L’home dibuixat

La infraestructura de Google és un dels secrets més ben guardats… així que sempre és interessant trobar més dades: Google spotlights data center inner workings tracta sobre la presentació realitzada per Jeff Dean al passat Google I/O.

Primera dada: Google té 36 data centers arreu del món, amb 150 racks de servidors a cada data center. Un rack està format per 40 servidors. Això dóna la quantitat de 200.000 servidors per fer funcionar tots els serveis de Google.

I una cosa molt interessant: Google no fa servir sistemes comercials de cluster, sinó que s'ha dissenyat la seva pròpia tecnologia en base al software:

"Our view is it's better to have twice as much hardware that's not as reliable than half as much that's more reliable," Dean said. "You have to provide reliability on a software level. If you're running 10,000 machines, something is going to die every day."

(…)

In each cluster's first year, it's typical that 1,000 individual machine failures will occur; thousands of hard drive failures will occur; one power distribution unit will fail, bringing down 500 to 1,000 machines for about 6 hours; 20 racks will fail, each time causing 40 to 80 machines to vanish from the network; 5 racks will "go wonky," with half their network packets missing in action; and the cluster will have to be rewired once, affecting 5 percent of the machines at any given moment over a 2-day span, Dean said. And there's about a 50 percent chance that the cluster will overheat, taking down most of the servers in less than 5 minutes and taking 1 to 2 days to recover.

Un dels mites indicava que Google utilitzava ordinadors domèstics per formar els seus racks. Això no sembla ser ben bé del tot cert, ja que s'utilitza una circuiteria especial dissenyada per Intel.

També ens han mostrat una de les poques fotos que circulen sobre l'aspecte d'un rack de servidors de Google:

Excel·lent vídeo de com es pot enganyar fàcilment a la vista

Enllaç al vídeo

Sqlninja és una eina especialitzada per a explotar les vulnerabilitats d'injecció SQL a les aplicacions web que fan servir Microsoft SQL Server al backend. L'objectiu principal es donar accés remot al servidor de base de dades vulnerable. Inclou funcions per a la determinació de la versió de SQL Server, realització d'atacs de força bruta de l'usuari 'sa', creació de xp_cmdshell personalitzat en el cas que l'original hagi estat esborrat, etc…

S'integra amb el Metasploit 3 per donar una interfície gràfica del servidor vulnerable. Hi ha altres demos disponibles.

Sqlninja està disponible per a Linux, FreeBSD i Mac OS X.

Mai no he cregut en l'existència de forces de l'univers… però de vegades, n'hi ha per dubtar.

Fins ahir no tenia cap referència de la Sylvia Beach o, com a mínim no m'havia fixat mai. Entre ahir i avui a tot arreu em trobo amb ella.

La primera trobada va ser a la tarda; tot visitant un altre bloc on es comentava la sortida de Microsoft del món dels llibres digitalitzats, vaig veure una preciosa foto de la llibreria Shakespeare & Company de París. Com no la coneixia –mai no he estat a París–, vaig fer una mica de cerca, tot trobant la foto i un parell de vídeos interessants i curiosos. Així va sortir el post Shakespeare & Co, París.

La Sylvia Beach va ser la fundadora d'aquesta llibreria.

A la nit, quan estava a punt d'anar a dormir, vaig engegar el televisor i vaig fer una mica zapping amb la intenció de no veure res i ficar-me al llit. Com passa sovint, el Canal 33 va aconseguir mantenir-me despert fins a les dues de la matinada amb un documental sobre James Joyce.

La Sylvia Beach va ser l'editora de l'obra cabdal de James Joyce, Ulysses.

Aquesta tarda, fent temps, he entrat a una llibreria. Quan estava a punt de marxar, sense cap llibre, els ulls han anat a mirar un que estava desplaçat de la seva secció. Em trobava a la secció de llibres d'història, però el que he vist eren les memòries d'una llibretera.

