RitaliaCamp Zzzz….

Zarrelli il sabato, 31 Marzo, 2007

350px-ritaliacamp-logo.png

Cosa vogliamo ottenere

  • Un documento di specifiche per un portale italia.it al passo con i tempi.
  • Sperimentare una modalità di BarCamp orientato ad un progetto specifico.
  • Sensibilizzare aziende, professionisti e organizzazioni su una differente modalità progettuale fondata sulla collaborazione.
  • Se si riesce a formare un gruppo di lavoro, eventualmente si potrà portare avanti il progetto che verrà definito nel documento di specifiche.

Altro? Gli obbiettivi esatti sono in fase di definizione

Mmmm…ci sono andato…gran bazaar, talk tecnici quasi nulli…gente che andava e veniva.

Insomma, se intendeva essere un incontro organizzativo, proprio non lo è stato.

Se intendeva essere un evento mediatico non ha scalfito i media tradizionali, come chiosa Lele.

Beh, mi sono un po’ annoiato, ma colpa mia: ci sono andato all’ultimo momento e senza avere le idee ben chiare su ciò che mi sarei trovato di fronte.

Forse si tratta unicamente di una boutade a bell’apposta per far riflettere su come e cosa si potrebbe fare spendendo meno e meglio.

Comunque, ho ritrovato il caro Theo, Tambu, Fullo, conosciuto Frieda, Francesco Magnocavallo, rivisto Luca, TF,  e un po’ di persone, che la stanchezza mi impedisce di ricordare sul momento.

Insomma, almeno dal punto di vista umano, i BzaarCamp funzionano e bene.

Ancora Vista, non ci posso credere…

Zarrelli il venerdì, 2 Febbraio, 2007

Da Engadget:

Run for the hills, everybody, Windows Vista has been proven vulnerable to the hax0rs mere days after its release — Steve Ballmer should clearly just give up now and resign while he still has a bit of dignity left. Or not. The vulnerability in question is hardly a hack at all, at least of the traditional variety, instead this one relies on you turning up your speakers and leaving your microphone on. See, the new Windows Speech Recognition in Windows Vista has all sorts of new abilities, but unlike Mac OS speech recognition of yore, no keyword is required to make your computer start listening to what you have to say, meaning any stray word could be interpreted as a command by Windows if it has the right tone and is within Vista’s repertoire. Microsoft also hasn’t done anything to ensure speech recognition doesn’t listen to the sounds coming out of your computer via the speakers, all of which means that if you visit a malicious website with the speakers turned up and the mic turned on (and Speech Recognition loaded, of course) an audio file could wake SR, open Windows Explorer, delete the documents folder and then empty the recycle bin. Not exactly the most likely of occurrences, but certain security types are already up in arms, and Microsoft has confirmed the potential problem, but merely recommends users turn of their speakers and/or microphone, along with killing any apps trying to attack them with such verbage. Not the greatest vote of confidence, so perhaps we’ll be seeing a fix for this from Microsoft before too long.

Insomma, per intenderci, basta che uno lasci casse e microfono aperti e che vada su un sito che riproduca un file audio contenente una serie di istruzioni. A questo punto, l’audio uscito dalle casse rientra dal microfono, viene processato come una serie di comandi ed eseguito.

E Microsoft conferma.

Ridicolo.

VoIP e NAT – Il protocollo STUN, parte prima

Zarrelli il venerdì, 15 Dicembre, 2006

Tempo fa mi sono state sottoposte alcune domande riguardanti il VoIP, soprattutto come utilizzarlo in presenza di firewall e NAT che possono rendere impossibile la comunicazione a voce su IP. Dalla semplice risposta che mi ero proposto di scrivere, ne è scaturito qualcosa di un po’ più articolato, che prende di petto alcuni dei problemi nei quali incorrono gli utilizzatori del VoIP, tentando di dare una semplice spiegazione teorica. Il testo è diviso in due differenti parti, per dare al lettore il tempo di assimilare i contenuti in maniera graduale. L’inizio riprende alcune domande che mi sono state poste, per poi passare a un approfondimento teorico.

Ci sono altri protocolli che mi sarebbe utile avere?

