sort of World War II surplus housing at Berkeley with a modem and a terminal that can just barely get the cursor off the bottom line.
It was a world that is now extinct. People don't know that vi was written for a world that doesn't exist anymore - unless you decide to get a satellite phone and use it to connect to the Net at 2400 baud, in which case you'll realize that the Net is not usable at 2400 baud. It used to be perfectly usable at 1200 baud. But these days you can't use the Web at 2400 baud because the ads are 24KB.
Via Book Patrol: A Haven for Book Lovers arribo a la notícia de CNN Money on s'anuncia la propera disponibilitat d'una màquina pensada per a la distribució de llibres: Espresso té l'aspecte d'un caixer automàtic però especialitzat en la venda de llibres.
Quina és la seva característica més destacada: que el llibre es genera dins de la màquina
This soon to be released technology could easily put most of the remaining bookshops to rest in the next 10 years.
The facts:
the Espresso can produce 2 books every 7 minutes
Books are glued in full laminated covers.
Books printed in any language
Books can be upward of 500 pages
Some 2.5 million books are now available - about one million in English and no longer under copyright protection. On Demand accesses the volumes through Google and the Open Content Alliance, among other sources. Neller predicts that within about five years On Demand Books will be able to reproduce every volume ever printed.
És a dir, el client selecciona el llibre i la màquina en genera una còpia en pocs minuts.
Quins efectes pot tenir això en les llibreries? Evidentment una màquina d'aquesta pot ser útil per vendre best-sellers, però no pas per a llibres que compres després de mirar-los i fullejar-los a la llibreria.
Si teniu el QuickTime instal·lat, podeu veure una màquina d'aquestes generant un llibre en aquest vídeo.
There will be no more releases of Fedora Core or Fedora Extras.
(...)
Starting with Fedora 7, there is no more Core, and no more Extras; there is only Fedora. One single repository, built in the community on open source tools, assembled into whatever spins the Fedora community desires.
Per cert, el calendari previst és:
23 January 2007 | F7 Test1 development freeze 30 January 2007 | F7 Test1 Release 20 February 2007 | F7 FEATURE Freeze | F7 string freeze | F7 Test2 development freeze 27 February 2007 | F7 Test2 release 19 March 2007 | F7 translation freeze | F7 Test3 development freeze 26 March 2007 | F7 Test3 release
... Continual freeze. Only critical bugs fixed ...
5 April 2007 | Final devel freeze. 26 April 2007 | F7 General Availability
No se fins a quin punt hi té a veure la pèrdua d'usuaris que sembla tenir Fedora en els últims mesos. Pràcticament tots els coneguts que feien servir Fedora s'han (ens hem) passat a CentOS als servidors i les estacions de treballa han passat a Ubuntu.
[IT Observer] Voice over IP under threat. Article que fa un repàs a la situació de seguretat de VoIP. El perill no és tant allò que coneixem en altres plataformes, com les noves possibilitats que VoIP permet:
The problem lies in using the full characteristics of VoIP in order to spread malicious code. Imagine a dataflow across an audio channel (perhaps at a frequency that is not audible to humans) that could crash the voice system, causing a denial of service. Or that this dataflow could be used to create a system status that would allow execution of malicious code. This would be something genuinely new with respect to propagation of code, unlike other hundreds of codes that use messaging systems simply to propagate. But this is nothing more than speculation.
[SecuriTeam] OpenOffice issued a WMF code execution fix. Publicada una actualització de seguretat per a l'OpenOffice.org 1.1.x i 2.x que elimina la vulnerabilitat de desbordament de memòria en accedir a una imatge WMF especialment modificada. Aquesta vulnerabilitat pot ser utilitzada per a l'execució de codi malèvol en el moment d'obrir el document que inclou la imatge.
Microsoft ha publicat una eina, gratuïta per a ús no comercial, anomenada Microsoft Robotics Studio per al desenvolupament de robots. Incorpora un entorn visual de programació, utilitzant un llenguatge pensat per a ser utilitzat per a no-programadors, un simulador 3D que simula les aplicacions programades i un runtime per a l'execució de les aplicacions i la comunicació amb el hardware.
