Con molto piacere vi riporto un articolo di Kn0t pubblicato recentemente sul suo blog il quale parla della privacy su internet nell’attuale era multimediale:

Oggi voglio trattare un argomento che mi preme abbastanza. Come sicuramente saprete, uno dei più grandi diritti umani, è la riservatezza, la privacy, qualcosa a cui nessuno vorrebbe mai rinunciare per la propria tranquillità. Internet ha reso la difesa della propria privacy un intento molto più arduo. Esistono siti che monitorano continuamente le nostre azioni, le nostre ricerche, altri siti che si prendono tutte le informazioni personali possibili (esempio: foursquare, facebook, ..) e se le tengono in eterno. Altri siti salvano le nostre credenziali, le nostre password, e grandissime agenzie come Microsoft ed Apple trovano divertente tracciare la nostra posizione sul pianeta tramite GPS per pura libido personale, mentre Google fa tranquillamente wardriving con la scusa di raccogliere immagini per Google Street. Wow, non credevo che andare in giro per le strade comprendesse anche l’uso di airodump-ng e company, e ve lo dice uno che fa wardriving abbastanza spesso, ma senza nascondersi dietro scuse ridicole. Poi ci sono i siti che ti permettono di trovare praticamente di tutto su tutti: nomi, cognomi, vie, numeri di telefono, e se cerchi bene, puoi trovare anche la tomba o la lapide di una determinata persona (i webmaster di oggi hanno molta fantasia). Questa è la premessa molto generale che vuole farvi capire quanto il nostro diritto alla privacy stia andando lentamente a puttane senza che nessuno faccia nulla. E i nostri nemici sono proprio quelli più vicini a noi, non si tratta di hackers o crackers spregiudicati. Eccovi la lista degli indagati:

Apple

In questi giorni, come alcuni di voi sapranno, si è scatenata una vera e propria tempesta intorno alla Apple, che è stata accusata di geolocalizzare gli user di iPad e iPhone (la faccenda è stata chiamata “LocationGate”). Da quanto ho capito, le piattaforme della Apple, scriverebbero delle variabili relative alla posizione sul globo dell’apparecchio in un file chiamato “consolidated.db”, con la scusa di creare un database delle posizioni delle reti Wi-Fi  in modo da rendere la connessione più immediata che con il solito sistema del GPS (Global Positioning System). Il file però, nonostante non finisca alla Apple (sembrerebbe), non è cifrato, ergo vi lascio immaginare. Quindi l’hanno fatto per voi! Per aumentare la velocità di connessione del vostro apparecchio! Non per farsi i cazzi vostri! Assolutamente! Certo, è un po’ strano che non vi abbiano avvertiti, cari utenti, ma si sa, queste grandi agenzie sono un pochino distratte. Infatti, i dettagli tecnici non sono stati spiegati, tutt’altro, sono stati quasi del tutto tralasciati (e poi si incazzano se qualcuno reversa qualche codice :D ). La cosa che però salta all’occhio, è che questo piccolo file, tiene i logs delle posizioni e quant’altro, per oltre un anno. La Apple ha definito questo un “bug” che sarà fixato al prossimo rilascio di iOS (mmh..). I cambiamenti che sarebbero apportati al sistema sarebbero i seguenti:

  • I logs non durano più di 7 giorni.
  • Niente backup della cache.
  • Rimozione di cache e logs vari in caso l’utente decida di non partecipare a questa “localizzazione di massa” (bisognerà vedere se la Apple informerà dovutamente i suoi utenti riguardo questa terza opzione).

Insomma, una bella retromarcia, e una arrampicata di specchi da “cazzo, mi hai sgamato; uhm, è solo un bug dei nostri pochi, disattenti e inesperti programmatori, fixeremo asap”, LOL. Apple, sei un po’ birichina, ma la concorrenza non è da meno. Ricordiamo inoltre la temibile arrampicata di specchi di Steve Jobs: “iOS non logga la vostra posizione! Android e Microsoft vi spiano!”. Uh, un po’ di gente a casaccio eh? Ma adesso arriviamo anche a loro.

