Monthly Archives: December 2007

Kubuntu 8.04 non sarà LTS

KMenu icon by Oxygen KDE TeamCome riportato dal blog di nixternal, Kubuntu 8.04 includerà l’atteso KDE 4 e non sarà una versione LTS (Long Time Support), vale a dire che riceverà aggiornamenti per 18 mesi, invece dei canonici 36 assegnati alle release LTS versione desktop (60 mesi per la versione server).

La decisione, ufficializzata da una email di Jonathan Riddel sulla mailing list degli sviluppatori di Kubuntu, è stata piuttosto sofferta, ma ha le sue motivazioni.

Il team di sviluppo di KDE si sta ormai concentrando sulla release 4, e la serie 3.x riceverà sempre meno attenzioni. Una LTS vuol dire fornire 3 anni di aggiornamenti, il che obbligherà gli sviluppatori di Kubuntu a effettuare il backporting di eventuali patch critiche sulla serie 3.x, mantenendo così un sistema che utilizza una versione obsoleta di KDE.

A ciò si aggiunge che molte altre distribuzioni proporrano KDE 4 come desktop environment di default, allontanando così gli utenti che vorrebbero essere “on the bleeding edge”.

Lo scenario più probabile è che verranno rilasciate due versioni di Kubuntu 8.04 Hardy Heron: una LTS con KDE 3.5 e una non-LTS con KDE 4.

Weather Wallpaper

Leggendo il blog di nixternal ho scoperto questa giocattolo: weather-wallpaper, un programma scritto in python che cambia automaticamente lo sfondo del desktop per riflettere le condizioni metereologiche attuali. Le istruzioni sul suo sito sono molto chiare, e è possibile scaricare semplicemente il .deb per l’installazione oppure aggiungere il repository dell’autore al proprio sources.list per ricevere automaticamente gli aggiornamenti. Anche se il repository è indicato per Feisty non ho avuto alcun problema nell’installarlo su Kubuntu Gutsy Gibbon 7.10.

Funziona sia su gnome che su KDE, ma ha delle dipendenze da gtk, per cui potrebbe essere non desideratissimo su sistemi che usano KDE come desktop environment e non vogliono “sporcarlo” con applicazioni che non usino solo QT.

Dopo averlo installato e avviato lo si configura indicandogli l’indentificatore ICAO della stazione metereologica più vicina alla città di cui vi interessa il tempo (trovate la lista delle stazioni per l’Italia all’indirizzo http://weather.noaa.gov/cgi-bin/nsd_country_lookup.pl?country=Italy) e lo sfondo verrà automaticamente aggiornato ogni ora.

Ecco un esempio di weather-wallpaper in azione:

Weather wallpaper su Kubuntu 7.10 Gutsy Gibbon

weather-wallpaper: http://mundogeek.net/weather-wallpaper/

Kubuntu Tutorials Day

Keyboard icon by everaldo.comIl “Kubuntu tutorials day” si è tenuto con successo il 13 Dicembre. Per chi non ha potuto parteciparvi (come me :( ) sono disponibili i log all’indirizzo https://wiki.kubuntu.org/KubuntuTutorialsDay.

Il primo tutorial, tenuto dal deus ex machina di Kubuntu Jonathan Riddel, ha affrontato le basi della programmazione di KDE4 con python utilizzando PyKDE 4. Onestamente non ci si riesce a capire molto (e è completamente cinese se non si ha già una infarinatura di base di programmazione con Python e QT). Sostanzialmente jriddel ripercorre le slide che potete scaricare a questo indirizzo (pdf) in modo caotico a causa delle continue interruzioni. Un vero peccato.

Interessante per gli sviluppatori (o almeno per me) è stata la presentazione di Bazaar Version Control, un sistema per la gestione delle modifiche concorrenti a un progetto che supporta diversi workflow rispetto a quelli tradizionalmente supportati da CVS e Subversion, la pagina http://bazaar-vcs.org/Workflows dà una buona panoramica delle diverse modalità di funzionamento disponibili.

Anche la sessione di “Packaging 101″ e “Get your work into Kubuntu” sono state interessanti, oltre a mostrare uno spaccato della comunità che è alle basi di (K)Ubuntu e al suo processo di sviluppo.

