Come ogni giorno (non è vero ma lasciate che ci creda) leggo le news del mio feed, e come un coniglio dal cilindro ecco che esce fuori da google reader
A paper has just been released on the Windows Vista’s gadget API. The abstract is as follows:
Windows has had the ability to embed HTML into itâ??s user interface for many years. Right back to and including Windows NT 4.0, it has been possible to embed HTML into the task bar, but the OS has always maintained a sandbox, from which the HTML has been unable to escape. All this changes with Windows Vista. This paper seeks to inform system administrators, users and the wider community on both potential attack vectors using gadgets and the mitigations provided by Windows Vista.
Non c’avevo mai pensato in effetti gran bella pensata e bel white paper… clicco sul post vengo redirezionato sul forum di SecurityFocus …
Yes, this is a “new” attack vector, but it is always game over anyway if I can get you to run my untrusted program. In my testing, installing any Vista sidebar gadget results in a minimum of 3 warnings, each saying that the code being installed could be harmful, before it is installed. 5 warnings if the gadget is unsigned. It’s something to be aware of, because malicious hackers will exploit them, and many end-users will ignore any warning, but not the most worrisome problem on my plate. Secondly, I can completely control the install of any gadgets in my environment using Active Directory group policies to a granular level.
Roger
*******************************************************************
*Roger A. Grimes, Senior Security Consultant
*Microsoft Application Consulting and Engineering (ACE) Services
*http://blogs.msdn.com/ace_team/default.aspx
*CPA, CISSP, CISA MCSE: Security (2000/2003), CEH, yada…yada…
*email: roger (at) banneretcs (dot) com [email concealed] or rogrim (at) microsoft (dot) com [email concealed]
*Author of Windows Vista Security: Security Vista Against Malicious Attacks (Wiley)
*http://www.amazon.com/Windows-Vista-Security-Securing-Malicious/dp/0470 101555
******************************************************************
Al di là del fatto che il commento è stato bellamente ignorato, vorrei commentare alcuni punti essenziali della risposta data:
La sicurezza di un sistema operativo non si misura dal numero di warning che ti vengono propinati prima di fare una qualsiasi azione
La sicurezza delle procedure che sono in esecuzione sulla macchina non può essere SEMPRE demandata all’utente anzi UTONTO (vedi punto sopra)
La sicurezza di un sistema deve essere intrinseca al sistema stesso, e non parlo certo dei concetti di Security Through Obscurity che a Redmond oramai sono vessillo aziendale
In definitiva l’UAC di Vista è poco più che un pagliativo alla sicurezza del sistema (lo dico io e lo dice Kaspersky)
Perchè poi sapete come viene girata a sfavore dell’utente la situazione?
Frasi del tipo, “Se hai ignorato i 5 warning prima di installare quel software/gadget/yadayada la colpa non è mia …”, sono all’ordine del giorno … Mah!!!
Le crociate sono state sempre il mio forte, e come me probabilmente altre centinaia di persone hanno posto veti su veti alla non approvazione di questo standard il risultato è che
Così ISO ha ieri formalmente comunicato al mondo quanto era trapelato nelle ore precedenti, ossia l’esito del primo round di voto sulla standardizzazione di OOXML, Office Open XML, la specifica sostenuta da Microsoft e integrata nei suoi prodotti di punta ma invisa ad alcuni suoi competitor e ad una parte del mondo open source. [From PI: ISO, OpenXML al primo round non passa]
Ma non sono le battaglie che fanno vincere la guerra. Tanto meno il trambusto che possiamo fare noi piccoli e tenaci utenti, come gli abitanti di una nuova Cartagine…
Victorious anti-OOXML campaigners would do well to think twice about crowing over Microsoft’s PR spin on the vote. The next step for OOXML is an ISO “ballot resolution meeting” in February where voting countries are able to change their ballot if they deemed their comments to have been addressed. Rome’s greatest days came after Cannae—after losing 70k in the bloodiest day of battle ever, Rome went away to lick its wounds, raised another army, did battle again, and kicked Hannibal and Carthage’s asses. [From OOXML stalls at ISO]
PEOPLE in the city of Lund in Sweden that use the Microsoft Vista OS can’t connect to the Internet. According to this local newspaper, the reason is because Lund is a Linux city which has a a Linux server that doesn’t like Vista. Lundis Energi blamed Microsoft because Vista has got a bug and it isn’t going to change the configuration of the server just to cope with the flaw. A local Microsoft rep said it could probably fix the problem if Lundis Energi got in touch with it. [From Entire city of Vista users can't access the internet]
In Svezia voci dicono che ci sono famiglie con connessioni internet da 40Gbps (:shock:). In Svezia oggi però, buona parte della popolazione non può connettersi ad internet nemmeno utilizzando una ridicola connessione a 56Kb, perchè? Perchè stanno utilizzando Windows Vista!!!!