Microsoft

Anche Microsoft non si comporta bene con la privacy dell’utente, e ora vediamo perché. Tempo fa era già stata accusata di spiare nel vero senso della parola le azioni dell’utente nel web, utilizzando Internet Explorer. Tutto in modo più o meno burocraticamente lecito (avete presente quei testi iper-lunghissimi e noiosi che in genere sono affiancati ai tastini “Accetto” e “Non accetto”? In genere contengono fregature di questo tipo, in breve potrei farvi accettare di vendermi il vostro cane in cambio di due ovetti Kinder, se lo piazzassi in un testo di millemila righe, in una frase sperduta da qualche parte in qualche paragrafo zeppo di nomi astrusi e complicati.). Ma non era di questo che volevo parlarvi. Ora vanno di moda gli Smartphone (che io non apprezzo: i computer sono i computer, e i telefoni sono i telefoni, accidenti!), e dato il grande successo degli apparecchi made by Apple, Microsoft ha deciso di dire la sua a riguardo pubblicando diversi smartphone con Windows 7 installato. E indovinate un po’? La faccenda sembra la stessa che per Apple, se non fosse che i dettagli tecnici sono vagamente diversi (ma si mettono d’accordo per fare queste stronzate, o hanno una specie di cervello sincronizzato per le idiozie?). La Microsoft ha dichiarato che “il sistema trasmette l’indirizzo MAC dell’AP Wi-Fi, ma non l’ESSID (il nome, motivo? dunno). Trasmette anche la potenza del segnale, una ID univoca random (che scade dopo X tempo), lo status del GPS (on, off), la posizione geografica e altra roba..”. Tutto ovviamente detto con un grande tono di sufficienza mettendo in primo piano il fatto che Windows Phone 7 non conserva dei logs riguardanti la posizione del dispositivo. Uh! Grazie Microsoft! Ora si che la mia privacy è al sicuro! Soprattutto con tutti i miei dati nei tuoi server! Grazie Microsoft, grazie tante. È vero che moltissimi smartphone offrono servizi GPS-related, e che Windows Phone 7 esplicita la possibilità di disattivare il posizionamento globale (che credo proprio sia attivo di default, guardacaso). Però c’è anche da sapere che i logs delle posizioni più recenti vengono mantenuti, a scapito sempre della vostra privacy. #sapevatelo. Ancora non si sa molto sulla questione, ma quello che si sa mi lascia perplesso as fuck.

Google

A “salvare” Google, c’è la difesa di quest’ultimo che specifica che “tutte le comunicazioni relative alla posizione nel globo sono inviate solo se confermate dall’utente che viene ogni volta avvertito, ed è in grado di accettare o rifiutare l’invio dei dati, che comunque viene anonimizzato e reso inconducibile ad un singolo utente”. Bravi. Se non fosse per le vecchie storielle che riguardano proprio Big G:

Storiella numero uno: c’era una volta un piccolo motore di ricerca fondato da due ragazzi volenterosi, che estendendosi negli anni è rimasto in principio un semplice motore di ricerca, che si limita ad indicizzare i siti web e renderli disponibili per chi cerca (Kn0t ringrazia). Poi però s’è espanso parecchio, s’è formato un team più grande e sono nati tanti altri progetti: gmail, docs, picasaweb, calendar, notebook, gtalk, adsense, adwords, maps, translate, goo.gl, etc… Tutti chiaramente riuniti da una grande caratteristica: un account solo e la possibilità di tenere dei logs per tutto quanto, soprattutto il motore di ricerca. Tanto per farvi capire la gravità della cosa, tanto (tanto, tanto), tempo fa, Kn0t ownò l’account di Gmail di un noto lamerozzo (se spremete le meningi riuscite anche a capire di chi parlo :P ),  e fu molto gratificante scoprire che le maggiori ricerche effettuate (salvate sulla cronologia dell’account Google) erano cose tipo “la bellezza non è tutto”, “simpsons porn”, “chat sex” ed il proprio nome per autoindicizzarsi su Big G (SEO for 1d1075?). Ma alla luce di questo, a Kn0t sorge una domanda: che senso ha tenere dei logs all’interno dei server di Google, solo per le ricerche e le mail effettuate con i servizi di Google, se un qualsiasi browser può fare questo e molto di più? Mistero della fede.

