Fa uns dies he anat veient alguns articles de com obtenir informació sobre la història del navegador web utilitzant únicament CSS! Cal tenir en compte que no s’obté informació de tots els enllaços visitats, si no que l’atacant ha de fer una llista dels que vol comprovar i amb aquest atac pot esbrinar si la víctima els ha visitat.

Al segon article es suggereixen algunes opcions per solucionar-ho. Una d’elles és desactivar la història del navegador, l’altra, vàlida per Firefox, és desactivar el CSS per els links visitats, com segueix:

• Escriure “about:config” a la barra d’adreçes
• Escriure “layout.css.visited_links_enabled” al filtre
• Canviar el valor per defecte de “True” (cert) a “False” (fals), fent doble click sobre la opció
• Reiniciar Firefox

Ja fa un temps que es va anunciar que un especialista en seguretat que va robar, segons var dir, mil contrassenyes d’embaixades, institucions, etc. i en va publicar cent.

Doncs quan es va publicar com ho va fer, va resultar que va preparar cinc nodes de sortida de la xarxa TOR i els hi va posar un sniffer que capturava el tràfic a la sortida.

Per entendre-ho només cal entendre com funciona la xarxa TOR: els paquets que volem enviar passaran per diferents routers de la xarxa TOR, formant aquests una cadena de routers, de forma que podem ocultar l’origen dels paquets. Alhora, aquests paquets es xifren per capes, amb una clau diferent per cada router TOR. D’aquesta forma, el primer router desxifra la primera capa. El resultat és un paquet xifrat i la indicació del següent salt a fer (el següent router router de la cadena). Això es repeteix fins que arribem a l’últim router. En aquest moment ve el problema (o debilitat, si no s’entén com funciona TOR): aquest últim router desxifra l’última capa, i obté el paquet de dades en text clar, i l’envia al destinatari final. És en aquest moment que ens poden capturar les dades!

En qualsevol cas cal tenir en compte que TOR és un bon servei que pot ajudar a l’anonimització de l’origen de les dades, però no les pròpies dades, i ademés no és un servei per xifrar extrem a extrem. En cas que, per exemple, utilitzem claus d’accés, aquestes s’han de transmetre de manera segura.

En qualsevol cas ja ens ho adverteixen al FAQ del mateix projecte TOR, i inclús ara hi ha advertències a la pàgina d’inici del projecte.

Acabo d’afegir traducció automàtica a la pàgina, gentilesa de la Generalitat de Catalunya :) Ho podeu veure com a un botó a la part dreta del post, a la caixa a on hi ha la informació del post. Al clickar-hi ens porta a la pàgina de traducció de la Generalitat, a on veurem el post traduït al castellà. :)

Cal dir que l’he adaptat lleugerament, ja que el botó que ens proposen és per traduïr la pàgina actual, i jo preferia traduïr el post concret. Per això he modificat el Javascript que emmagatzema l’URL de la pàgina per un que posa el permalink del post, i per altra banda he eliminat el nom del form (codi ‘ name=”translateUrlForm” ‘), ja que si no només funcionava el primer dels botons.

Per cert, algunes traduccions són prou curioses! Proveu a traduïr aquest article… XD

La notícia, a la pàgina d’el Jueves. I mentres…

UPDATE: solucionat en 72 hores per la reacció dels mitjans i la gent. :D

Ahir estava parlant per telèfon, i quan vaig acabar la conversa veig que tinc un missatge al mòbil que diu (tal cual, sense accents, ni punts, ni res):

647xxxxxx ha dejado un mensaje en su buzon a las 17:xx el 02nov Llame gratis al 242

El cas és que ja em vaig olorar de que anava la jugada. Truco al 242, que és el número de la bústia de veu Orange i em comencen a demanar que configurés la bústia. Total, que m’havien activat la bústia per la cara, i ara m’estaven demanant que la configurés! :( Vaig fer la configuració justa perque em deixés entrar al menú i sentir el missatge… i em trobo que el maleït missatge era els 4 o 5 primers segons de la meva conversa telefònica de feia un moment!!! WTF!? %-P

El cas és que intento buscar la opció, i no la trobo. Truco al 1414 per demanar com carai fer-ho, i em diuen que torni a trucar al 242, i que vagi a la opció 0 i després a la 8. Jo extranyat pensant com no ho havia sentit a la meva trucada anterior al 242… De pas li pregunto que si era habitual que activéssin la bústia per la cara, i em diu que si, que ho fan cada 3 mesos. Molt be, així que ara és qüestió d’anar desactivant-la periòdicament. Sense comentaris…

Per fi, vaig entrar al 242 i vaig buscar la opció 0… “Pulse 1 para que un agente de Orange venga a hacerle un masaje de pies” Aquesta no és… “Pulse 2 para que le hagamos el café por la mañana” Tampoc… “Pulse 0 para Ayuda” Ein!? Lo-cualo!? Clar, resulta que així ningú deu trobar la maleïda opció, i així aconsegueixen que no la desactivin. La seqüencia completa va ser:

0 8 1 2 1

Incloent missatges del tipus “la gente que le llame no podrá disfrutar del servicio de contestador“, “de verdad?“, “pero de verdad verdadera, como la de Yoigo???” i coses similars. Que cruel sóc, com faig parir els que em truquen!