Secondo un giornale locale svedese, gli utenti che hanno installato Vista a Lund (sede anche di una nota università), non possono accedere ad internet a causa di un “bug” (approfondirò perché la cosa è alquanto ridicola) che impedisce l’utilizzo dei server di un provider locale “Linux-based”. Ovviamente l’isp in questione s’è un pò, come dire, alterato, facendo causa a Microsoft per il rimborso dei danni subiti (Mah!) visto che si vedranno costretti a cambiare parte della loro infrastruttura?! (sempre più MAH!).
Sta di fatto che una parte della popolazione, ad oggi è senza internet (vediamo se fra 9 mesi c’è un baby boom a Lund? )
UPDATE: Windows Vista cannot obtain an IP address from certain routers or from certain non-Microsoft DHCP servers
Base: 256986 Description of the Microsoft Windows registry
SYMPTOMS
Consider the following scenario:
• You connect a Windows Vista-based computer to a network.
• A router or other device that is configured as a Dynamic Host Configuration Protocol (DHCP) server is configured on the network.
• The router or the other device does not support the DHCP BROADCAST flag.
In this scenario, Windows Vista cannot obtain an IP address.
The Linux Foundation has issued a call to all nations asking them to just say “no” to Microsoft’s bid to make OOXML a standard. The plea comes amid accusations that Microsoft isn’t playing fair.
L’originale su noooxml.org, notare la posizione di Novell e Apple…
A quanto pare il formato OOXML proposto da Microsoft, in aperto conflitto con l’ISO Open Document Format, deve essere approvato ISO a tutti i costi, ne va della vita stessa dell’azienda, che potrà così continuare a tenere legati i suoi clienti con l’inganno del “formato Microsoft aperto, ma che funziona meglio con il nostro software Microsoft chiuso”… vecchia storia. L’azienda sta letteralmente combattendo la battaglia per la sua sopravvivenza, e ormai lo capiamo tutti dall’intensità dello sforzo profuso. Ovviamente uno sforzo che fa perno non sui meriti del formato o su particolari motivazioni tecniche (e in ogni evenienza ODF è già lì, standard realmente aperto e pronto ad essere eventualmente migliorato), ma uno sforzo che prevede uso abbondante e sfrontato del classico mezzo che ha contribuito non poco a portare Microsoft nella posizione di monopolio in cui si trova: i soldi. Guardate la vignetta di sopra: pensate che il team di NoOOXML abbia esagerato con le accuse? Credete che una cosa così eclatante come l’acquisto di voti per far passare OOXML come standard ISO non possa più avvenire nella moderna società dell’informazione? [From La brutta faccia di Microsoft e l’OOXML « pollycoke ]
Non commenterò oltre, di parole se ne stanno dicendo troppe e troppo spesso non nei luoghi adatti. Vi darò 8 buoni motivi per non accettare l’ennesima forzatura di concetti che una comunità di utenti vuole rimangano immutati:
1. Esiste gia’ lo standard ISO26300 - Open Document Format (ODF): un doppio standard aggiungerebbe costi, incertezza e confusione per industrie, governi e cittadini;
2. Non esistono implementazioni della specifica OOXML: Microsoft Office 2007 produce una versione particolare di OOXML, differente da quella descritta nella specifica OOXML;
3. Mancano delle informazioni nel documento di specifica, ad esempio su come utilizzare autoSpaceLikeWord95 o useWord97LineBreakRules;
4. Piu’ del 10% degli esempi citati nella proposta di standard non sono documenti XML validi;
5. Non c’e’ alcuna garanzia che si possa scrivere un software che implementi la specifica OOXML completamente o in parte senza essere perseguibili per infrazione di brevetto o senza dover pagare licenze di brevetto alla Microsoft;
6. Questa proposta di standard e’ in conflitto con altri standard ISO, come ISO 8601 (Rappresentazione di date e orari), ISO 639 (Codici per la rappresentazione di Nomi e Lingue) e ISO/IEC 10118-3 (Hash crittografici);
7. C’e’ un bug nel formato del foglio di calcolo che rende impossibile inserire date antecedenti il 1900: tale bug e’ presente tanto nella specifica OOXML quanto in software come Microsoft Excel 2000, XP, 2003 e 2007;
8. Questa proposta di standard non e’ stata creata tenendo conto delle esigenze e dell’esperienza di tutte le parti interessate (produttori, venditori, acquirenti, utenti e regolatori), ma solamente della Microsoft.
