Come ogni giorno (non è vero ma lasciate che ci creda) leggo le news del mio feed, e come un coniglio dal cilindro ecco che esce fuori da google reader

A paper has just been released on the Windows Vista’s gadget API. The abstract is as follows:

Windows has had the ability to embed HTML into itâ??s user interface for many years. Right back to and including Windows NT 4.0, it has been possible to embed HTML into the task bar, but the OS has always maintained a sandbox, from which the HTML has been unable to escape. All this changes with Windows Vista. This paper seeks to inform system administrators, users and the wider community on both potential attack vectors using gadgets and the mitigations provided by Windows Vista.

The full paper can be found at http://www.portcullis-security.com/165.php.

Cheers, Tim

–

Tim Brown [From SecurityFocus]

Non c’avevo mai pensato in effetti gran bella pensata e bel white paper… clicco sul post vengo redirezionato sul forum di SecurityFocus …

Yes, this is a “new” attack vector, but it is always game over anyway if I can get you to run my untrusted program. In my testing, installing any Vista sidebar gadget results in a minimum of 3 warnings, each saying that the code being installed could be harmful, before it is installed. 5 warnings if the gadget is unsigned. It’s something to be aware of, because malicious hackers will exploit them, and many end-users will ignore any warning, but not the most worrisome problem on my plate. Secondly, I can completely control the install of any gadgets in my environment using Active Directory group policies to a granular level.

Roger

*******************************************************************
*Roger A. Grimes, Senior Security Consultant
*Microsoft Application Consulting and Engineering (ACE) Services
*http://blogs.msdn.com/ace_team/default.aspx
*CPA, CISSP, CISA MCSE: Security (2000/2003), CEH, yada…yada…
*email: roger (at) banneretcs (dot) com [email concealed] or rogrim (at) microsoft (dot) com [email concealed]
*Author of Windows Vista Security: Security Vista Against Malicious Attacks (Wiley)
*http://www.amazon.com/Windows-Vista-Security-Securing-Malicious/dp/0470 101555
******************************************************************

[From SecurityFocus]

Al di là del fatto che il commento è stato bellamente ignorato, vorrei commentare alcuni punti essenziali della risposta data:

• La sicurezza di un sistema operativo non si misura dal numero di warning che ti vengono propinati prima di fare una qualsiasi azione
• La sicurezza delle procedure che sono in esecuzione sulla macchina non può essere SEMPRE demandata all’utente anzi UTONTO (vedi punto sopra)
• La sicurezza di un sistema deve essere intrinseca al sistema stesso, e non parlo certo dei concetti di Security Through Obscurity che a Redmond oramai sono vessillo aziendale

In definitiva l’UAC di Vista è poco più che un pagliativo alla sicurezza del sistema (lo dico io e lo dice Kaspersky)

Perchè poi sapete come viene girata a sfavore dell’utente la situazione?

Frasi del tipo, “Se hai ignorato i 5 warning prima di installare quel software/gadget/yadayada la colpa non è mia …”, sono all’ordine del giorno … Mah!!!

Un ultima cosa Roger…

Please mr. yadayada cert, Repeat after me:

“The CISSP is not a technical certificate, it’s a management certificate”

“CEH is a dirty draft of OPST OSSTMM certificate”

and so on …

PEOPLE in the city of Lund in Sweden that use the Microsoft Vista OS can’t connect to the Internet. According to this local newspaper, the reason is because Lund is a Linux city which has a a Linux server that doesn’t like Vista. Lundis Energi blamed Microsoft because Vista has got a bug and it isn’t going to change the configuration of the server just to cope with the flaw. A local Microsoft rep said it could probably fix the problem if Lundis Energi got in touch with it. [From Entire city of Vista users can't access the internet]

In Svezia voci dicono che ci sono famiglie con connessioni internet da 40Gbps (:shock:). In Svezia oggi però, buona parte della popolazione non può connettersi ad internet nemmeno utilizzando una ridicola connessione a 56Kb, perchè? Perchè stanno utilizzando Windows Vista!!!!

Secondo un giornale locale svedese, gli utenti che hanno installato Vista a Lund (sede anche di una nota università), non possono accedere ad internet a causa di un “bug” (approfondirò perché la cosa è alquanto ridicola) che impedisce l’utilizzo dei server di un provider locale “Linux-based”. Ovviamente l’isp in questione s’è un pò, come dire, alterato, facendo causa a Microsoft per il rimborso dei danni subiti (Mah!) visto che si vedranno costretti a cambiare parte della loro infrastruttura?! (sempre più MAH!).

Sta di fatto che una parte della popolazione, ad oggi è senza internet (vediamo se fra 9 mesi c’è un baby boom a Lund? )

[Via Engadget]

UPDATE:
Windows Vista cannot obtain an IP address from certain routers or from certain non-Microsoft DHCP servers

Base: 256986 Description of the Microsoft Windows registry

SYMPTOMS

Consider the following scenario:

• You connect a Windows Vista-based computer to a network.
• A router or other device that is configured as a Dynamic Host Configuration Protocol (DHCP) server is configured on the network.
• The router or the other device does not support the DHCP BROADCAST flag.