De quina llibretera? De la Sylvia Beach: Shakespeare & Company editades per Ariel aquest passat abril.

El que deia… no crec pas que les forces de l'univers s'hagin aliat per fer-me veure que havia de conèixer la figura de Sylvia Beach. Però certament és curiós el nombre de coincidències en unes poques hores.

Evidentment, he sortit amb Shakespeare & Company sota el braç i ara és a la pila, amb un nivell elevat de prioritat en la seva lectura

No és el primer (mètit que cal atribuir al pesat del Josep d'Internet Marketing), però avui he rebut el segon missatge d'SPAM en català

CIRCULAR INFORMATIVA ADOLF taller d'art
número 54 — 30 de maig de 2008

ESBORRAR-SE: Si no voleu rebre cap més missatge d'ADOLF taller d'art, cliqueu aquí i envieu el missatge.
Aquesta circular informativa es distribueix en català, castellà o anglès a més de 9.000 adreces. Us agrairia que em comuniquéssiu qualsevol rectificació que vulgueu fer en els noms o en l'idioma de la circular. En cap cas es farà pública ni es posarà a disposició de cap altre fi.

 

Sí, definitivament és 100% SPAM en català. Cal mirar-ho de forma positiva i dir que cada vegada som més normals

[Scientific American] Hard Drive Recovered from Columbia Shuttle Solves Physics Problem. L'any 2003 el Columbia va ser el seu últim vol a l'espai. Durant l'enlairament, un petit impacte a l'ala va provocar la pèrdua de l'aïllant tèrmic, provocant una explosió de la nau durant la fase de reentrada a l'atmosfera.

Durant aquesta última missió a l'espai, els astronautes del Columbia van fer una sèrie d'experiments científics. Un d'ells analitzava quin era el comportament del Xenó en ambient de microgravetat. Les dades d'aquest experiment van quedar enregistrades en un disc dur Seagate de 400 MB per tal de ser analitzades un cop la nau hagués tornat a la Terra.

Després de l'explosió el disc dur va poder ser recuperat… però en l'estat que es pot veure en aquesta foto:

Afortunadament va ser possible recuperar la informació. Un servei comercial de recuperació de discos va poder accedir al 99% de les dades enregistrades. Malgrat l'estat general del disc dur, els discos magnètics només van patir danys menors i, encara amb més sort, els forats i arrugues només van afectar a parts que no contenien dades.

El procediment de recuperació va consistir, en primer lloc, en netejar la superfície amb una solució química per després copiar la informació damunt d'un disc dur nou. El procés de recuperació va trigar només dos dies.

Del Columbia es van trobar dos discos més… dels que no es va recuperar cap informació, ja que els metalls havien perdut tota la càrrega magnètica.

Entrevista al CSO de Cisco on, afirma que qualsevol diner invertit en eines antivirus és una forma de llençar els diners. Segons ell la producció de malware és tan ràpida que fa impossible als productors d'antivirus d'estar al dia, amb l'efecte de produir una falsa sensació de seguretat als usuaris.

La solució, segons ell, passa per la utilització de llistes blanques on s'indica quin són els programes que estan autoritzats per a la seva execució.

Vídeo que mostra com fer servir BackTrack (una distribució de Linux, directament executable des del CD-ROM i especialitzada en seguretat) per obtenir accés a una màquina a Windows Vista, sense conèixer cap dels usuaris ni les seves contrasenyes. El mètode utilitzat permet obtenir privilegis de sistema, que és el màxim nivell possible de privilegis.

Aquest atac només afecta a Windows Vista.

Red Hat Enterprise Linux 4

Analitza les vulnerabilitats detectades a Red Hat Linux 4.0 i les actualitzacions publicades, així com l'impacte de les amenaces potencials en funció de l'existència d'exploits o cucs que s'aprofiten d'aquestes vulnerabilitats.