Ed ancora, un bell’articolo comparativo ed assolutamente acritico che conclude dicendo:
Pressure from customers, including many governments, has pushed technology companies toward openness and ODF. Microsoft has responded with its new format, OOXML. However, a close examination of the origins, technical specifications and follow-up implementations of both formats reveals significant differences.
Where ODF meets the four objective criteria of open standards handsomely, OOXML does not satisfy any of the four as extensively. ODF showcases how an inclusive, consensus-driven, transparent development process can produce a standard that is available to everyone. OOXML’s weaknesses begin at the fundamental level: its goals conflict. While the format proposes itself as a solution to backward compatibility, its approach, design, and execution block full implementation by entities other than Microsoft.
The great promise of XML, interoperability, cannot be achieved with OOXML. Ultimately, the format’s conflicting objectives make it a poor candidate for a global standard. In light of such fundamental limitations, basic questions need to be resolved before OOXML is considered for use on any basis and certainly as a potential standard. The questions resonate: How can OOXML with its lack of an open life-cycle, lack of complete documentation in the specification, lack of multiple software implementations, and lack of interoperability across diverse platforms meet the legal as well as practical needs in the organization for long-term document archiving and for accommodating the flow of information correctly through business processes across different types of systems? ICT executives and policy-makers will be looking carefully at their own objectives in deciding which document format is appropriate for their users and for the long-term viability of their systems and information culture. It is no longer necessary to accept the one solution offered. And it is important to get this particular decision right, given the practical and strategic importance of the document format today.
UPDATE: Questo ha dell’incredibile! Nemmeno i politicanti di paese fanno più “ste cose”…
… ma ancor più sospetta sembra risultare la presenza improvvisa nel luogo della votazione di ben 23 compagnie partner di Microsoft. La votazione finale è stata di 25 voti in favore della standardizzazione del formato OOXML, 6 contrari e 4 astenuti, e viste le cifre, risulta chiaro come la presenza dei partner della società di Gates abbia avuto un peso determinante nel decretare l’approvazione dello standard. [From Microsoft, standard con il trucco | Microsoft | Webnews.HTML.it]
D’accordo, è un simbolo vecchio almeno quanto la Muraglia Cinese, se non di più.
Rappresenta il bene e il male, il bianco e il nero, due cose opposte, insomma, che si abbracciano assieme formando la figura geimetrica perfetta: il cerchio, che simboleggia la vita.Non vogliamo dire che “a suo tempo” lo avesse inventato Steve Jobs, ci mancherebbe altro, però il pensiero di creare un logo per le applicazioni Universal partendo dal significato di “coesistenza” tra i vecchi PowerPC e i nuovi Intel, era caduto proprio su questo simbolo vecchio di secoli.
I colori usati da Apple però sono rappresentativi, infatti sono gli stessi utilizzati per colorare il logo del Finder, simbolo di Mac praticamente da sempre.
Quindi non vogliamo nemmeno dirvi che Microsoft non fosse autorizzata ad usare lo storico simbolo cinese, ma almeno avere la buona creanza, e magari la fantasia di usare dei colori diversi…
NB: il sito powertogether.com di Microsoft è stato chiuso diversi mesi fa, ma la notizia è rimbalzata nel web solo oggi. Riteniamo che possa essere ancora oggi un argomento di discussione per i lettori.
Cronache di un deface annunciato
(ma solo perchè non è difficile trovare pagine sui domini microsoft che non siano affette da problemi del genere, che MS debba rivedere le sue politiche di assunzione dei programmatori?)
Lo screen
Fig.1: Io amo questi Sauditi!!
La notizia
Brutto risveglio (è stato qualche giorno fà ma facciamo finta di nulla ) per il povero amministratore del dominio microsoft.co.uk.
Come puntualmente segnalato da Zone-H (e “mirroraro” per i posteri) il deface ha avuto inizio settimana scorsa, ma il problema è rientrato (togliendo la pagina -_-’ ), e si esplica, semplicisticamente parlando, nell’aggiunta di un’innocua riga di codice alla seguente pagina:
Dando un’occhiata alla pagina PreRegister.aspx si nota come il parametro V2 possa essere facilmente utilizzato per effettuare una Sql Injection oppure un XSS, come testabile sul link “microsoft.co.uk/events/net/PreRegister.aspx” ora purtroppo non più disponibile.
Ma non mi dilungo troppo visto che l’attacker s’è preso la bega di fare un mini filmatino didattico sull’accaduto, visualizzabile qui sotto (in scarsissima qualità purtroppo)
…oppure scaricando lo zip uppato su RapidShare
(purtroppo il link fornito su ubase.com non funziona più)
)
Buon WebCast
Entries (RSS)