Archive for March, 2008

OsX il piu` vulnerabile

Sunday, March 30th, 2008

Mac OSX e` stato il primo a cedere.

Il PWN2OWN organizzato all’interno del CanSecWest consisteva in tre laptop con installati MacOSX, Ubuntu Gutsy e Windows Vista in configurazione client e full patched, ovvero completamente aggiornati alle ultime patch, quindi in teoria senza vulnerabilita` pubblicamente conosciute. La sfida consisteva nel riuscire a violare la sicurezza di uno dei tre laptop.

Il team di Charlie Miller ha vinto violando la sicurezza di un MacBook Air su cui era installato OSX sfruttando una vulnerabilita` non conosciuta in Safari. La scrittura dell’exploit ha richiesto un bel po’ di lavoro di un tream di tre persone, molto probabilmente e` funzionante anche nella versione per Windows di Safari. Spulciandosi i commit del trac di webkit sembra che la vulnerabilta` utilizzata sia stata patchata da questo commit.

Ovviamente un evento del genere non dice molto sulla robustezza dei sistemi operativi presi in esame, ma puo` mostrare su cosa i bug hunter puntino di piu` negli ultimi tempi.

Migrating to Rails 2.0

Saturday, March 22nd, 2008

Today i have done some migrations to Rails 2.0.

Here is a quick todo checklist to upgrade your rails 1.2 to rails 2.0:

  1. Install Rails 2.0, for example with gem install rails
  2. Update system gems with gem update –system
  3. Change the value of RAILS_GEM_VERSION to 2.0.2 in your environment.rb
  4. Add the following lines to your environment.rb:
    config.action_controller.session = {
      :session_key => ‘_application_session’,
      :secret   => ‘secretkey’
    }

    where you can get a secret key running rake secret
  5. Rename all your template files from .rhtml to .html.erb

A little bit of pain for an upgrade that will be automated, why rails developers haven’t wrote an upgrade script?

Links:

Video about YouTube IP Hijacking

Wednesday, March 19th, 2008

An interesting video about recently YouTube IP Hijacking showing BGP announcement propagation.

Lol: The Day The Routers Died…

Wednesday, March 19th, 2008

Una nuova Cisco era

Saturday, March 15th, 2008

Sembra che Cisco si stia mettendo in linea con le tendenze costruttive e di sviluppo degli altri produttori di network device ovvero utilizzando CPU comuni e un sistema operativo derivato da kernel open source.

Sono rimasto abbastanza stupito quando leggendo questa notizia ho appreso di questo cambiamento di rotta, il nuovo IOS-XE sara` sviluppato prendendo come base un kernel linux e il suo target saranno i router di fascia alta come il ASR1000 che con il supporto per KVM (virtualizzazione in hardware) offrira` funzionalita` di ridondanza del sistema operativo.

Immagino quindi che gli sviluppatori Cisco si prefiggano di far girare due istanze di IOS che vengono tenute sincronizzate, in modo che nel caso muoia o vada in crash un’istanza ci sia l’altra ad entrare in azione finche` la prima non viene riavviata. Ma a dirsi sembra facile..

Era ora Cisco!