Conclusions:

A default installation of Enterprise Linux 4 AS was vulnerable to seven critical security issues over the first three years

A customised installation of Enterprise Linux 4, selecting every package, would have been vulnerable to 76 critical browser security issues, and 11 in non-browser packages in the three years. 81% of those vulnerabilities had fixes to correct them available from the Red Hat Network within one calendar day of them being known to the public

Red Hat knew about 49% of security issues affecting the first three years of Enterprise Linux 4 in advance. The average time between Red Hat knowing about an issue and it being made public was 21 days (median 8 days)

We found public exploits for 49 vulnerabilities that could have affected a customised full installation, although the majority relied on user interaction. Attempts to use many of the exploits would be caught by standard Enterprise Linux 4 security innovations

The most likely successful exploits allowed a local unprivileged user to gain root privileges on an un-patched Enterprise Linux 4 machine

Two worms targeting Linux systems were found during the three years, but both affected third party PHP applications not shipped in Red Hat Enterprise Linux 4. In addition, an update to PHP released over three months before one of the worms was released protected systems that had installed the third party applications

Enterprise Linux 5.1 to 5.2 risk report

És un estudi similar a l'anterior, però centrat en les vulnerabilitats de les versions 5.1 i 5.2 de Red Hat Enterprise Linux.

The graph below shows the total number of security updates issued for Red Hat Enterprise Linux 5 Server starting at 5.1 up to and including the 5.2 release, broken down by severity. I've split it into two columns, one for the packages you'd get if you did a default install, and the other if you installed every single package (which is unlikely as it would involve a bit of manual effort to select every one). So, for a given installation, the number of packages and vulnerabilities will probably be somewhere between the two.

So for a default install, from release of 5.1 up to and including 5.2, we shipped 46 updates to address 119 vulnerabilities. 8 advisories were rated critical, 24 were important, and the remaining 14 were moderate and low.

For all packages, from release of 5.1 to and including 5.2, we shipped 62 updates to address 179 vulnerabilities. 9 advisories were rated critical, 29 were important, and the remaining 24 were moderate and low.

Lectura interessant: Six hours to hack the FBI (and other pen-testing adventures).

NVbit és un sistema de fitxers per a Linux que dóna accés a les particions de Windows Vista i Windows Server 2008 xifrades amb BitLocker (sempre que es disposi de les claus de xifrat).

Hi ha disponible una presentació i un white paper.

Google ofereix la Safe Browsing API que ens permet utilitzar el seu motor d'identificació de llocs malèvols. Amb aquesta API podem fer funcions com ara avisar als usuaris que quan segueixen un dels enllaços pot ser una font de distribució de malware o evitar que els visitants incloguin enllaços malèvols als comentaris d'un bloc.

També, relacionat, tenim la Safe Browsing Diagnostic Page amb la qual podem esbrinar què pensa Google dels nostres llocs des del punt de vista de la seguretat: si distribuïm malware o enllacem a llocs que distribueixen malware. També ens diu quan va ser la última vegada que Google va visitar el nostre lloc

Problema: en fer una connexió SSL a l'Active Directory es tanca. Al visualitzador d'esdeveniments del sistema es mostra aquest error:

Failed auto update retrieval of third-party root list sequence number from: http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt

La brillant traducció castellana és:

Error en la recuperación de actualización automática del número de secuencia de la lista raíz de terceros de: http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt con el error: No existe esta conexión de red

Explicació: Windows està configurat per baixar-se l'actualització del nombre de seqüència dels certificats de les autoritats de certificació arrel i no hi ha connectivitat.

Solució: Habilitar el tràfic Internet (difícil) o desinstal·lar el component Update Root Certificates (via Control Panel / Add/Remove Programs / Add/Remove Windows Components)

El Telectroscope és un giny òptic que s'ha instal·lat recentment a Londres (al costat del Tower Bridge) i a Nova York (al Brooklyn Bridge). Quina és la seva funcionalitat? Permetre que les persones que miren des d'un extrem puguin veure a les persones que estan a l'altra costat del túnel… gràcies a l'existència d'un túnel recentment acabat que connecta aquestes dues ciutats per sota l'Oceà Atlàntic.