Per tal de veure les possibilitats d'aquest sistema, podeu mirar els 30 tutorials publicats.
The goal of the Microsoft Robotics Studio is to supply a software platform for the robotics community that can be used across a wide variety of hardware, applicable to a wide audience of users, and development of a wide variety of applications. As a platform, our intent is also to enable third parties to supply support for new hardware, technologies, and tools, just as Microsoft Windows provides a platform for others to bring their products and technologies to the community of PC users. So while we may populate our platform with some of our own contributions, those should not be considered exclusive to tools or libraries provided by other parties looking to provide interesting technologies for this platform.
The Microsoft Robotics Studio delivers three areas of software:
A scalable, extensible runtime architecture that can span a wide variety of hardware and devices. The programming interface can be used to address robots using 8-bit or 16-bit processors as well as 32-bit systems with multi-core processors and devices from simple touch sensors to laser distance finding devices.
A set of useful tools that make programming and debugging robot applications scenarios easier. These include a high quality visual simulation environment that uses the Ageia Technologies™ PhysX™ engine.
A set of useful technology libraries services and samples to help developers get started with writing robot applications.
Our development environment runs on the platforms listed in the section "System Requirements". It can be used to support robots that support these platforms as well as robots that can be remotely controlled from a PC running a supported platform. The remote control can for example be through a serial port, Bluetooth®, RF or Wi-Fi. We provide information that can be used by hardware or software vendors to make their products compatible with our development platform.
[In Corruption We Trust] 13 easy ways to safeguard your privacy in 2007. Alguns d'ells no són aplicables al context català, però d'altres sí: tenir un telèfon que no surti a la llista telefònica, rebre el correu a un apartat postal, utilitzar targetes de telèfon de prepagament, protegir la nostra informació accessible a la xarxa, etc...
Avui he vist la promoció d'una sèrie de documentals que emet el Canal 33 (tant en versió analògica com en TDT) anomenada «Doble joc» que tracta sobre espionatge. En aquesta promoció es veu força d'informàtica i criptografia (fins i tot es veu com expliquen el codi de Cèsar d'una forma ràpida a la pissarra).
Els documentals s'emeten els dimarts a les 22.00. El proper capítol, El talp de Terra Lliure, no té massa relació amb la informàtica, però desvetlla com un espia es va infiltrar a l'organització Terra Lliure.
Sembla que, com a mínim, ja s'ha emès un capítol d'aquesta sèrie, Cisne, l'espia de la revolució del que no trobo cap referència. La web del programa sembla totalment desactualitzada (parla de les emissions de l'any 2004).
Landon Fuller was an engineer in Apple's BSD Technology Group, and one of the principal architects of the Darwin system: an open-source, Unix-like operating system designed to work as a standalone operating system as well as the core set of components for Mac OS X. He has already offered fixes for the two vulnerabilities published by MOAB so far.
Also on Tuesday, Fuller published a fix for a second vulnerability found by MOAB — a format string vulnerability in the open-source VLC media player that MOAB warns could be used by a remote attacker to execute arbitrary code. VLC published its fix soon after the vulnerability was reported to them by Kevin Finisterre.
No és l'Estatut que va aprovar el Parlament, ni tampoc el que molta gent desitja.. però és l'Estatut que es va aprovar en referèndum el passat 18 de juny i el marc legislatiu actualment en vigor.
Tot això ve al cas al veure que a la web de la Generalitat es pot demanar l'enviament d'una còpia del text de l'Estatut en forma de llibre, amb una portada especial de l'Antoni Tàpias.
A més a més el text està disponible en cinc edicions diferents: en català, aranès, castellà, basc i gallec. Cada una en un llibre separat.
Això m'ha fet recordar com alguns autors 'anònims' de weblogs es queixaven, poc després de l'aprovació de la versió inicial i no retallada de l'Estatut pel Parlament de Catalunya, que el text només estava disponible en català. És clar, no comentaven en cap moment que aquell text tan fantàstic (per ells), la constitució espanyola, només es troba en versió castellana a la web del Congreso de los Diputados. No està disponible en cap altra llengua... (sí està disponible en català, tal com m'han indicat als comentaris).
