Tuesday, August 20, 2013

Facebook's bug reporting system bug

The story goes around the Web. Khali, a young hacker, reported a Facebook vulnerability enabling others to have unauthorised access to your timeline and actually post on it. After not getting attention by Facebook developer support staff, he actually posted it to Zuckerberg's profile. Then, security engineers got more interested, contacted him for more information and eventually solved the bug, as the story goes.

Facebook has an award for verified security bug reports (of min. $500). However, considering that Khali broke the service rules, did not attribute him the award. Facebook Security group profile is now flood by user comments asking to "pay up the guy".

However, Khali did not reveal the bug in question. He also revealed a bug in Facebook bug reporting system. Generally, to report a bug you have to show how to reproduce it (usually by a screenshot of the problem). Thence, you have to actually reproduce it.

According to Facebook rules, bug reporters on security issues should use a test account. Still, test accounts "Cannot post to a page's Wall". So, Khali, who discovered a vulnerability enabling him to "post to a page's Wall" could not have used a test account. More over, as he comments in his page, for Facebook staff to access the vulnerability illustration, they actually had to break the terms of service and check the profile of the user who's privace has been violated by the exploit...

Of course, Khali could have made two test accounts, use the one to break the other's privacy and then show it - but then of course Facebook staff should access the second profile to verify it.

And, admittetly, when you're a young hacker, I guess there is no many things that could be as fun as report a bug to Zuckerberg in person...

The vulnerability is, in my view, in Facebook's bug reporting system. They should have already had "punching bag" user profiles, where such exploits could be tested, in the way Anti-virus developing enterprises leave some computers exposed to the net in order to catch new viruses - and thus identify them.

As terms of use are essential to the good functioning of a service, term of use violating exploits are valuable to know. While a "test profile quarantine" is a good solution, it was proven it is not sufficient.

Friday, June 21, 2013

ERT DIY? Why not?

Σε συνέχει του προηγούμενου μου ποστ, σκέφτηκα το απλό: αν μπορούσαν στη δεκαετία του '20 να εκπέμπουν και να λαμβάνουν σήμα ραδιοφώνου ερασιτέχνες με πολύ φτηνά υλικά, γιατί να μην μπορούμε σήμερα να αναμεταδόσουμε το σήμα της ΕΡΤ από τα σπίτια στους γείτονές μας;

It turns out ότι μάλλον γίνεται.

Εδώ έχει οδηγίες για το πως να φτιάξετε ένα αναλογικό αναμεταδότη τηλεόρασης στο σπίτι σας. Θεωρητικά, άπαξ και τον φτιάξετε, θα μπορείτε να κάνετε input του σήματος της ΕΡΤ από τον υπολογιστή σας.

Προφανώς είναι απλά ένα κόνσεπτ, κι ο διάβολος κρύβετε πολλές φορές στις λεπτομέρειες.

Αν πάντως κάποιος το δοκιμάσει, θα'θελα να ξέρω αν δουλεύει ;-)

Monday, June 17, 2013

Ertops : hacking για τη δημόσια τηλεόραση

Όταν είδα την παρακάτω αφίσα, από τους hackers http://ertops.com/ που φτιάχνουν εφαρμογή για την παρακολούθηση της ΕΡΤ από android, σκέφτηκα τις απαρχές του ραδιοφώνου - που οδήγησε μετά στην τηλεόραση.

Η βασική χρήση του ραδιοφώνου στις αρχές του 20ού αιώνα ήταν ο .. τηλέγραφος. Ο ραδιοτηλέγραφος ή ασύρματος τηλέγραφος λοιπόν ήταν πολύ πιο φτηνός και αποτελεσματικός από τον ενσύρματο, και γρήγορα απεδείχθει ανταγωνιστικός. Ο Α'ΠΠ κρίθηκε, μεταξύ άλλων, από τη χρήση αυτού του μέσου.