Per desgràcia… això només és un espectacle que s'ha muntat a Londres i Nova York des d'avui i fins el 15 de juny. El túnel no existeix.

A flickr hi ha un munt de fotos i també vídeos a Youtube.

És una llàstima que això no existeixi en realitat… seria la webcam no digital més al·lucinant que un es pot imaginar.

S'han difós una sèrie de fotos i les especificacions del que sembla se el Treo 850, el nou telèfon mòbil de Palm basat en Windows Mobile:

14 mm in thickness, width 60 mm and length 113 mm

GSM, EDGE and UMTS HSDPA 3.6

assisted-GPS receiver

Wi-FI b/g

320×320 screen, touch panel

micro-SD slot under the battery

2 MP camera

1500 mAh battery

a micro-USB connector for both power and sync

bluetooth 2.0 EDR A2DP, 256 MB NAND-Flash (> 175 MB for user), 32 MB SDRAM

Windows Mobile Pro 6.1.

Bones notícies: pantalla de 320×320 (una característica que ja fa temps que els telèfons Treo amb PalmOS gaudeixen)… i el WiFi natiu.

Open Source Report 2008 és un informe realitzat per Coverity i el govern dels Estats Units que analitza el nivell de qualitat del codi, en relació a la seguretat, de diversos projectes de codi obert.

S'han analitzat 55 milions de línes de codi, de forma recorrent, en uns 250 projectes… En total, les proves representen l'anàlisi de 10.000 milions de línies de codi i 14.238 projectes. Això ha permès, per exemple, identificar una sèrie de projectes amb un nombre de vulnerabilitats i defectes molt baix:

• Amanda
• NTP
• OpenPAM
• OpenVPN
• Overdose
• Perl
• PHP
• PostFix
• Python
• Samba
• TCL

En realitat l'estudi no diu que aquests programes siguin "segurs" (Samba, per exemple ha tingut algunes incidències de seguretat importants en els últims anys), sinó que utilitzant eines d'anàlisi automàtica del codi font s'han detectat i solucionat vulnerabilitats potencials.

No obstant, recordeu justament que va ser la utilització d'una d'aquestes eines –i l'eliminació d'una línia de codi per esborrar un avís de vulnerabilitat potencial– la responsable del nyap a Debian amb l'OpenSSL.

Guía de implantación de OpenID explica els passos que s'han seguit al diari digital per a la implementació de l'OpenID, un sistema obert i descentralitzat per mantenir una identitat digital dins d'Internet, compartida per tots els sistemes participants en la xarxa.

Tal i com està definit a la Wikipedia:

OpenID és un sistema d'identificació digital descentralitzat, amb el qual un usuari pot identificar-se a una pàgina web a través d'un URL (o un XRI a la versió actual) i pot ser verificat per qualsevol servidor que suporti el protocol. La idea que hi ha al darrere és, doncs, que no calgui diferents comptes per entrar a diferents llocs web, sinó que amb una única dada identificadora es pugui entrar en més d'un espai: un compte d'usuari OpenID facilita l'accés als llocs que suporten aquest protocol i no cal tenir un identificador per a cada lloc web que es vulgui visitar.

Resposta oficial de Cisco a l'anunci d'un rootkit per a l'IOS: Cisco Security Response: Rootkits on Cisco IOS Devices. Bàsicament aconsellen seguir les bones pràctiques de seguretat per tal d'enfortir la seguretat dels dispositius de xarxa.

Guia de Hewlett Packard per a l'enfortiment de la seguretat de les impressores HP i dels servidors d'impressió: HP Jetdirect and Embedded Jetdirect Inside Print Servers — Making HP Jetdirect Print Servers Secure on a Network.

Una comparativa de com han variat, amb els anys, la mida de les racions als restaurants dels Estats Units: Portion Size, Then and Now.

Ració típica d'ara fa vint anys	Ració típica actual