Storiella numero due: C’era una volta un piccolo motore di ricerca… vabbè, l’ho già detto. Il piccolo motore crea Google Maps, un ottimo sistema che crea tramite dei satelliti una mappa del mondo visitabile dallo spazio ad altissimi livelli di zoom, includendo molti tipi di vista, e creando una sorta di stradario. Qualcosa di terribilmente utile. Poi, per abbellire il progetto, viene lanciato Street View, qualcosa che permette di visitare le strade di moltissime città nel mondo esattamente come se stessi passeggiando di lì, con la visuale in prima persona orientabile a 360°. Questi dati sono stati raccolti andando in giro con macchine del genere:

Come potete vedere sopra montano una telecamera ed altri marchingegni, sono famose nel web per aver ricevuto numerose multe, e per aver investito alcuni animali durante i loro tragitti per il mondo. Complimenti. Eccetto la telecamera a 360° e il paraurti chiodato uccidi-cerbiatti rigorosamente Copyright 2011, la macchina monta dei piccoli apparecchi wireless capaci di rilevare le reti. Da me si chiama wardriving, e sempre da me è illegale. In sintesi mentre queste macchine se ne vanno sfrecciando in giro a fare foto/filmati e a uccidere animali (Kn0t sottolinea di nuovo), raccolgono anche informazioni sulle reti wireless che capitano a tiro. E il problema sorge per quelli che hanno una rete aperta (pensate un po’.. ;) ).

Insomma, a chi importa qualcosa della nostra privacy? Sembrerebbe a nessuno. Persino Google Chrome oramai sembrerebbe tracciare alcune informazioni (accusa lanciata da Microsoft). La cosa divertente è che questi tre “colossi” si accusano a vicenda di fare cose che alla fine fanno tutti e tre. Invece che “il bue che da del cornuto all’asino”, “tre buoi che si danno dei cornuti a vicenda”.

Other stuff?

Oramai sorgono servizi che ingannano il 90% degli utenti. Esempio lampante: Facebook. È utile, tu ti registri, dai loro il tuo nome, cognome, residenza, scrivi praticamente tutto quello che fai, mostri al mondo le tue conoscenze e le persone/i luoghi che frequenti, e non puoi cancellare tutto questo per semplice motivo di clausola (che non hai letto). u’v3 b33n 43v3r 0wnd by M4rk Zuck3rb3rghz h4ck t34m! Altro fenomeno che non mi piace per niente, Foursquare. Un sito dove praticamente guadagni punti o cose simili dicendo al mondo dove ti trovi. Mi trovo a Piazza di Spagna? Apro il mio dispositivo mobile e pubblico: Ore 11:50 del 28 Aprile 2011, Kn0t è a Piazza di Spagna, Roma. C’è gente che si registra a servizi simili e poi si lamenta se Apple, Google o Microsoft tracciano la loro posizione, big lolz. La grande differenza a livello di cervello umano si trova nel fatto che, se Apple ti traccia di nascosto senza dirtelo, si è comportata male, se invece un sito ti convince a tracciarti da solo perché è divertente, socialmente utile e ha uno scopo a livello ludico, allora si, è giusto. /me è perplesso assai. E di servizi simili ce ne sono a bizzeffe, se devo stare qui ad elencare finiamo nel 2012, e poi questo articolo non lo legge nessuno. Invece no, cazzo, dovete leggerlo. E tu, se stai leggendo qui, e stai leggendo qui perché hai letto tutto senza provare un profondo senso di noia o un profondo senso di “cazzo quanto è complottista Kn0t”, ti stimo. Probabilmente hai cervello, dal mio umile e arrogante punto di vista (:D).

E niente, volevo dirvi questo. Non siamo al sicuro, la nostra privacy non è al sicuro. Il mondo dovrebbe cambiare radicalmente per modificare le cose, ma non lo farà, ne questo post aiuterà più di tanto il cambiamento, spero solo di avervi fatto riflettere. La soluzione è abituarsi a questi coglioni, e tenere gli occhi aperti. Scusate il linguaggio rude per tutta la lunghezza del post  e le precedenti 1861 parole.