In this scenario, Windows Vista cannot obtain an IP address.

[From Windows Vista cannot obtain an IP address from certain routers or from certain non-Microsoft DHCP servers]

NB: Basta un Long per numerare l’insieme dei router che non supportano tal citata Flag? Forse no!

PI: Kaspersky critica la sicurezza di Vista:
Il problema, secondo quanto affermato da Natalya Kaspersky, CEO dell’azienda che porta il suo nome, è che “senza UAC Windows Vista è meno sicuro di Windows XP SP2”. Tra l’altro Kaspersky sostiene di aver scoperto almeno quattro modi diversi con cui i malware possono disattivare i controlli di UAC senza che l’utente se ne accorga.Da sottolineare come Kaspersky sia partner di Microsoft e fornitore di uno dei motori antivirus integrati nella soluzione di sicurezza ForeFront di BigM.

E’ un pò come spararsi sulle ginocchia, in verità, ma dare la propria opinione in quanto leader in certi ambiti anche se controproducente (poi non sò nemmeno quanto) per il proprio business è un segno di forte sicurezza nelle possibilità aziendali che si hanno.

PS: qui il sito ufficiale di kaspersky (Il razzo in homepage è veramente trash)

Sto risistemando tutti i feed dei blog che ero solito leggere, la grave perdita (HD esploso) del mio bel file OPML mi sta costringendo a ripassare a memoria le categorie, le classificazioni ecc… ecc… ecc … (Nell’occasione sto anche sperimentando Google Reader servizio partito un pò in sordina ma che sta migliorando di giorno in giorno, e posso affermare che … mi piace! Ma il mio non è un giudizio super partes)

Mentre sistemo i feed per l’appunto, vengo a conoscenza dell’uscita di “Vista 2.0″, subito confermata dall’articolo su Repubblica.it (apropos Questo è l’RSS di “Scienze & Tecnologia” ce l’avevo nella clipboard ):

Non mancando, comunque, di punzecchiare la Microsoft il cui lancio di Vista, il nuovo atteso OS, rischia di slittare ancora un po’. Per Jobs e gli evangelisti della Mela a casa di Bill Gates hanno acceso le fotocopiatrici, ma con Vista hanno copiato Tiger. E giù qualche battuta: “Ecco Leopard, ovvero Vista 2.0″, e altri sfottò del tipo “Hasta la Vista”.

Che verve

Una battaglia che si preannuncia sul filo del rasoio, quella tra Redmond e Cupertino, tanto che non tutte le novità sono state svelate, per evitare che qualcuno le commercializzi prima. Tuttavia quelle presentate a San Francisco sono state sufficienti per capire che il nuovo ambiente Apple rappresenta un grande passo in avanti rispetto all’esistente. E non solo.

…e ancora

Sarà lui a convincere altri utenti ad aggiungersi a quelli già sono passati a Mac nell’era dell’iPod.

…sono convinto già da tempo

“Leopard” presenterà una nuova versione di “spotlight”, il motore di ricerca interno di Apple

… WinFS? Che fine ha fatto?

E ancora “Spaces”, ovvero la possibilità di poter avere in esecuzione
diversi desktop, magari dedicati solo a gruppi di applicazioni, e di
passare quindi da un desktop all’altro in un batter d’occhio.

… questo Linux ce l’ha da un pò di tempo però è!!! Vediamo come lo implementeranno

Ora non resta che aspettare primavera prossima, quando anche Microsoft avrà probabilmente svelato le sue carte.

… si si io aspetto … aspetto e come! Intanto il mio giudizio di parte l’ho dato, poi vedrò di essere più oggettivo a bocce ferme e come faceva nonno prendere le misure col calibro

Lasciatemi vaneggiare un pò adesso …
Come la vedreste una partnership Google Apple? Uhm?
Da un lato la casa di Cupertino metterebbe tutta la parte “lato client” degli applicativi … dall’altra Google potrebbe mettere …. tutto questo e ancora quest’altro per non parlare di tutte quelle cose che verrebbero create ex novo!

Ma l’ho detto sono solo vaneggiamenti di un fanatico di Google e di un amante della Mela!

Fonti vicine a Microsoft sostengono che Windows Vista verra’ distribuito su supporti che conterranno tutte le versioni del sistema operativo: per facilitare il passaggio da un’edizione all’altra

[Via Punto Informatico]

Microsoft s’è rotta di dover mantenere 30 versione di un singolo sistema operativo, e oggettivamente da un punto di vista di distribuzione penso non sia cosa semplice stare dietro a 30 pacchetti …

La curiosità di sbirciare dentro al nuovo Windows Vista era troppa (l’ho installato una volta ma era ancora troppo Alpha version un disatro adess oche ho aggiornato la ram del portatile potrei riprovare)

Ecco quanto visto in una presentazione tenutasi al PDC 2005

Speaker: Tjeerd Hoek

Title:”PRS319: Building Applications That Look Great in Windows Vista”

Qua ulteriori informazioni per chi macina un pò di tedesco … e cosa più interessante qualche screenshot del sopra citato player