Segurament per això ara consideren que la constitució espanyola és anticonstitucional :)
this article updates the quick writeup that started in the temp directory of this domain detailing how to import users encrypted file system (efs) keys from an old offline profile into a new system in order to gain authorized access to previously inaccessible encrypted data.
[Datamation] NAC: A User's Guide. NAC serà una de les tecnologies de seguretat que més implantacions tindrà durant aquest any. Es basa en analitzar l'estació que sol·licita accés a la xarxa per verificar si la seva configuració és adequada: disposa d'un antivirus, hi ha determinades actualitzacions, etc... tot això abans de donar-li una adreça IP
La Batalla d'Almansa, de la que el proper 25 d'abril es celebrarà el tercer centenari, representa la pèrdua de llibertats nacionals del País Valencià, l'abolició dels furs que des de Jaume I havia anat guanyant el poble valencià i l'establiment de les normes, costums i llengües castellanes en tots els àmbits de la vida. Per tant, els esdeveniments d'Almansa són, en certa mesura, una mena d'avançada del que pocs anys després esdevingué també a Catalunya (1714) i a Mallorca (1715).
En aquest llibre, l'antropòleg valencià Joan Francesc Mira fa una anàlisi divulgativa de la situació que portà a la guerra de successió al tro de la corona de Castella i d'Aragó, entre els bàndols que donaven suport a Felip IV (de la casa francesa dels Borbons) i els que donaven suport a Carles III (de la casa dels Habsburg).
El llibre es divideix en tres grans apartats: un país, una guerra i una derrota. Al primer, un país, es fa una anàlisi de la situació del Regne de València en produir-se la mort de Carles II, rei de Castella i d'Aragó, l'any 1700 sense successió.
El Regne de València disposava d'una personalitat política pròpia i ben definida, amb un ordenament jurídic i una administració similars a les existents a Catalunya i l'Aragó. Aquí l'autor dedica un gran esforç a combatre la idea que València només disposava d'una legislació feta a base d'acumular disposicions disperses... ja que aquesta era la tònica general arreu. També es fa un repàs a la situació econòmica i social del País Valencià.
El segon apartat del llibre és una reconstrucció de la Guerra de Successió, un conflicte d'abast europeu. Des de les primeres batalles, quan un exèrcit britànic amb la participació de tropes catalanes ocupava Gibraltar l'any 1704 fins a l'esdeveniment que dóna nom al llibre: la batalla d'Almansa a l'abril de 1707.
Entre aquestes dues batalles, es fa una anàlisi dels moviments polítics i militars, els efectes que van tenir sobre la situació del País Valencià i el context geopolític europeu.
A la última part del llibre, Joan Francesc Mira presenta tot allò que esdevingué al País Valencià d'ençà la derrota a la batalla d'Almansa i l'ocupació militar, el genocidi polític i la presència d'una força militar d'ocupació. Així, dos mesos després de la batalla, Felip IV d'Aragó (aleshores ja el podem anomenar Felip V, atesa l'abolició del Regne d'Aragó) decretava:
Considerando haber perdido los reinos de Aragón y Valencia, y todos sus habitadores, por la rebelión que cometieron, faltando enteramente al juramento de fidelidad que me hicieron como a suy legítimo Rey y Señor, todos los fueros, privilegios, exempciones y libertades que gozaban, así por mí como por los reyes mis predecesores, particularizándolos en ésto de los demás reinos de mi corona, y tocándome el dominio absoluto de los referidos reinos de Aragón y Valencia, pues en la circustancia de ser comprendidos en los demás que tan legítimamente poseo en esta monarquía, se añade ahora la del justo derecho de la conquista que de ellos han hecho últimamente mis armas con el motivo de su rebelión; y considerando también que uno de los principales atributos de la soberanía, es la imposició y derogación de las leyes, las cuales, con la variedad de los tiempos y mudanza de costumbres podría yo alterar, aún sin los granes y sobrados motivos y circunstancias que hoy concurren para ello en lo tocante a los de Aragón y Valencia:
He juzgado por conveniente, así por esto, como por mi deseo de reducir todos los Reinos de España a la uniformidad de unas mismas leyes, usos, costumbres y tribunales, gobernándose igualmente todos por las leyes de Castilla, tan loables y plausibles en todo el universo, abolir y derogar enteramente como desde luego doy por abolidos y derogados todos los referidos fueros, privilegios, prácticas y costumbres hasta aquí observadas en los referidos reinos de Aragón y Valencia; siendo mi voluntad que éstos se reduzcan a las leyes de Castilla y al uso, práctica y forma de gobierno que se tiene y ha tenido en sus tribunales, sin diferencia alguna en nada, pudiendo obtener por esta razón igualmente mis fidelísimos vasallos castellanos motivos para que acrediten de nuevo los afectos de mi gratitud, dispensando en ellos los mayores premios y gracias tan merecidas de su experimentada y acrisolada fidelidad, y dando a los aragoneses y valencianos recíprocas e igualmente mayores pruebas de mi benignidad, habilitándolos para lo que no estan en medio de la gran libertad de los fueros de que gozaban antes y ahora quedan abolidos.