Al limite il protocollo proprietario di Skype, se vuoi usare questo servizio per chiamare e ricevere, oppure IAX per il supporto dei centralini Asterisk. A dire la verità, il discorso sarebbe un poco più complesso, ma esula da ciò che ci interessa ora.

Ora, non penso proprio che tu possa implementare un centralino Asterisk a casa e comunque potresti interfacciarti tramite SIP.

Per Skype, si tratta di un protocollo proprietario. Questo dipende da te. Esistono in commercio, e li trovi in qualsiasi magazzino di elettronica (Mediaworld, Euronics, Saturn, per esempio), degli ATA Skype. Con questa soluzione, però, rimani vincolato a questa architettura, mentre con SIP puoi interfacciarti a parecchi provider VoIP sul mercato. Hai più soluzioni aperte, o come sarei tentato di dire, più Sorgenti Aperte.

Al limite, verifica di avere SIP2 (RFC 3261). Non starei ad approfondire i protocolli di trasporto e i codec: per un’utenza domestica sono dettagli che hanno poco senso. Prendi un prodotto “mainstream” e inizia a telefonare, vedrai che andrà tutto bene.

Leggi tutto

Hacking la Fonera, step by step guide

Zarrelli il giovedì, 23 Novembre, 2006

Qualche giorno fa, sento da Andrea che La Fonera è suscettibile di una code injection sull’interfaccia locale. Ohibò, troppo allettante per non provarci ma…ahem…la mia Fonera è già aperta e quella di Andrea anche.

Per fortuna, c’è Andrea il quale è un infelice possessore di Fonera muta e alla mia richiesta di provare l’hack non ci ha pensato poi molto e si è messo all’opera.

Ebbene si, ha aperto la Fonera. Ora, anche lui, può fregiarsi del titolo di “FON Liberator”. Mmmm…dove ho già sentito questo termine?

Gentilmente, Andrea ha accondisceso a scrivere una veloce guida all’utilizzo di questo nuovo hack.

Leggi tutto

Aprire ssh su La Fonera, senza aprirla

Zarrelli il lunedì, 6 Novembre, 2006

Dando un’occhiata a Dema FON Blog ho notato la notizia che riportava la creazione di uno script Perl da parte di Stefan Tomanek, script in grado di modificare le configurazioni della FONERA e quindi di “aprirla”.

In effetti, Tomanek spiega abbastanza chiaramente sul proprio sito il perché si riesca a fare questo: in pratica, La Fonera chiama casa (download.fon.com) a ogni riavvio e si scarica via ssh, su porta 1937 i dati di configurazione della rete, SSID e password.

Occhio, ora: il SSID può essere impostato dalla propria pagina personale sul sito di FON e in seguito questo dato viene trasferito al proprio router via ssh, che salva il tutto in uno script temporaneo sul router stesso e lo esegue. Lo script, quindi, si occupa di alterare le configurazioni. Ora, Tomanek ha giustamente pensato…”Se si riuscisse a iniettare del codice e a farlo eseguire…”

In effetti, in FON hanno ben pensato di sottoporre tutti i valori a quoting stretto, usando degli apici singoli, in modo che non si potessero alterare in maniera troppo semplice i valori inseriti nello script. Oltretutto, hanno ben pensato di sostituire ogni occorrenza di un apice singolo con \’, in modo da sottoporre a escaping un eventuale apice singolo iniettato e impedirgli di chiudere arbitrariamente le stringhe di configurazione.

Peccato che nello shell scripting, un apice singolo non possa venire sottoposto a escaping.

Quindi, Tomanek ha alterato la stringa

iwconfig ath0 essid FON_'YOURPUBLICESSID'

in modo da aggiungere un ulteriore apice singolo, la definizione di una regola di iptables, un carattere di newline e quindi l’istruzione necessaria a lanciare dropbear.

Il tutto viene eseguito tramite uno script Perl basato sulla libreria WWW::Mechanize, in grado di simulare un client web e di oltrepassare le protezioni messe da FON sulle pagine del proprio sito. Tentando di mettere il codice direttamente nel campo ESSID delle proprie pagine su www.fon.com non dovrebbe risultare semplice.

Ora, come fare praticamente?

Leggi tutto