Tre squilli di tromba, ad accompagnare una grande scritta in grigio: “Spotify è in arrivo negli Stati Uniti d'America”. Con il servizio di streaming musicale sono dunque pronti milioni di brani, che pioveranno sui computer e dispositivi mobile degli utenti a stelle e strisce.
La data ufficiale per lo sbarco è però rimasta avvolta nell'ombra , con gli stessi vertici di Spotify chiusi in un religioso silenzio. A stuzzicare la fantasia degli osservatori rimangono gli slogan strombazzati sul sito ufficiale del servizio con base in Svezia: “Qualsiasi brano, in qualsiasi momento, ovunque. Ed è gratis”.
Proprio questo “gratis” sembra aver stupito i più. Che Spotify abbia in mente di proporre un modello d'ascolto basato sulla pubblicità? Si tratterebbe di un significativo vantaggio competitivo rispetto a servizi come MOG e Rdio, attualmente legati ad abbonamenti variabili tra i 5 e i 10 dollari al mese .
C'è chi ha però sottolineato come in Europa, a partire dallo scorso novembre, Spotify abbia concesso solo sei mesi per poter usufruire di un modello free basato sull'advertising . Poi, una serie di limitazioni come le 10 ore massime di ascolto gratuito in streaming ogni 30 giorni. Resterà da capire come verranno sfruttati negli States gli accordi già raggiunti con le major.
Il servizio di streaming europeo ha ora stretto un altro accordo con il provider britannico Virgin Media , in vista di un succulento pacchetto per lo streaming illimitato su computer, mobile e soprattutto apparecchi TV connessi ad Internet . Il tutto a poco meno di 5 sterline al mese.
Resta ancora da capire se poi si consumerà il tanto chiacchierato matrimonio social tra Spotify e Facebook, che porterebbe il servizio di streaming sulle bacheche di milioni di netizen. Attualmente è possibile inviare il proprio indirizzo mail sul sito ufficiale di Spotify per ottenere il privilegio di provare per primi la versione a stelle e strisce .
Mauro Vecchio
-
Azz...
3 giorni!! Però!!Sono corsi presto ai ripari! Complimenti Per l'ottimo lavoro. Se tutti i software venissero patchati così in fretta sarebbe una pacchia!!Re: Azz...
vi ricordo ke la divulgazione di queste cose avviene sempre 2 mesi dopo la scoperta dei bugRe: Azz...
2 mesi? a quanto ho letto è stato uno dei contributor a dare l'allarme immediatamenteRe: Azz...
- Scritto da: Flavio> 3 giorni!! Però!!> Sono corsi presto ai ripari! Complimenti Per> l'ottimo lavoro. Se tutti i software venissero> patchati così in fretta sarebbe una> pacchia!!Non è che l'anno patchato dopo tre giorni. Dopo tre giorni si sono accorti che il software che distribuivano era stato modificato appositamente per inserirvi una backdoor... non è proprio la stessa cosa...Un poco più chiari?
Riporto dall'articolo:"Il codice sorgente di un pacchetto ampiamente utilizzato dal programma conteneva infatti una backdoor..."da qui capisco che in realtà la falla sta in un pacchetto usato da VSFTPD (quale?)Poi si legge:"La versione compromessa del file vsftpd-2.3.4.tar.gz..." e capisco che il baco sta nel sorgente di VSFTPD.Ci decidiamo?(dall'articolo originale si capisce che il problema stava nei sorgenti di vsftpd, quindi la seconda...)Re: Un poco più chiari?
Probabilmente si tratta di una libreria acclusa al sorgente che poi magari viene compilata solo se non ce n'è una nativa...Re: Un poco più chiari?
È stata inserita in una delle funzioni ausiliarie per lavorare sulle stringhe usate da vsftpd, in particolare in str_contains_space di str.cIl diff della backdoor è disponibile qui: http://pastebin.com/AetT9sS5Re: Un poco più chiari?