En cuya consecuencia he resuelto que la audiencia de ministros que se ha formado para Valencia, y la que he mandado se forme para Aragón se gobiernen y manejen en todo y por todo como las dos cancillerías de Valladolid y Granada, observando literalmente las mismas reglas, leyes, prácticas, ordenanzas y costumbres que se guardan en éstas, sin la menor distinción ni diferencia en nada, excepto en las controversias y puntos de jurisdicción eclesiástica, y modo de tratarla; que en ésto se ha de observar la práctica y estilo que hubiere habido hasta aquí en consecuencia de las concordias ajustadas con la Santa Sede Apostólica, en que no se debe variar; de cuya resolución ha querido participar al Consejo, para que lo tenga entendido.
Buen Retiro, a 29 de Junio de 1707
Títol: «Almansa 1707, després de la batalla» Autor: Joan Francesc Mira 1a edició - novembre 2006 Edicions Bromera 126 pàgines ISBN 978-84-9824-145-6
Adware and spyware were the threats most frequently detected by Panda ActiveScan, accounting for 41% of all detections. Both spyware and adware are related to advertising, as they aim to gather personal data about the online store websites users visit, in order to offer them products and services that adapt to their preferences. This practice is illegal if carried out without the affected user’s consent, as it involves a violation of their privacy for commercial purposes.
(...)
Financial motives are determining the activity of threat creators almost exclusively now. These are professional criminals who create malicious code not to achieve notoriety or show their programming skills, but simply to get money. We believe that this trend will not only be maintained in the future, but it will increase further. In this situation, it is essential to keep one’s guard up at all times and use all technological means of protection at hand.
[eWeek] Five hacker who left a mark on 2006. Són H.D. Moore pel Metasploit; Johnny Cache i David Maynor per la vulnerabilitat als controladors sense fils; Mark Russinovich per la identificació del rootkit de Sony i Joanna Rutkowska per la identificació de noves tècniques que permeten ignorar els programes de detecció de virus.
La popularització de determinats equips, com les càmeres de fotos i els reproductors MP3, fa que tot sovint ens trobem amb la necessitat de canviar de format de les targetes de memòria. Si la càmara vella utilitzava el format Memory Stick i la nova utilitza CompactFlash seguratment tindrem la tentanció d'agafar tots els Memory Stick que tenim i posar-los a la venda a eBay.
I, naturalment, en aquestes targetes s'hi troba de tot... algunes sense cap mena de dificultat (material no esborrat); en altres senzillament es pot recuperar de forma ben simple.
Què han trobat?
Statistically, this indicates that 78% of the cards we obtained on eBay contained recoverable data. In total, we found 240 pictures, 17 movies, and a wide range of files from the card with computer files. The following lists the main subjects of the images.
Lots of close ups of pets, babies, teenagers, young adults and couples posing (with clothes on)
Teenager practicing gang signs?