La mia personalissima conclusione è che le sessioni su IRC vanno bene per “fare pubblicità”, ma non possono in alcun modo “formare” o insegnare qualcosa che rimanga. Per questo per chi è interessato agli argomenti trattati è bene far riferimento alle pagine del wiki o ai link suggeriti dai tutor delle sessioni:

Una libreria per visualizzare i PDF con Java

Java icon by everaldo.comJoshua Marinacci ha annunciato il rilascio da parte di Sun Microsystem di pdf-renderer, una libreria in puro Java per il rendering di documenti PDF. Questa libreria, derivante dallo sviluppo di OpenOffice, permette di visualizzare sullo schermo i documenti, ma può anche essere usata per effettuarne il rendering su immagini .png. pdf-renderer è in grado solo di visualizzare i PDF e effettuarne il rendering, ma non di crearli, per questo può essere utilmente affiancato a iText. Lo standard PDF 1.4 è supportato in modo pressoché completo, a parte le trasparenze, i form e alcuni encoding.

pdf-renderer è rilasciato sotto licenza LGPL e quindi può essere utilizzato gratuitamente senza eccessivi problemi anche in applicazioni commerciali o closed source, al contrario dell’incumbent JPedal, che viene rilasciato con licenza duale commerciale/GPL (e vanta una maggiore aderenza allo standard come specificato da Adobe).

Trovate una raccolta di librerie per creare, visualizzare e gestire PDF con Java all’indirizzo http://java-source.net/open-source/pdf-libraries.

Crackare le tastiere wireless

Keyboard icon by everaldo.comA Agosto 2007 Luis Miras, lead vulnerability researcher della Intrusion, ha tenuto un interessante speech al convegno BlackHat 2007: Other Wireless: New ways to get Pwned (PDF). L’idea di Miras era molto semplice: ci sono dati trasmessi via etere “insospettabili” che possano rappresentare un rischio per la sicurezza? La risposta banalmente era sì: tutto ciò che viene digitato sulle tastiere wireless può essere intercettato da qualche curiosone di passaggio. Miras presentò dei replay attack e poco altro: tastiere e mouse wireless comunicano usando un protocollo crittato che non aveva avuto la possibilità di reversare.

Per poter effettuare l’attacco replay ha dovuto creare una periferica wireless personalizzata. Questo non è particolarmente difficile in quanto pressoché tutti i dispositivo di questo genere sono composti da tre parti: un semplice microcontrollore, una piccola eeprom e un trasmettitore. Il dongle ricevente è molto simile, con un ricevitore al posto del trasmettitore. Inoltre per l’utilizzo negli Stati Uniti questi dispositivi devono essere approvati dall’FCC: il risultato è che cercando il numero di serie di un prodotto è possibile spesso ricavare gli schematici della sua architettura.

Qualche giorno fa Max Moser e Philipp Schrödel di Dreamlab Technologies e remote-exploit.org hanno pubblicato un articolo che spiega il funzionamento del protocollo e come sia possibile sniffare le connessioni in modo estremamamente semplice.

Analizzando il protocollo hanno scoperto che caratteri come shift e alt sono inviati non crittati al ricevente wireless. La crittazione usata nell’invio di ogni carattere è uno XOR del valore del carattere con un byte ricavato da un motore casuale inizializzato con un singolo byte durante l’handshake tra la periferica wireless e la stazione ricevente connessa al computer. Sniffando l’handshake è quindi possibile intercettare facilmente tutti i tasti premuti sulla tastiera. In realtà questo non è necessario, poichè ci sono solo 256 possibili chiavi di crittazione, per cui sniffando i tasti crittati e usando gli stessi metodi statistici utilizzati per “rompere” il cifrario di Cesare, è possibile determinare la chiave corretta intercettando solo 20-50 caratteri.

I ricercatori hanno anche pubblicato un video dove mostrano il loro programma proof-of-concept sniffare e crackare la comunicazione di tre diverse tastiere. Con delle piccole antenne non dovrebbe essere difficile sniffare le comunicazioni della tastiera anche oltre il suo circa metro e mezzo di raggio di comunicazione.

Potete usare RSA a 4096 bit per usare via SSH il vostro PC, ma è tutto inutile se poi la chiave viene banalmente letta dal primo venuto abbastanza malizioso (un motivo in più per usare SSH passwordless).

Ma se usate una tastiera con filo, non pensiate di essere al sicuro (e c’è anche chi è in grado di montare questi gingilli all’interno di un laptop).

[via midnightresearch]