Archive for the ‘Sicurezza’ Category

CarrierIQ – Scandalo 150 milioni di telefoni spia

Commenti disabilitati su CarrierIQ – Scandalo 150 milioni di telefoni spia

Nota: Questa guida/articolo è vecchia oltre tre anni, è mantenuta come “Storico” ma probabilmente le
informazioni contenute non sono più valide

Siamo sotto natale, è tempo di compere, di acquisti importanti, è il momento di spendere i quattrini; è il momento di capire cosa le persone vogliono… è il momento di spiare tutto delle lori vite, i loro gusti, le loro abitudini, a qualsiasi costo o meglio a qualsiasi software

Il Software di cui stiamo parlando si chiama CarrierIQ; e il suo scopo è come detto di effettuare registrazioni allo scopo di “migliorare la qualità del servizio” da parte degli operatori telefonici. Al momento sembra che siano più di 150 milioni gli smartphone coinvolti, può raccogliere una enorme quantità di informazioni, dai siti visitati alle applicazioni scaricate sino alle lettere digitate nella composizione degli SMS e chi ne ha più ne metta

Un vero e proprio “rootkit” che raccoglie dati all’ insaputa degli utenti; e fra le aziende c’ è chi già fà le sue smentite, per ora si sà che i coinvolti potrebbero essere Android e Iphone; anche Nokia e RIM negano ogni possibile coinvolgimento nella vicenda, e la magistratura stà già indagando a riguardo, una cosa è certa, la privacy nel mondo tecnologico è ormai un ricordo lontano, e intanto sul sito di CarrierIQ cresce un contatore con il numero degli smartphone orgogliosamente spiat

Lulzec – Attacco a 18 Università Italiane

Commenti disabilitati su Lulzec – Attacco a 18 Università Italiane

Si rivela più vulnerabile del previsto il sistema accademico italiano, 18 i sistemi informatici attaccati dal noto team di sicurezza Lulzec.

A finire nel mirino i dati degli account di posta elettronica, di studenti, ricercatori, docenti e personale amministrativo, ovviamente ciò non bastava per generare panico…

I dati sono in rete e chiunque può scaricarli tramite Torrent, l’ attacco è stato a scopo dimostrativo… anche se c’ è un chiaro invito (da seguire direi alla lettera) a cambiare password, per chi si intende di inglese, in fondo all’ articolo il loro comunicato

Sembra più che altro scandaloso che questi dati non siano stati crittografati, colpiti più che altro i docenti… l’ elenco delle varie università e domini coinvolti:

  • unisi.it
  • unisa.it
  • uniroma1.it
  • anotonianum.eu
  • econoca.it
  • uniba.it
  • unibocconi.it
  • unifg.it
  • unime.it
  • unimib.it
  • uniurb.it
  • unibo.it
  • unipv.it
  • unina2.it
  • unile.it
  • polimi.it
  • unito.it
  • unimo.it

Today is a great day for us all, and a very bad one for italian universities.
Their sites are full of weaknesses. Some of them even think being secure,
so they don’t mind hashing their passwordz.
And you, Italian people, are giving all your data to idiots like these?
Is it a joke?
Change your passwordz, guys.
Change your concept of security, universities.
We could have leaked much more.
We could have destroyed your db and your network.
Were you ready for this?

lulzsec

Bug in Facebook – Dati personali pubblici per anni

Commenti disabilitati su Bug in Facebook – Dati personali pubblici per anni

Per anni, fin dal lontano 2007, Facebook ha ospitato un bug che permetteva alle applicazioni di terze parti di accedere alle informazioni personali degli utenti..

Fin qui nulla di grave, ci avvertono pure quando clicchiamo su un applicazione non ufficiale… ma il problema è più grave e non banale.

Riguarda i form d’ autentificazione usati da queste applicazioni, che permettevano la fuga di password con gli effetti che penso tutti conosciamo, possibilità di spiare le chat, accesso completo alla posta privata, e possibilità di pubblicare messaggi indesiderati e altro ancora.

Facebook ha reagito prontamente al problema, ritirando dalla circolazione tutti quei vecchi form, tuttavia vale il consiglio di cambiare password per sicurezza e dato che ora ci è consentito di utilizzare una connessione cifrata (qui la guida)

 

Bucate le difese di Chrome

Commenti disabilitati su Bucate le difese di Chrome

Nota: La vulnerabilità descritta è vecchia più di tre anni, è mantenuta come “Storico” ma probabilmente le
informazioni contenute non sono più valide

Bucato il browser che ha finora ha resistito a ben tre edizioni del PWN2Own Contest, i ricercatori di Vupen Security (quindi dei professionisti) hanno trovato modo di superare le difese di Chrome e di far visitare al browser un link specifico per fargli eseguire la calcolatrice di Windows, eludendo pure la SandBox interna.