Il 29 Aprile 2010 2011 è stata una pessima giornata per il provider Aruba come tanti di voi sapranno la Server Farm più famosa di Italia si è spenta dalle 4 di mattina fino al primo pomeriggio a causa di un principio di incendio nella sala UPS.

Di polemiche ieri ne ho lette diverse: ” Se compri Low Cost cosa ti aspetti?“, “Compra all’estero che vai meglio!“, ecc ecc ma volevo ricordarvi che una Server Farm a rischio zero non esiste e mai esisterà e i dati lo dimostrano!

Provider internazionali di grandissima importanza e con costi non modici come Godaddy e Amanzon hanno avuto recentemente grossi disservizi, in particolare il server Amazon S3 che ha bloccato il funzionamento di migliaia di Backup aziendali per diversi giorni e l’accesso ad importanti servizi come Cydia per iOS invece Godaddy lo scorso dicembre è andata KO per un intera giornata impedendo l’accesso alle VPS e i Dedicati.

Sia ben chiaro che non voglio difendere a spada tratta Aruba, sono stato vittima anche io di questo disservizio, ma ho fatto un discorso generico sulla situazione dei provider per farvi capire che tutti posso essere soggetti a disservizi dal più piccolo ed economico al colosso e super dispendioso.

Vi riporto infine il comunicato stampa integrale dopo il salto…

Continua a leggere

John the Ripper è un ottimo software sviluppato dalla Openwall in grado di testare la sicurezza delle proprie password, infatti sarà in grado di recuperare le vostre password attraverso diversi modalità di esecuzione:

  • WordList Mode: sfrutterà un dizionario per recuperare la password;
  • Single Crack: Si basa sull’assunzione che l’utente potrebbe aver utilizzato come password il suo username o altre informazioni personali, o variazioni delle stesse;
  • Incremental Mode: O più semplicemente Brute Force, testa consecutivamente password generate seguendo una apposita logica:
  • External Mode: Permette di personalizzare ai massimi livelli il sistema di generazione delle password definendo un nuovo e personale algoritmo di elaborazione.

Potete trovare ulteriori dettagli e scaricare l’ulima versione sul sito di OpenWall invece dopo il salto troverete il ChangeLog integrale.

Continua a leggere

Il 15, 16 e 17 Giugno 2011 ad Alessandria si terrà un corso sul Cybercrime, nei suoi molteplici aspetti, rappresenta sicuramente una delle minacce più forti di questo secolo, sia dal punto di vista aziendale che governativo e privato, ed una Sfida nel combattere ed arginare questo fenomeno, borderless e transnazionale per definizione.
PROGRAMMA
Tra gli argomenti che verranno toccati da questo Workshop formativo, segnaliamo:
-Definizione e Terminologie
-Cybercrime
-Spionaggio Industriale
-Intelligence e “CyberIntellingence”
-Information WarFare
-Digital Forensics
-Il mondo hacker dagli anni ’70 ad oggi
-I legali tra il mondo dell’hacking e la criminalità organizzata
-L’Underground Economy
-Il progetto HHP dell’UNICRI e dell’ISECOM (Hackers Profiling Project)
-La profilazione dei 9 agenti di minaccia
-Letture consigliate sul mondo dell’hacking e4 la loro analisi puntuale
-Gli attori del Cybercrime
-Botnet & Malware
-I modelli di business propri del Cybercrime ed il Black Market
-La Lotta al cybercrime: i modelli vincenti e gli attori principali
-Case studies I (Cina, Francia, USA)
-Case studies II: scandali &amp: misteri (Vodafone Grecia, Telecom Italia, Libano)
-Case study recente: StuxNet & Iran
-Armi elettroniche: dai cruise e gli F16 alle e-weapons di domani, oggi
-The “next Thing” : Mobile Security, SCADA & Infrastrutture critiche nazionali

