[Tech] Microsoft conferma: parti del codice di Windows sono su Internet

Tom Pilla, portavoce della Microsoft, ha confermato che parti del codice sorgente di Windows 2000 e Windows NT4 sono state "illegalmente rese disponibili in rete".



Fonte: Corriere della Sera.

[Tech] Codice sorgente di Windows NT4 e Windows 2000 diffuso su Internet

Non è ancora chiaro se si tratti del codice completo o di sue porzioni, ma si tratta comunque di un fatto di una gravità eccezionale.



Secondo Microsoft le porzioni di codice sorgente sottratte sono solo una "piccola parte" dei milioni di linee di codice che compongono Windows, ma questo ovviamente è quanto afferma Microsoft - certamente non una fonte super partes, diciamo così.



Il numero di aziende e di servizi che potrebbero subire gravi danni, intrusioni, malfunzionamenti da parte di aggressori in possesso del codice sorgente e in grado quindi di elaborare delle strategie di attacco a colpo sicuro è enorme: aziende private, uffici pubblici, ospedali, aeroporti, centrali energetiche, servizi di telecomunicazioni, strutture militari, ministeri, reti di difesa - praticamente Windows NT4 e Windows 2000 sono presenti dappertutto, nel mondo, quindi il danno potenziale di questa fuga di codice potrebbe essere veramente enorme.



Al confronto anche l'altro rischio sottinteso, e cioé che qualche azienda possa sfruttare commercialmente i segreti tecnologici contenuti nei sorgenti Microsoft, passa decisamente in secondo piano.



Verrebbe da commentare che chi semima vento raccoglie tempesta: appena due giorni fa avevo segnalato il fatto che Microsoft aveva impiegato ben sei mesi per rendere disponibile agli utenti una patch che chiudeva una gravissima falla di sicurezza (forse proprio la stessa usata da chi ha sottratto il codice sorgente di Windows, viene da pensare, viste le sue caratteristiche), ma in realtà la situazione è tale da far passare le polemiche in secondo piano.



Intendiamoci, da sempre gli hacker e i loro cugini cattivi, i cracker, disassemblano porzioni di specifici software - o di sistemi operativi - al fine di rilevare (ed eventualmente sfruttare) la presenza di eventuali bug: quello che rende la situazione molto differente rispetto al passato, e davvero pericolosissima, è che questa volta dei potenziali aggressori potrebbero avere accesso direttamente al codice sorgente dei sistemi operativi Microsoft o di loro porzioni significative, e questo aumenterebbe in maniera esponenziale sia l'efficacia che l'efficienza di eventuali attacchi, basati sulla conoscenza "dall'interno" del sistema operativo-bersaglio.



Di fronte a una minaccia del genere non c'è polemica anti-Microsoft che tenga: ci sarà tempo e modo, in seguito, di discutere delle criminali mancanze dell'azienda di Gates in fatto di sicurezza; in questo momento quello che conta è evitare, nei limiti del possibile, che la fuga dei codici sorgenti si trasformi in una catastrofe.



Mi auguro quindi che chiunque venga in possesso (o in contatto) con informazioni o risorse connesse a questa fuga (o furto) di informazioni (link a siti warez contenenti il codice, screenshots, exploits, informazioni di qualunque genere sugli OS in questione), nel rispetto dell'autentico codice etico hacker (la libera diffusione delle informazioni - tutte le informazioni, anche quelle "riservate" - è una pratica da incoraggiare, tranne quando esista il pericolo concreto di portare un grave danno, e non un vantaggio, alla comunità in generale), fornisca tutti i dettagli alle autorità competenti (sia italiane che americane) e rinunci - ripeto: in via eccezionale, solo per questa volta - a diffondere ulteriormente o a fare uso delle informazioni sensibili sottratte a Microsoft.



Ultima annotazione: il codice di Windows XP e di Windows 2003 Server è pesantemente basato sul codice del "vecchio" Windows NT/2000, quindi quasi ogni bug rilevato nelle vecchie versioni del sistema operativo Microsoft potrebbe essere sfruttato anche per atttaccare sistemi informatici basati sulle nuove versioni XP e 2003 di Windows.