- Scritto da: Matteo Italia> È stata inserita in una delle funzioni> ausiliarie per lavorare sulle stringhe usate da> vsftpd, in particolare in str_contains_space di> str.c> > Il diff della backdoor è disponibile qui:> http://pastebin.com/AetT9sS5Troppo evidente per essere stato fatto con intento maligno.Qui e' solo qualcuno che ha provato a verificare i tempi di intervento.Ne ho messe pure io di backdoor simili a quella che aprono una shell in background, ma ho creato un bel codice offuscato con un puntatore a funzione per chiamare la exec, al quale passo un puntatore alla stringa di comandoc'e' una bella differenza tra scrivere execl("/bin/sh");e p(q);magari inserito dentro una espressione piu' complessa del tutto plausibile.Nulla di tragico
Qui l'annuncio ufficiale: http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoored.htmlQui il diff: http://pastebin.com/AetT9sS5In ogni caso, non è sucXXXXX nulla di tragico:- la backdoor non era occultata, facilmente era un "gray hat hacker", che ha inserito la backdoor in questione più per vedere se se ne accorgevano che per altri fini;- un semplice controllo della firma digitale del pacchetto avrebbe mostrato che era stato modificato; qualunque mantainer per le varie distro linux se ne sarebbe accorto al momento di costruire il pacchetto, dunque sarebbe stata estremamente improbabile una grande diffusione di questa backdoor;- i sorgenti bacati sono rimasti sul sito per neanche tre giorni prima che qualcuno se ne accorgesse;- il rischio della backdoor in questione non era troppo elevato grazie al design di "defense in depth" di vsftpd (http://vsftpd.beasts.org/DESIGN). La backdoor di fatto può essere attivata solo nel proXXXXX che interagisce con gli utenti remoti, che gira sotto un utente senza privilegi e in chroot. La shell che viene "offerta" al cracker può fare danni estremamente limitati.Insomma, all in all nulla di particolarmente grave. Quello che si dovrebbe capire, piuttosto, è come ci sia finito lì quel file. Nel dubbio il capo del progetto ha spostato tutti i file da un hoster di cui si fida di più.Complimenti all'utente previdente!
Bisogna sottolineare anche i meriti dell'utente che ha subito segnalato il problema dopo aver verificato una "bad GPG signature" del tarball appena scaricato; è bastato un:sha256sum vsftpd-2.3.4.tar.gzper notare subito l'anomalia.Una cosa che dovrebbero fare tutti gli utenti, soprattutto prima di installare programmi destinati allo scambio di dati in Rete.Re: Complimenti all'utente previdente!
- Scritto da: Alvaro Vitali> Bisogna sottolineare anche i meriti dell'utente> che ha subito segnalato il problema dopo aver> verificato una "bad GPG signature" del> tarball appena scaricato; è bastato> un:> > sha256sum vsftpd-2.3.4.tar.gz> > per notare subito l'anomalia.> > Una cosa che dovrebbero fare tutti gli utenti,> soprattutto prima di installare programmi> destinati allo scambio di dati in> Rete.Ma scherzi?Prima di installare programmi destinati allo scambio dati in rete si fa:AvantiAvantiAvantiInstalla...e poi, quando lanci, se per caso uscisse un popup del tipoAttenzione:Testo-qualsiasi-che-tanto-non-viene-lettoContinuare comunque?SI NOCliccare velocemente su SI!(Non esce la richiesta di password di amministratore perche' l'utente che si usa ha gia' quel privilegio...)E se per caso ci fosse un antivirus piuttosto rognoso che nonostante tutto si rifiuta di far proseguire l'utente nel suo intento, si pone la scelta tra il disattivare momentaneamente l'antivirus o disinstallare.Indovinare che cosa viene fatto.Re: Complimenti all'utente previdente!
- Scritto da: panda rossa> E se per caso ci fosse un antivirus piuttosto> rognoso che nonostante tutto si rifiuta di far> proseguire l'utente nel suo intento, si pone la> scelta tra il disattivare momentaneamente> l'antivirus o> disinstallare.> > Indovinare che cosa viene fatto.Tu scherzi? Al figlio di una mia collega un suo amico ha copiato un gioco su u na chiavetta USB. Arrivato a casa si è precipitato ad installarlo, solo che Avast gli ha segnalato che c'era un virus (non so se trojan o altro, chiedere di prendere nota dei messaggi dell'antivirus è veramente troppo, di solito ti chiamano dicendo "c'è un virus"). Sai che ha fatto? Ha telefonato all'amico che glielo aveva dato, il quale lo ha rassicurato: "il mio pc sul quale già l'ho installato va benissimo e quindi l'antivirus si sbaglia, del resto è un antivirus gratuito, se vuoi ti do' NOD craccato..."Quando me l'ha portato per reinstallare tutto spiegandomi la cosa non ci volevo credere! Sono convinto che certa gente sarebbe benissimo capace di inchiodare pure una Debian...Re: Complimenti all'utente previdente!
- Scritto da: Fai il login o Registrati> - Scritto da: panda rossa> > E se per caso ci fosse un antivirus piuttosto> > rognoso che nonostante tutto si rifiuta di> far> > proseguire l'utente nel suo intento, si pone> la> > scelta tra il disattivare momentaneamente> > l'antivirus o> > disinstallare.> > > > Indovinare che cosa viene fatto.> > Tu scherzi? No che non scherzo.E' quello che succede, e a quanto pare ci sei passato pure tu.> Quando me l'ha portato per reinstallare tutto> spiegandomi la cosa non ci volevo credere! Sono> convinto che certa gente sarebbe benissimo capace> di inchiodare pure una> Debian...Non ho dubbi. :(Re: Complimenti all'utente previdente!