Disney world vacation
Insurance company pictures (someone took pictures of various insurance agency signs from Georgia)
Niagara Falls and Jehovah Witness Watchtower Expose
Construction contractor digital log
People partying, getting drunk, and passing out
The evidence suggests that people are not aware that their privacy is at risk. In addition, the fact that some of the cards contained undeleted images is a bit disconcerting. At a bare minimum media card owners should have deleted the viewable images.
While these statistics may seem high, they are inline with other studies performed on used hard drives purchased from eBay. For example, in a research project performed by PointSec in 2004, it was discovered that roughly 88% of used drives contained sensitive information. In 2005, a follow up study found that 71% of drives contained recoverable data. So, it is not surprising to discover that a majority of our media cards also contained files.
La recuperació de les dades l'han feta amb el programa PhotoRec.
Trend Micro ha publicat un informe semestral sobre la percepció que tenen els usuaris de la seguretat i la confiança en Internet, l'anomenat «Bi-Annual Internet Confidence and Safety Survey» (encara no l'he trobat en còpia).
Per la nota de premsa, aquest estudi s'ha realitzat entrevistant usuaris de cinc països (Estats Units, Japó, Regne Unit, França i Alemanya) amb l'objectiu de conèixer quina percepció tenen sobre els aspectes de seguretat de la xarxa en general:
Trend Micro’s Internet Confidence and Safety survey analyzes consumer perception regarding a number of Internet-related concerns such as how safe and confident consumers feel when using the Internet, their view regarding the future safety of the Internet, how many consumers have experienced actual infections during the past six months, their confidence in their security software and an analysis of their online internet activities. Additionally the research includes a measure of consumer perception around security related to mobile phone Internet usage.
El resultat és que un 51% dels usuaris considera Internet com un lloc no segur i que els programes de protecció que tenen (tallafocs, antivirus, detecció d'activitat anòmala...) no ofereixen la suficient protecció.
D'altres dades d'interès:
71 percent of Japanese respondents believed they have not been infected by malware in the last six months yet only 24% of them were confident that their Internet Security solution was effectively protecting them.
In the US, 51 percent of respondents view the Internet as currently being "very safe" but that number drops dramatically to 32% when respondents were asked if they think the internet will be more or less safe in six months.
Similarly, in Germany, 43% believe the Internet to be "very safe" but that number drops to 24% when asked about the safety of the Internet in six months
67% of respondents in Japan admit to using freeware/shareware programs, compared with only 63% in Germany, 62% in France, 44% in the UK, and 43% in the US
Espero que en els propers dies publiquin la versió íntegra de l'estudi, atès que semba força interessant.
[Asociación de Internautas] El Phishing en España se incrementa un 290% en 2006. L'Asociación de Internautas ha fet un recull dels phishings contra entitats espanyoles durant l'any 2006. En total se n'han enregistrat prop de 1200 atacs, el que representa un increment d'un 290% respecte als 293 identificats durant l'any 2005.
Durante 2006 en España se han detectado 1184 ataques de Phishing frente a los 293 detectados en 2005, lo que ha supuesto un crecimiento del 290%, según revela el segundo informe de seguimiento de Phishing en España durante 2.006.
De este total, 705 suplantaban a entidades financieras. Banesto ha sido la entidad más atacada con 144, seguida del Santander con 118 y CajaMadrid con 115. Los fraudes de SCAM -ofertas falsas de trabajo- han alcanzado 344 y por último, 135 han sido sitios web trampa de sitios web como Ebay, Paypal o sitios para descargas online de móviles.
Pel que fa a les entitats catalanes, la més afectada és Bancaixa mentre que 'la Caixa' destaca per una ràpida resposta:
-Bancaja TOTAL: 22 Nota: Desde que incrementaron su nuevo sistema de seguridad los ataque descendieron hasta casi desparecer.
Esta entidad ha colaborado muy activamente con la Comisión de Seguridad de la Asociación en casos de fraude online. Tuvimos la oportunidad de comprobar sus nuevas iniciativas de seguridad pioneras en nuestro país, con un resultado muy positivo.