Fonte: Yahoo! News.

[Tech] Copyright Microsoft: un punto a favore di Lindows

Negli ultimi tempi i tribunali olandesi e norvegesi avevano dato ragione a Microsoft e obbligato Lindows a usare un nome differente nei due Paesi - o in alternativa a ritirarsi, almeno temporaneamente, dai rispettivi mercati "locali".



Ora il tribunale di Seattle ha dato invece ragione a Lindows, stabilendo che "Windows" - che in inglese val quanto dire "finestre" - come marchio commerciale è "troppo generico", e ha quindi riconosciuto il diritto di Lindows a continuare a usare questo nome (ritenuto invece dai legali di Gates "troppo" simile a Windows, e quindi in aperta violazione delle leggi sul copyright e i marchi commerciali):

The U.S. District Court in Seattle ruled Wednesday that the Microsoft trademark "windows" was too generic--and that because it had been in use before the company's Windows operating system came into being, no outpouring of Redmond, Wash., marketing bucks could alter that.



The "generic" nature of the word windows led the judge to come down on the side of Lindows, allowing the company to continue using its company name until a final ruling is made in the case.



The open-source company still faces more legal hurdles. The judge postponed the current March 1 trial date, itself a delayed start, to an unspecified time, pending an appeal from Microsoft.

Insomma, la telenovela continua: appuntamento alla prossima puntata.



Fonte: News.com.

Comcast tenta una acquisizione 'ostile' di Walt Disney Corp.

L'operazione lanciata da Comcast, il gigante americano della TV via cavo, ha un valore stimato di 66 miliardi di dollari.

The stunning proposal comes after private conversations earlier this week, in which Disney Chief Executive Officer Michael Eisner rejected Comcast's request to begin merger negotiations, the cable company said. As a result, Comcast said it was bringing its offer to Disney’s board of directors into the public eye.





"Given this (rejection), the only way for us to proceed is to make a public proposal directly to you and your Board," Comcast Chief Executive Officer Brian Roberts wrote in a letter to Eisner, made public Wednesday morning. "We have a wonderful opportunity to create a company that combines distribution and content in a way that is far stronger and more valuable than either Disney or Comcast can be standing alone."

L'eventuale successo dell'operazione porterebbe alla nascita di un complesso mediatico in grado di rivaleggiare direttamente, per influenza, dimensioni e fatturato, col gigante Time Warner.



Fonte: News.com.

[Tech] Microsoft 'tappa' una gravissima falla di sicurezza - con sei mesi di ritardo

Ieri Microsoft ha annunciato la disponibilità di una patch di sicurezza (da installare "il prima possibile") per le seguenti versioni dei suoi sistemi operativi:

• Windows NT;
• Windows 2000;
• Windows XP;
• Windows NT Server;
• Windows 2000 Server;
• Windows 2003 Server.

"This is one of the most serious Microsoft vulnerabilities ever released," said Marc Maiffret of eEye Digital Security of Aliso Viejo, California, which discovered the new Windows flaws. "The breadth of systems affected is probably the largest ever. This is something that will let you get into Internet servers, internal networks, pretty much any system."



Maiffret said some computer systems that control critically important power or water utilities were vulnerable.



Maiffret predicted hackers will try to unleash a damaging Internet infection within weeks. Unlike earlier vulnerabilities that spawned such attacks, hackers can exploit the newly disclosed flaws to break into susceptible computers using dozens of methods, making any defense far more difficult.



"The race will be on," agreed Marcus Sachs, a former White House adviser on cybersecurity.

La falla è stata definita "critical" da Microsoft; uno dei security executive dell'azienda, Stephen Toulouse, ha dichiarato che i componenti software interessati da questa vulnerabilità appartengono a una extremely deep and pervasive technology in Windows e ha sollecitato gli utenti ad applicare la patch "immediatamente".



Tutto bene, insomma? Mamma Microsoft si preoccupa dei suoi utenti e pubblica tempestivamente tutte le informazioni e le patch di sicurezza necessarie per garantire il corretto funzionamento dei loro computer e del loro business?