- Scritto da: Fai il login o Registrati> Tu scherzi? Al figlio di una mia collega un suo> amico ha copiato un gioco su u na chiavetta USB.> Arrivato a casa si è precipitato ad> installarlo, solo che Avast gli ha segnalato che> c'era un virus (non so se trojan o altro,> chiedere di prendere nota dei messaggi> dell'antivirus è veramente troppo, di solito> ti chiamano dicendo "c'è un> virus"). Sai che ha fatto? Ha telefonato> all'amico che glielo aveva dato, il quale lo ha> rassicurato: "il mio pc sul quale già> l'ho installato va benissimo e quindi l'antivirus> si sbaglia, del resto è un antivirus> gratuito, se vuoi ti do' NOD> craccato..."> Quando me l'ha portato per reinstallare tutto> spiegandomi la cosa non ci volevo credere! Sono> convinto che certa gente sarebbe benissimo capace> di inchiodare pure una> Debian...Tranquillo NON ci sono giochi da craccare su debian ;)Re: Complimenti all'utente previdente!
Dipende comunque. Avast! è (o era) tristemente noto del sparare falsi positivi incredibili. Infatti Mi capitò che mi rilevo com trojan generici, software che non aveva nulla di malevolo, se non essere degli script IRC, ovvero versioni moddate di Mirc.Ovvaimente da bravo utente, ho inviato i file "sospetti" in questione dal produttore dell'antivirus è tempo 5 giorni il falso positivo è sparito, per poi ritornare con la versione 5 e 6 di avast -_-Un volta vide utorrent come software malevolo, ma la cosa fu risolta in 2 ore :DNonostante questa mia esperienza, avast! per me è uno dei migliori.Re: Complimenti all'utente previdente!
- Scritto da: Fai il login o Registrati> - Scritto da: panda rossa> > E se per caso ci fosse un antivirus piuttosto> > rognoso che nonostante tutto si rifiuta di> far> > proseguire l'utente nel suo intento, si pone> la> > scelta tra il disattivare momentaneamente> > l'antivirus o> > disinstallare.> > > > Indovinare che cosa viene fatto.> > Tu scherzi? Al figlio di una mia collega un suo> amico ha copiato un gioco su u na chiavetta USB.> Arrivato a casa si è precipitato ad> installarlo, solo che Avast gli ha segnalato che> c'era un virus (non so se trojan o altro,> chiedere di prendere nota dei messaggi> dell'antivirus è veramente troppo, di solito> ti chiamano dicendo "c'è un> virus"). Sai che ha fatto? Ha telefonato> all'amico che glielo aveva dato, il quale lo ha> rassicurato: "il mio pc sul quale già> l'ho installato va benissimo e quindi l'antivirus> si sbaglia, del resto è un antivirus> gratuito, se vuoi ti do' NOD> craccato..."> Quando me l'ha portato per reinstallare tutto> spiegandomi la cosa non ci volevo credere! Sono> convinto che certa gente sarebbe benissimo capace> di inchiodare pure una> Debian...Alcuni antivirus (Avira ad esempio) bloccano a priori qualsiasi cosa che abbia un file "autorun.inf" dentro. Magari era la pennina ad essere stata infettata nel passaggio.Re: Complimenti all'utente previdente!
- Scritto da: Alvaro Vitali> Bisogna sottolineare anche i meriti dell'utente> che ha subito segnalato il problema dopo aver> verificato una "bad GPG signature" del> tarball appena scaricato; è bastato> un:> sha256sum vsftpd-2.3.4.tar.gz> per notare subito l'anomalia.Oppure ha letto quel che gli ha scritto apt-get che, come molti altri installer linux fanno la verifica automaticamente di default.> Una cosa che dovrebbero fare tutti gli utenti,> soprattutto prima di installare programmi> destinati allo scambio di dati in> Rete.Re: Complimenti all'utente previdente!
- Scritto da: krane> > Oppure ha letto quel che gli ha scritto apt-get> che, come molti altri installer linux fanno la> verifica automaticamente di default.Si, questo è ovvio per chi usa distribuzioni con installer avanzati; ieri mi sono arrivati 202 aggiornamenti su OpenSuse e per fortuna le verifiche sulla firma GPG vengono fatte in automatico.L'utente in questione però intendeva probabilmente ricompilare da sorgente.La backdoor stava solo sul sorgente
Una volta compilato la backdoor auto magicamente spariva (rotfl)Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti07 07 2011
Link copiato negli appuntiTi potrebbe interessare
![Mauro Vecchio]()
07 07 2011Link copiato negli appunti