-La Caixa TOTAL: 13
Nota: Es la entidad financiera que ha actuado mas rápidamente a la hora de cerrar sitios web trampa, posiblemente el numero de incidencia ha sido mayor pero su actuación ha sido muy eficaz en defensa de los intereses de sus clientes.
-BANCO VALENCIA TOTAL:3
Participa con la Comisión de Seguridad de la A.I en casos de fraude online .
There are many visually informative monitoring programs for assessing the health of your computer environment. Everything from simple text displays to real-time charts and 3-D colored graphs are available to help you diagnose issues with your personal, server, or network computing devices. chordStats adds a new channel of interface to your system monitoring setup -- information passed through tone, timbre, and harmony.
Around 1998, Peep! The Network Auralizer was developed to provide an "ambient" audible environment to assist administrators in sensing a baseline and a perturbed state of their networks. Using sound effects played back according to certain events, administrators could immerse themselves in the normal sounds of their network (water rushing for general load, bird calls for network events, for example), and have an instant sense when something is amiss by the change in ambient sounds.
chordStats produces a similar sound environment with the addition of tones, instrument sound characteristics, and harmony creation based on system load. In this article, we create a simple Perl script to send note events to FluidSynth, force the various system events to be interpreted as a part of a harmonious interval, and discuss future options for enhancing your musical monitoring environment.
Durant el dia d'ahir es va conèixer l'existència d'una vulnerabilitat XSS a GMail que, en la mesura dels meus coneixements, continua sense solucionar-se.
Per tant, el consell de dia és que mentre estigueu connectats a GMail no seguiu cap enllaç (ni de pàgines web, ni de missatges...) i que abans de accedir a qualsevol altre lloc, desconnecteu la sessió de GMail.
A vulnerability exists in the handling of the rtsp:// URL handler. By supplying a specially crafted string (rtsp:// [random] + semicolon + [299 bytes padding + payload]), an attacker could overflow a stack-based buffer, using either HTML, Javascript or a QTL file as attack vector, leading to an exploitable remote arbitrary code execution condition.
Exploitation of this issue is trivial, and stack NX can be rendered useless via ret-to-libc.
Afecta al QuickTime 7.1.3 (i segurament també a les versions anteriors) en Mac OS X i Windows.
vLite 0.7 és una eina pels usuaris de Windows Vista que permet desactivar totes les característiques supèrflues i que poden afectar al rendiment. Un cop escollides les funcions que ens interessa, genera un CD d'instal·lació específic per a la nostra configuració.
En teoria, avui, 1 de gener hauria de començar la nova i esperada etapa de «la vaca»... de moment, però l'anunci ens continua remetent a l'1 de gener; espero que no calgui esperar fins l'any 2008 ;)
[ComputerWorld] Spam project pulls plug. El projecte Open Relay Database (ORBD) tanca la barraca... Bona notícia! Un projecte que es basava en un concepte equivocat, el bloqueig... i que, a més, ha estat utilitzat d'una forma prepotent. A més a més, la seva utilitat era més aviat minça, així que tampoc perdem res.
The ORDB is essentially a victim of its own success. Five years ago, around 90% of spam was sent through open relays, and now the figure is less than 1%, as a result of blocking lists and Internet service providers disallowing third-party relay.
While the shift has stopped one type of spam distribution, it has also caused inconvenience for users, who were once able to use open relays to, for example, connect to mail servers from different locations. Spammers haven't been deterred and generally now rely on botnets, networks of compromised PCs, to send spam.
The project said users should remove ORDB checks from mailers immediately. As a replacement, the project recommended a combination of graylisting and content-based analysis, such as dspam, bmf or Spam Assassin.
Estic d'acord amb les recomanacions demesures anti-spam: el greylisting i l'anàlisi de contingut són, en la meva experiència personal, dos bons mètodes de reducció del volum de correu brossa.
Hi ha empreses que són realment idiotes... un exemple ben clar: a la web d'Adobe us donen l'opció d'escollir la versió de l'Acrobat Reader que voleu baixar... Si sou d'aquells que voleu una versió concreta, veureu aquest missatge:
Fantàstic... permeteu baixar una versió que sabeu és vulnerable! Tant us costa incloure l'actualització a la versió 6.0.2 a la web i eliminar aquesta versió vulnerable? Tan poca cultura de seguretat teniu? Tan poc respecteu la seguretat dels usuaris dels vostres programes?