Google ancora non ha riconosciuto il bug come ufficiale ma è pronta a rilasciare un premio e ovviamente l’ aggiornamento automatico a tutti i suoi utenti.

Intanto mettiamo il link al video dell’ impresa, messo a disposizione dagli stessi ricercatori di Vupen

Iphone e il file che spia gli utenti

41 Comments

Peter Warden e Alasdair Allen, hanno reso nota al mondo intero un informazione che ha dell’imbarazzante, ma che di sicuro, putroppo non stupisce…

A quanto pare i prodotti Apple hanno una strana abitudine, che consiste nel memorizzare lo spostamento dell’ utente a ogni intervallo di un secondo…

Ma quello che scandalizza veramente è che questo file sarebbe non crittografato e liberamente accessibile (si intende, in caso di accesso fisico) ma nulla esclude che sia prelevabile tramite attacchi BlueTooth

Può essere copiato sul proprio computer, e letto con un programma rilasciato dai ricercatori che hanno scoperto questa funzione.

Tale programma prende il nome di iPhone Tracker, essendo i ricercatori consapevoli dei rischi dell’ uso di questo software, l’ aggiornamento dei dati è solo settimanale (vengono mostrati gli spostamenti ogni settimana) ma può essere facilmente modificato per arrivare a dettagli fino a un secondo

E’ stato ipotizzato che Apple abbia programmato questa funzione per usi futuri, ma rischia il fattaccio per violazione della privacy… è stato esaminato anche Android che non presenta anomalie del genere

Windows & IPv6 – Vulnerabilità

38 Comments

Da poco introdotto e pienamente funzionante l’ IPv6 promette di risolvere (ed è matematico che ci riuscirà) i problemi dovuti all’ assegnamento dei nomi a dominio..

Windows di default è già configurato per preferire lo standard IPv6 al vecchio IPv4.. ciò può essere un bene per facilitare la migrazione al nuovo standard… ma può rappresentare un potenziale rischio per la sicurezza

In teoria difatti, sfruttando lo standard noto come Stateless Address Auto Configuration (SLAAC) – che permette ai client e agli host di trovarsi all’interno di una rete IPv6 – è possibile creare una rete IPv6 non autorizzata verso la quale dirigere tutto il traffico.

Tale tipo d’ attacco è definito di tipo “Man in the Middle” di cui possiamo trovare una breve definizione su Wikipedia

Inserendo  nella rete un router configurato con l’ IPV6  e appositamente programmato per sniffare il software, la rete di Windows preferirà connettersi lì e utilizzare il nuovo protocollo

Ma potrebbe di fatto non essere un componente hardware ma pure un software che agisce come router;  insomma certe scelte di Microsoft sono quasi sempre discutibili da un punto di vista della sicurezza e a pagarne gli effetti ovviamente è sempre l’ utente (e chi sennò?)

Proteggi il tuo Facebook – Attiva l’ Https

33 Comments

Dagli uffici di PaloAlto finalmente una funzione per aumentare la sicurezza dei nostri account Facebook. La connessione https differisce dalla normale http per il fatto di essere crittografata (la s infatti stà per Secure)

Attivando questa funzione tutte le pagine di Facebook (ad esclusione delle applicazioni create da terzi) saranno crittografate, rendendo più sicura l’ intera connessione.. al sicuro per esempio dai dati intercettati via Wireless di cui ci eravamo in passato precedentemente occupati in questo articolo (Craccare un account Facebook è un gioco da ragazzi – Ecco come fare)

L’ attivazione della funzione è banale, ma particolarmente consigliata a tutti per aumentare la sicurezza e tutelare la vostra privacy

All’ estrema destra dello schermo cliccate su Account e successivamente su Impostazioni Account nonchè su Protezione Account e a questo punto cliccate su Navigazione Protetta (https)

Da notare che questa funzione non è attivabile sulle connessioni mobili (cellulari, smart-phones ecc…) qui un link alla guida ufficiale di Facebook per ulteriori informazioni

Attivate la funzione e controllate che nella barra degli indirizzi sia presente la connessione cifrata.

Buona navigazione a tutti i lettori

facebook https

Cancellare i dati da una chiavetta Usb? Impossibile

38 Comments

Lo dimostrano i ricercatori dell’ Università di San Diego – California

A differenza degli Hard Disk tradizionali, i moderni supporti di memorizzazione flash e SSD non cancellano mai definitivamente i dati… neanche provando diversi algoritmi di riscrittura, numerose volte… le tracce resterebbero in maniera parziale sul dispositivo per lungo tempo e con appositi strumenti a disposizione di chi ne vuole usufruire..