WORKSHOP
Il workshop, della durata di 3 giorni ed in lingua italiana, porterà i partecipanti all’interno di
Un mondo virtuale, completamente nuovo, altamente dinamico, nel quale tante declinazioni,
Visioni e punti di vista saranno confrontati ed analizzati, anche con l’ausilio di case study
Reali, pratici e concreti, video e simulazioni, di rilevanza internazionale.
Ogni giornata formativa prevede un test al termine delle lezioni, e l’ultimo giorno prevede
un esame finale per il rilascio del punteggio e del certificato di partecipazione e superamento
Esame. Verrà fornito il materiale didattico (slide) in formato digitale e cartaceo, e saranno
Proiettati videoclip e fotogafie inedite. E’ richiesta una conoscenza di base del mondo IT
(Information Tecnology) e4 delle principali terminologie di settore, unitamente ad una
Discreta conoscenza della lingua inglese.
Roul Chiesa – primo ethical hacker italiano e membro di importanti istituzioni ed associazioni,
Tra le quali ricordiamo l’ agenzia delle Nazioni Unite UNICRI, l’agenzia Europea ENISA ed
Il CLUSIT- insieme a Jart Armin ( massimo esperto del network criminale “RBN”, Russian
Business Network, e fondatore di community quali CyberDefCon, HostExploit ed
RBNExploit) hanno scriito insieme questo corso sul cybercrime, diretto ai professionisti
Dell’ICT Security, alle Forze dell’Ordine,ai Pubblici Procuratori, Giudici,Avvocati, Psicologi,
Criminologi e, non ultimi, agli studenti, i quali saranno i prossimi “early-warning responders”
Verso questi crimini internazionali.
Costo: €800,00+IVA

Location: Alessandria
Le date previste per il corso sono il 15-16-17 Giugno 2011
Per info ed iscrizioni: [email protected] Oppure 3490603121

La Ca’ Foscari Digital Week è un evento innovativo e trasversale che si svolge all’Università Ca’ Foscari Venezia dal 3 al 5 Maggio 2011, che unisce persone, saperi, idee e aziende per esplorare le trasformazioni indotte dai contesti digitali sia dentro che fuori l’Università.

Durante i tre giorni i partecipanti potranno ascoltare workshop e seminari, interagire con l’area espositiva, partecipare alle numerose iniziative e appuntamenti collaterali. Tra i temi figurano il rapporto tra digitalizzazione e: innovazione, didattica e apprendimento, ricerca, editoria e biblioteche, pubblica amministrazione, lavoro, sicurezza (informatica e sul lavoro), marketing, social media, impresa, design, arte, turismo, musica, sport, creatività.

La Ca’ Foscari Digital Week in sintesi:
3 giorni
– oltre 50 workshop e appuntamenti (anche in sessioni parallele)
– oltre 150 relatori
1.000 mq di interazioni con il mondo digitale nell’area espositiva

A chi si rivolge la Ca’ Foscari Digital Week:
– ai 20.000 studenti di Ca’ Foscari
– alle decine di migliaia di laureati e diplomati di Ca’ Foscari negli anni
– agli oltre 500 professori e ricercatori
– ai 500 membri del personale tecnico e amministrativo
– all’intera società di aziende, istituzioni, media e interessati.

 

Perché il tema della digitalizzazione

Da tempo la società globale ha visto una progressiva crescita dei “bit” di informazioni a fianco degli “atomi” dei processi fisici, con effetti che non si limitano all’economia e agli scambi, ma coinvolgono ogni aspetto della vita umana, sia individuale che collettiva. Negli ultimi anni, in particolare, lo sviluppo di un’enorme infrastruttura di comunicazione web ha interconnesso centinaia di milioni di individui che possono interagire con modalità e proporzioni inimmaginabili in passato. Le innovazioni non solo generano nuovi potenziali di efficienza ed efficacia nella vita dei cittadini e nei processi economici, ma inducono una serie di trasformazioni con risvolti nel sistema di identità e di valori che modificano gli equilibri pre-esistenti con effetti ancora inesplorati.

La digitalizzazione pertanto taglia in modo trasversale ogni ambito della vita di individui e istituzioni, con effetti pervasivi a 360 gradi che determinano profonde trasformazioni e che richiedono nuovi formati e nuove occasioni per valutarne gli effetti.