Μετά τον πόλεμο, μια άλλη χρήση, που είχε ήδη διαφανεί πριν, άρχισε να εξαπλώνεται. Οι "πειρατές", όπως τους αποκάλεσαν αργότερα, ή ερασιτέχνες, όπως θα τους λέγαμε, χρησιμοποιούσαν το ραδιόφωνο για να επικοινωνούν: εξέπεμπαν και λάμβαναν δίχως να διαχωρίζουν τις δυο αυτές λειτουργίες, φτιάχνοντας ένα δίκτυο "φίλων". Ειδικά στην περιοχή που πολύ αργότερα θα ονομαζόταν Silicon Valley, καθώς ήταν ναυτικοί (βλέπε Moby Dick), το ραδιόφωνο αναπτύχθηκε ως μέσο να επικοινωνούν οι ναύτες με τους συγγενείς τους.


Τελικά, όταν οι μάνατζερ της RCA έκαναν τον απολογισμό από τις πωλήσης ραδιοφωνικούς δέκτων, που είχε γίνει περισσότερο ως side product, έμειναν άφωνοι όταν συνειδητοποίησαν ότι τα κέρδη τους ήταν πολλαπλάσια από εκείνα του ραδιοτηλέγραφου. Στα επόμενα χρόνια, ο ραδιοτηλέγραφος θα άφηνε τη θέση του στο ραδιόφωνο, όπως το γνωρίσαμε μέχρι σήμερα. Κάπου εκεί, ανακαλύφθηκε ότι τα ραδιοκύματα μπορούν επίσης να χρησιμοποιηθούν για τη μετάδοση εικόνας...



Σήμερα λοιπόν, αυτή η αμφισβήτηση της ραδιοτηλεόρασης μπορεί και να αποβεί σε καλό. Ένας συνδιασμός της απίστευτης εμπειρίας των τεχνικών της ΕΡΤ με την πλούσια γνώση που βρίσκεται στην ελληνική κοινότητα των developers θα μπορούσε ίσως να παράξει πολύ πολύ ενδιαφέροντα πράγματα... Σίγουρα, δεν εννοώ ότι κανείς οφείλει να παραδεχτεί το κλείσιμο της ΕΡΤ. Αλλά λέω ότι πλέον ανοίγει ένας νέος κύκλος επαναπροσδιορισμού της δημόσιας τηλεόρασης που μπορεί να πάρει πάμπολλες μορφές, κάποιες από τις οποίες είναι ελπιδοφόρες.

ΥΓ1. Η σύμπραξη καθ'αυτή με τους τεχνικούς της ΕΡΤ δεν είναι στο πρόγραμμα, αλλά - έχοντας ακούσει πρόσφατα συνεντεύξεις τους - θα ήταν σίγουρα μια εμπειρία να μπορέσει να "χακάρει" κανείς μαζί τους.

ΥΓ2. Προσωπικά είμαι αρκετά χιλιόμετρα μακριά, οπότε δε θα μπορέσω να είμαι παρόν.. :Ρ

Thursday, June 13, 2013

Ενάντια στο μαύρο...

Ενάντια στο μαύρο, που μας απειλεί, θέτω κι εγώ το μπλογκ μου στην υπηρεσία της αναμετάδοσης του ελεύθερου προγράμματος.



Update (20/8/2013): Σήμερα η EBU σταμάτησε την αναμετάδοση του προγράμματος της ΕΡΤ, απ'όπου... έπαιρνα κι εγώ σήμα. Με ανακοίνωσή της, η EBU αναφέρει ότι πάνω από 2.5 εκατομμύρια επισκέπτες παρακολούθησαν την ΕΡΤ αυτούς τους δυο μήνες μέσα από την ηλεκτρονική της συχνότητα.

Ωστόσο, το πρόγραμμα της ΕΡΤ συνεχίζει να εκπέμπει. Μπορείτε να το παρακολουθήσετε στη δ/νση http://www.ertopen.com