Rischio per la privacy? Se avete la coscienza pulita non avete nulla da temere.. 🙂  ma non le gettate nel bidone dopo averle usate, per questi gioiellini l’ unico modo di distruggere i dati è quello fisico

TrapCall – Vuoi sapere chi ti chiama con il privato?

36 Comments

Quante volte qualcuno di voi ha ricevuto una chiamata anonima sul cellulare? I più ingenui penseranno a qualche ex che ha voglia di sentire la vostra voce… passiamo al lato pratico… aziende fasulle che propongono stages non retribuiti come (ehm non facciamo nomi và) o altri innumerevoli esempi che potrei elencarvi…

Dite la verità… non avreste una gran voglia di vedere quel numero e vendicarvi? Non vi fanno incazzare questi scherzi idioti?? Da adesso ne avete l’ opportunità…

Occorenti.. un cellulare fra Android, BlackBerry e Iphone…

Il funzionamento è semplice e efficace.. in America i numeri verdi dispongono di un servizio (che esiste anche in Italia ma ha costi onerosi) che si chiama Override, che svela l’ identità dei numeri privati, la chiamata di un privato  viene indirizzata dal vostro cellulare a un numero verde predisposto che vi rimanda diligentemente l’ id di chi vi ha chiamato… immaginate lo stupore del burlone quando vedrà che qualcuno lo stà richiamando.

Violazione della privacy? Dipende da come la vedete… non vi sembra una violazione della privacy che qualcuno vi chiama al cellulare e voi non sapete manco chi è? Magari è qualcuno che vi perseguita.. o magari siete curiosi di sapere chi è che bussa alla vostra porta senza la cortesia di mostrare il viso dall’ occhiello

TrapCall

1,2,3 Spoof… un soffio e ti rubo l’ identità!! (Chiamare con altri numeri)

35 Comments

Un giocattolo pericoloso, una magia, un incanto della tecnologia, un pericoloso strumento capace di creare danni di immagine incalcolabile…. Uno strumento per effettura chiamate in modo che al destinatario appaia qualsiasi numero

In gergo tecnico ID-Caller Spoffing;  il numero di telefono è quello che rintraccia la persona fisica, al vostro numero è associata la vostra identità… chiunque può rintracciarvi… a meno che…

Voi non usiate il numero di un altro… uno strumento del genere che effetti avrebbe nelle mani sbagliate? Possiamo ad esempio penetrare senza problemi in segreterie telefoniche… chiamare il brocker di fiducia della vittima e rovinarlo in borsa… o se siete sentimentali, scoprire tradimenti fingendovi madre, amico, amante, date sfogo alla fantasia insomma….

Con uno strumento del genere… vi sentito Dio… e al contempo così impotenti poichè ahime potreste essere vittime del giochino…

Una carta… una semplice carta… Spoof Card per ulteriori informazioni e costi del servizio (ah già ovviamente pagavo ma aspettavo la fine dell’ articolo) vi invito a visitare il sito ufficiale

IPhone & Android – La privacy non esiste

33 Comments

La notizia è attendibile, e nonostante i sospetti ci siano sempre stati; stavolta il dubbio che IPhone e Android violino la nostra privacy si è trasformato in certezza…

A confermarlo niente di meno che il Wall Street Journal; moltissime applicazioni (circa il 56%) vende dati a società di mercato, e se questo non vi turba, sappiate che viene anche spedito il vostro IMEI (identità del cellulare) e la vostra posizione esatta con una precizione che è a dir poco millimetrica 🙂

Fra le più pericolose spicca Pandora, il software invia dati a ben 8 società esterna e rivela username, password, rubrica telefonica, età e sesso dell’ utente, IMEI e posizione a intervalli regolari.

Come avrete ben capito è il caso di alzare la guardia, e dubitare delle applicazioni che non godono di buona fama, informarsi sempre sui rischi e possibilmente installare meno applicazioni possibili… il Grande Fratello è sempre in ascolto

Sms Spoofing – Ovvero inviare sms con mittente personalizzato

50 Comments

Lo spoofing è un tipo d’ attacco informatico in cui viene falsificata l’ identità (to spoof), come ad esempio inviare email con mittente falso o addirittura… adesso vedremo come fare, inviare sms a un determinato numero in modo che al destinatario risulti un mittente arbitrario.