Perché una Digital Week a Ca’ Foscari

L’Università Ca’ Foscari Venezia unisce il passato (prima business school in Italia nel 1868), il presente (secondo Ateneo in Italia per merito nella qualità di ricerca e didattica secondo la classifica ministeriale del 2011) e il futuro (apertura all’innovazione e alla sperimentazione verso il 150esimo anniversario nel 2018) e rappresenta pertanto una sede principe per affrontare i temi della digitalizzazione lungo l’intero arco dei suoi saperi quali economia e management, lettere, lingue straniere, scienze. La Digital Week si propone come piattaforma di relazione per la community di Ca’ Foscari e per il sistema di aziende ed istituzioni del territorio. Il DNA di Ca’ Foscari – votato alla ricerca, all’apprendimento e all’innovazione – che fa leva sull’incrocio di saperi e sulla propria vocazione internazionale costituisce l’ambito ideale per far crescere la massa di idee e interazioni legate agli effetti delle trasformazioni in chiave digitale. Questo nuovo formato amplia le possibilità di “toccare con la mano e con la mente” queste trasformazioni per guardare il presente con occhi nuovi e costruire tasselli di futuro.

La Ca’ Foscari Digital Week è stata ideata e organizzata dalla Fondazione Università Ca’ Foscari Venezia, entità nata nel novembre 2010 per potenziare, valorizzare e sviluppare le attività dell’Ateneo. La Fondazione rappresenta uno strumento moderno ed efficace per rafforzare i legami con la città di Venezia, con il territorio circostante e con il mondo intero.
La Digital Week rientra nel programma di eventi “Ca’ Foscari 2018 – 150 anni di idee”, che mira a valorizzare il percorso che l’Ateneo ha compiuto nel corso della sua storia dalla nascita nel 1868, verso il centocinquantesimo anniversario che avverrà proprio nel 2018.

Le applicazioni dell’Android Market che permettevano il recupero delle chiavi WPA di Alice e FastWeb sono state rimosse da Google a causa di una segnalazione di un’azienda di telecomunicazioni ad oggi ignota.

Se qualcuno è in possesso del comunicato ufficiale inviato agli sviluppatori vi chiederei di girarmelo in modo da rendere più esaustivo l’articolo.

Ringrazo Agohoafg per la segnalazione.

Vincenzo Iozzo è un giovane Hacker Italiano che ha visto balzare il suo nome sulla cresta delle cronache informatiche grazie agli ottimi risultati ottenuti nelle due recenti edizioni del Pwn2ow, Wired Italia l’ha recentemente intervistato e mi sembra doveroso riportarvi l’intervista e complimentarmi pubblicamente con Vincenzo. 🙂

Come mai non hai dato la rivincita all’iPhone?
Perché il Blackberry non era mai stato attaccato, mentre l’iOs in gara era il 4.2.1, non molto diverso dal 3.2.1 del 2010. Si poteva violare con la stessa tecnica, cercando un’altra vulnerabilità. Solo con il 4.3 Apple ha preso buone precauzioni.
Di quale delle due imprese sei più soddisfatto?
Del Blackberry, perché con questo non c’è modo di fare debugging, cioè capire cosa sta succedendo al tuo attacco sul dispositivo. Mentre per l’iPhone ci sono vari tool, non è una scatola chiusa.
Quindi il Blackberry è più sicuro?
No, molto meno in termini di contromisure, specialmente nei confronti di iOs 4.3. Solo più oscuro da attaccare.
Cosa ne pensi delle app infette finite recentemente sui dispositivi Android?
Le linee guida di Google sono decisamente meno restrittive rispetto a quelle di Apple per quanto viene inserito nei market ufficiali. In generale i sistemi di sicurezza su iPhone (tipo sandboxing e code signing) sono molto più efficaci di quelli su Android, senza considerare che questo usa di base una versione modifica del kernel Linux, piattaforma più nota agli attaccanti.
C’è da temere un boom di attacchi di questo tipo?
Non per ora. Se parliamo di market ufficiali, al momento non hanno senso perché i costi di ricerca per scrivere del malware sono decisamente inferiori ai ricavi. Le cose sono diverse per gli iPhone jailbroken o repository non ufficiali di Android.
Ci si può fidare a connettersi in un Internet Café?
No, come gli aeroporti sono decisamente i posti più rischiosi. Qui i malintenzionati possono rubare le credenziali a chi naviga su siti che non usano https.
Quali sono i problemi di sicurezza principali per uno smartphone, come ci si protegge?
L’unico modo è fare attenzione alle app che si installano. A parte questo, c’è poco da fare se parliamo di attacchi da remoto. Il modo più facile di bucare uno smartphone resta passare per il browser. Poi molto dipende dall’architettura del telefono, per esempio sul Blackberry è parecchio difficile accedere al database delle email.
Serve un antivirus sullo smartphone?
Al momento no. Magari in futuro.Parlando invece di pc, qual è lo stato di sicurezza dei nostri portatili?
Windows 7 e Mac Os X Lion sono molto più sicuri dei predecessori. Il panorama non è cambiato particolarmente rispetto a un anno fa, anche se si va diffondendo l’uso delle sandbox per proteggere i dati importanti. Certo, si possono by-passare, ma così servono due attacchi. La gente continua a essere poco attenta: il problema viene ancora percepito come remoto e distante, specie in Italia.
Il caso Anonymous avrà strascichi secondo te?
Ha avuto e ne avrà. Al di là della storia di Assange, HB Gary ora è sotto processo dopo che Anonymous ha pubblicato le loro email con cui venivano offerti servizi sporchi. Rispetto a un anno fa dal punto di vista dell’end-user non è cambiato molto, ci sono stati molti più attacchi resi pubblici nei confronti di aziende anche di alto profilo, tutto qui.