A few months back I did some intense testing of all the best vulnerability scanners out there… I had a couple nix boxes hooked up, as well as some dozers, and figured I could add clients to a "once-a-week" scanning contract. So naturally, I wanted to use the scanner that was the best for my purpose.
I tested the following (trying to only list automated vulnerability scanners):
Tal com ja vaig indicar l'any passat, el que va començar com una cosa divertida al començament d'aquest weblog ho ha continuat sent durant aquest any :) Cada mes, a sota del títol del weblog hi afegeixo un motto, una mena de definició del mes... Si l'any passat vaig fer el recull dels corresponents a l'any 2005, ara toca publicar les d'enguany.
Les frases del 2006
Gener: «Well all alone, all alone I've been travelling. Travelling all along through these wasted. Dark, dark wasted years. I must have gained something. I'm gonna make damn sure there's no more wasted years today». de la cançó «Wasted Years» de Van Morrison.
Febrer: «Gotta get through February», de la cançó «Fire In The Belly» de Van Morrison.
Març: «Now you go one and two and three, here's a little step for you and me. Come and strut your stuff but leave enough for nearest boogie and truest boogie woogie» de la cançó «Boogie Down» de l'Al Jarreu.
Abril: «If you wish to make an apple pie from scratch, you must first create the universe», del llibre «Cosmos» de Carl Sagan.
Maig: «Lo dilluns va dir al dimarts que passés per ca'l dimecres i preguntés al dijous si era veritat que el divendres havia dit al dissabte que era festa el diumenge».
Juny: «I arribarà el dia de glòria quan ja no quedin cristians, que cantarem la gran victòria, dels fidels, valents fills d'Al·là. I aquest mar estimat serà nostre, serà el mar dels germans musulmans». del musical «Mar i Cel» de Dagoll Dagom, amb lletra de Xavier Bru de Sala.
Juliol: «Welcome to my home. Enter freely of your own will and leave some of the happiness you bring» de la pel·lícula «Bram Stroker's Dracula» de Francis Ford Coppola.
Agost: «I'm pretty tough, but the wind is rough on the dunes» de la cançó «On The Dunes» del disc «Kamakiriad» de Donald Fagen.
Setembre: «En moto chupu-pa-pa-pa, en moto chupu-pa-pa-pa. Ai, quan engego la moto, quin orgasme sideral!» de la cançó «La moto» de Pere Tàpias.
Octubre: «I never forget a face, but in your case I'll be glad to make an exception», de Groucho Marx.
Segurament això és una cosa que no preocupa a la majoria d'usuaris, que confien cegament en la configuració per defecte o creuen, erròniament, que és un problema que no els afecta en absolut (al cap i a la fi, qui voldrà entrar a la meva xarxa Wi-Fi?). Però aquells que alguna vegada s'han enfrontat a configurar la seguretat el seu punt d'accés, el més probable és que hagin desistit o hagin passat hores i hores intentant determinar com configurar correctament tots aquests mots tan rars que apareixen a la pestanya de seguretat de la configuració del punt d'accés.
Tots els capítols de «Don Quijote de la Mancha» (primera i segona part) en 
Del 25 de gener al 25 de maig hi ha l'exposició «Per bruixa i metzinera. La cacera de bruixes a Catalunya (s. XV-XVII)» al Museu d'Història de Catalunya, al Palau de Mar de Barcelona.
El proper 1 d'abril, el weblog de 
Bé, finalment un dels grans rumors de fa anys s'ha desvetllat: Apple ha presentat el seu telèfon mòbil, l'
No és l'Estatut que va aprovar el Parlament, ni tampoc el que molta gent desitja.. però és l'Estatut que es va aprovar en referèndum el passat 18 de juny i el marc legislatiu actualment en vigor.
Durant el dia d'ahir es va conèixer l'existència d'una vulnerabilitat XSS a GMail que, en la mesura dels meus coneixements, continua sense solucionar-se.