In quest’ articolo mostrerò un sito internet (a pagamento ve lo dico subito) che vi consente di inviare sms con mittente personalizzato, gli usi possono essere molteplici come potete capire e il sito in ogni caso declina ogni responsabilità per uso criminoso e conserva gli sms che mandate con tanto di cronologia ip, ma questo a noi non interessa tanto siamo tutti bravi ragazzi 🙂

HoaxMail

Il sito internet vi permette dopo esservi registrati di inviare sms con qualsiasi mittente… immaginate la faccia di un vostro amico che si vede arrivare un sms dalla polizia; o tante altre cose… gli usi di questo strumento sono fra i più disparati

I  costi? Nemmeno troppo eccessivi

1,4 € per un sms, e poi ci sono gli abbonamenti 17,65 € per 50 sms, se sottoscrivete questo un sms-spoofing vi costa solo il doppio di un sms normale

Interessante pure la funzione di Email-spoofing con il difetto che con l’ account base viene aggiunta una stringa finale che dice che l’ email è appunto falso ma siccome pagando si può ottenere tutto con 22,4 € l’ anno eliminate questo problema… 🙂

Buon divertimento e non fate stronzate 😉

Violato il sistema comunale di Pietrasanta – Colpo da 60 mila euro

Commenti disabilitati su Violato il sistema comunale di Pietrasanta – Colpo da 60 mila euro

Un professionista del settore informatico è riuscito a violare il sistema informatico del comune di Pietrasanta… dato che è un comune piccolo la gloria non gli è bastata 🙂 ed è riuscito a trasferire 60 mila euro su una carta prepagata, soldi che erano depositati su un comune conto postale

A confermare l’ episodio è l’ assessore al bilancio Daniela Ferrari, la denuncia è già stata sporta alle autorità competenti

Sicurezza e Password – La falla maggiore è nell’ utente

33 Comments

Nonostante l’ avanzare precipitoso di nuove tecniche di sicurezza all’ interno dei browser e degli stessi sistemi operativi, da sempre un fattore che personalmente considero basilare nella sicurezza informatica è trascurato..

Il fattore umano da ricerche effettuate su internet ma anche su base personale, la maggior parte delle persone sembra non porre una particolare attenzione nella scelta e nella tutela della propria password… sia che si parli di account social (es: Facebook) che di email o conti bancari.

Molti utenti contravvengono a norme di sicurezza elementari e scontate ponendosi a rischi più o meno gravi, dalla semplice violazione della privacy, al furto di idendità e altri dati sensibili o addirittura al furto di denaro in conti bancari.

Queste persone, che sono la causa principale del loro male rappresentano una manna dal cielo per ragazzini ficcanaso o per ladri professionisti.

Basti dire che ben il 75% degli utenti tiene la stessa password per ogni account che ha nel web, inutile dire che se un lamer ha accesso alla password dell’ email principale può recuperare tutte le altre; la stessa percentuale non ha una seconda casella email collegata.

E’ particolarmente preoccupante il fatto che il 20% dell’ utenza utilizzi come password un informazione facilmente reperibile sul social network, esempi:

  • La data di nascita
  • Il numero di telefono del partner o addirittura il proprio
  • La squadra del cuore
  • Una data particolarmente importante

Solo una parte di utenti usa caratteri speciali nelle password… e vi è il brutto vizio di scambiarsi password via sms o addirittura via Facebook (in modo che se io entro dentro un account trovo anche la password di un altro)

La maggior parte degli utenti salva inoltre le password nel browser.. e l’ esperienza ci insegna che nessun dato lasciato dentro a un hard disk è sicuro; i furti d’ account insomma sono all’ ordine del giorno per chi ha un minimo di dimestichezza con i cookies.

Il modo migliore per non mettere a rischio la propria identità su internet non è aggiornare l’ antivirus, e il sistema operativo in continuazione, certo bisogna fare pure questo… ma per evitare gran parte dei problemi basta:

  • Scegliere con cura una password alfa-numerica, magari casuale e magari con un semplice punto esclamativo in fondo (semplice da ricordare, dannatamente difficile da individuare)
  • Cambiare la password periodicamente, se si teme di essere stati intercettati
  • Porre particolare attenzione ai computer pubblici, e alla presenza di eventuali keylogger (programmi che intercettano i dati della tastiera)
  • Scegliere una password diversa dall’ email
  • Non inviare mai dati sensibili riguardanti conti postali / bancari a qualcuno su internet
  • Non memorizzare la password nel browser.. ci sono worm e virus studiati appositamente per rubare grandi quantità di dati; anche se poi il danno è limitato al servirsi dei vostri account per fini di spam a vostra insaputa
  • Per quanto riguarda Facebook: Nascondete nelle impostazioni della privacy l’ indirizzo email a tutti
  • Iscrivervi al fun club di Navigatranqui (così almeno evitate che io faccia prove di sicurezza sui vostri account XD)

glider
Il simbolo degli Hacker