Più in generale, che novità hai visto in termini di attacchi al Pwn2own?
È stato molto interessante l’attacco a Internet Explorer, per la complessità: sono state usate tre vulnerabilità insieme. Questo è particolarmente rilevante perché fino a due anni fa potevi ottenere gli stessi risultati sfruttando una sola vulnerabilità.
Che mi dici di Chrome, che si è salvato anche questa volta? è più sicuro degli altri browser?
Ha una sandbox molto funzionante per cui l’attacco sarebbe stato parecchio complicato. Non dico impossibile, ma se l’obiettivo sono i 20.000 dollari tutti scelgono un target diverso. È un po’ più sicuro, sì, non troppo però.

Fonte | Wired Italia

Viste le recenti richieste di alcuni utenti ho pensato di realizzare un breve articolo per guidarvi nell’installazione di WiRouter KeyRec su BackBox.

Essendo WiRouter KeyRec un tool strettamente necessario alla comunità Italiana di Hacking non è stato inserito di default nei tools disponibili su BackBox, ma è stato correttamente reportizzato per essere installato manualmente.

Per procedere all’installazione dovremo digitare da riga di comando il seguente comando:

$ sudo apt-get update && sudo apt-get install wirouterkeyrec

Ad installazione terminata troveremo il tool all’interno del Menu Hacking > Wireless Analysis > Cracking come è possibile visionare nell’immagine di apertura.

Salvatore Fresta ha rilasciato un aggiornamento del suo software WiRouter KeyRec che raggiunge la versione 1.0.4 aggiornando i Magic Numbers e il loro sistema di aggiornamento ed infine ha introdotto un breve README con la guida all’utilizzo del software su Microsoft Windows.

Per vostra comodità vi riporto la guida, con alcune personali integrazioni:

  1. Scaricare il compilatore GCC per Windows, le versioni consigliate sono: TDM-GCCMinGW;
  2. Estrarre l’archivio di WiRouter KeyRec nella directory di GCC (solitamente C:\MinGW o c:\MinGW\bin);
  3. Eseguire il file Makefile_windows.bat contenuto nell’archivio.

GCC creerà un file denominato wirouterkeyrec.exe che vi permette di recuperare la vostra chiave WPA di FastWeb o Alice, vi ricordo che WiRouter KeyRec funziona esclusivamente tramite riga di comando data l’estrema facilità di utilizzo pertanto dovete avere un minimo di abilità nel uso di MS-DOS.

Chi invece utilizza un sistema operativo diverso può effettuare il download dell’ultima versione tramite questo link, invece gli utilizzatore di BackBox riceveranno automaticamente l’aggiornamento facendo un semplice aggiornamento dei pacchetti col classico comando:

sudo apt-get update && sudo apt-get upgrade