Non proprio:

Researchers at eEye discovered the problems last July and agreed to keep quiet about them until Microsoft could fix them. Maiffret complained that the delay between eEye's discovery and Tuesday's public disclosure by Microsoft was "just totally unacceptable" because Windows users were broadly vulnerable during the period.

Ho controllato sul sito di eEye: il problema è stato segnalato a Microsoft il 25 Luglio 2003; la patch è stata "urgentemente" rilasciata da Microsoft il 10 Febbraio 2004.



Sei mesi. Sei mesi per una patch urgente, relativa a una grave falla di sicurezza che interessa moduli software e servizi come Internet Explorer, Outlook, Outlook Express, Kerberos, Microsoft IIS, NTLMv2...



Fonte: Wired News.

Nassiriya: confermato l'arresto di iracheni sospettati per la strage

Il comandante dei Carabinieri, generale Guido Bellini, nel corso di una visita ai carabinieri rimasti feriti nell'attentato di Nassiriya ha confermato che fra le persone arrestate in questi mesi perché sospettate di "atti ostili contro la coalizione internazionale" ci sono almeno tre iracheni sospettati di essere collegati alla strage del 12 novembre.



Il generale Bellini non ha voluto fornire ulteriori particolari, limitandosi ad aggiungere che "le indagini sono ancora in corso, e sono difficili".



Fonte: Corriere della Sera.

[Tech] Sicurezza - Bluetooth: Nokia segnala diverse vulnerabilita' su alcuni suoi cellulari

Nokia ha ammesso che alcuni suoi prodotti, ad esempio i telefoni Nokia 6310, 6310i, 8910 e 8910i, soffrono di alcune vulnerabilità connesse alla tecnologia Bluetooth che possono permettere a un intruso di leggere, copiare, modificare i dati presenti nella rubrica telefonica e nell'agenda-calendario del cellulare senza lasciare alcuna traccia dell'avvenuta intrusione.

...a Nokia spokesperson told ZDNet UK that the company is aware of "security issues" relating to Bluetooth devices that "makes it possible to download and modify phone book, calendar and other information on the phone without the owner's knowledge or consent, if Bluetooth is turned on."



However, the spokesperson said the attack was only possible if the phone was in 'visible mode' where it is set to actively search for other Bluetooth devices. The company admitted that a bluesnarf attack "may happen in public places, if a device is in the 'visible' mode, and the Bluetooth functionality is switched on. The phones vulnerable to 'snarf' attack include the Nokia 6310, 6310i, 8910 and 8910i phones as well as devices from another manufacturer."



(...)



Nokia also admitted that its 6310i handset is vulnerable to a Denial of Service attack when it receives a "corrupted" Bluetooth message: "A DoS attack would happen if a malicious party sends a malformatted Bluetooth... message to re-boot a victim's Nokia 6310(i). We have repeated the attacks and found that there are some corrupted Bluetooth messages that could crash the Nokia 6310(i) phone," said the spokesperson, who sought to reassure customers by saying that following the crash, the phone will reset and function normally.



Nokia will not be releasing a fix for the devices in the near future because it said the attacks are limited to "only a few models" and it does not expect them to "happen at large".

Quest'ultima affermazione mi pare ottimistica... È da tempo che mi aspetto il verificarsi di una "catastrofe" simile a MyDoom o a LoveSan nel campo dei telefoni cellulari: l'utente medio dei cellulari è mediamente molto meno smaliziato e "avvertito" dell'utente medio di computer, in fatto di sicurezza (e questo, sic, è tutto dire), e sostanzialmente non ha la minima idea di cosa sia e come funzioni l'oggetto che tiene in tasca o in borsetta: probabilmente crede davvero che sia solo un telefono (anzi, un "telefonino"), e immagino che continuerà a crederlo fino, appunto, alla prima grossa "epidemia virale", o al primo worm, o al primo serio furto di dati.



L'altro grosso produttore interessato dalle vulnerabilità dovrebbe essere il gruppo Sony Ericsson: una conferma dovrebbe arrivare già nelle prossime ore.



Fonte: ZDNet.