Be, doncs ja sabeu, a desactivar les bústies!

Actualització: En un mes ja l’han tornat a activar… Potser inclús menys, però va ser fa uns dies quan me0n vaig adonar. Sense comentaris! Serà qüestió de començar a preguntar a consum…

Actualment estic treballant en un projecte a on es fa servir la distància de Levenshtein per calcular la distancia amb diverses paraules. Bàsicament l’algorisme el que fa és calcular el nombre d’edicions necessàries per passar d’una paraula a una altra. Per exemple, de camió a camión hi ha una distancia d’1, ja que cal afegir la lletra “n” al final de la primera paraula per obtenir la segona.

Les possibles operacions són inserció d’un caràcter, eliminació i substitució.

En el mateix article també s’enllaça al de la distancia de Damerau–Levenshtein, que amplia l’anterior permetent també la operació de transposició de dos caràcters, com per exemple ens trobariem al equivocar-nos escribint la paraula “ohla“.

És curiós que aquesta sigui la primera imatge que apareix al buscar imatges de Monsanto a Google!

Avui m’han dit que al Canal 33 emetrien el documental “El món segons Monsanto”. Com no podia estar a casa, l’he buscat i l’he trobat a Google Video. Val a dir que el video l’he trobat a través d’aquest post de Josep Pàmies.

Al documental es parla de Monsanto, la empresa que està al darrere del 70% dels cultius transgènics del món, i la forma en que ha actuat per amagar la falta de rigor en els estudis sobre els transgènics i els potencials efectes sobre les persones, no permetent realment saber si aquests són perjudicials o no. A més, per la seva forma d’actuar preten fer que tots els cultius del món hagin de pagar royalties per tot l’aliment produit, afavorit per la naturalesa “vírica” de les modificacions fetes sobre les seves llavors.

Resumint, un documental molt interessant. Per cert, a excepció dels dos o tres primers minuts, està subtitulat al castellà.

Fa anys que me’n venia adonant d’un fet, que describia en conya com “si mates una mosca, la resta van a l’enterrament”. Bàsicament la meva percepció era que si mates una mosca, de cop, i durant una estona hi ha moltes menys mosques.

Doncs resulta que és cert (en anglès)! Tot ve donat per uns àcids que desprenen els insectes al morir (no només les mosques!) i que aparentment tindrien la funció d’alertar a la resta d’insectes del perill. Ho he trobat a Slashdot.

Fa uns dies vaig estar actualitzant un servidor amb VMware que fem servir a la feina per provar coses dins màquines virtuals. Tenia un VMware 1.x i vaig passar-lo a 2.x. Apart d’algún petit problema a la instal·lació i d’aplicar els patch per que els mòduls de kernel compiléssin amb el meu kernel de Linux, tot va anar prou be.

Quan vaig intentar connectar fent servir el client VMware Server Console (que ja feia servir per la 1.x) em va donar un missatge d’error, i després de buscar una mica, vaig veure que aquest client ja no es podia fer servir, i que la forma recomanada era conectar amb un navegador a https://servidor:8333 .

Doncs be, després d’obrir els ports corresponents i de tornar-ho a intentar, em va ser impossible obtenir cap pantalla a on em demanés les credencials per logar-me ni res similar, fent servir Firefox 3.5. Ho vaig provar a una altra màquina, i després vaig decidir provar-ho amb Internet Explorer 7. Va ser impossible. En canvi a una altra màquina si que vaig poder, amb Firefox 3.5 igual.

Després d’una bona estona mirant, vaig trobar el culpable: el plugin de Panda ActiveScan. Resulta que a les dues primeres màquines l’havia fet servir per fer alguns escanejos online, i va quedar el plugin instal·lar. Comentar que els escanejos, si no recordo malament, els vaig fer amb Internet Explorer, instal·lant l’ActiveX, però sembla que també es va instal·lar el plugin de Firefox.

La solució a Firefox va ser desactivar el plugin des de la finestra de complements, com es veu a la seguent captura de pantalla, i despres reiniciant Firefox:

La veritat és que no em vaig preocupar a intentar-ho desactivar també per Internet Explorer.