top-image

ULTIMI ARTICOLI

Jailbreak iPhone legalizzato in America. Vittoria per la Electronic Frontier Foundation

26
lug
scritto da hellbreak               catalogato in Mac OS, Net Rumors

Si tratta di una notizia veramente singolare. Il governo USA ha autorizzato il jailbreak dell’iPhone, permettendo quindi di installare applicazioni non approvate da Apple. La notizie è stata divulgata ufficialmente dal un breve comunicato della Associated Press e poi confermata da un altro comunicato stampa della Electronic Frontier Foundation. Tramite un documento PDF sono state pubblicate le nuove regolamentazioni,  richieste dalla stessa Electronic Frontier Foundation, e approvate dal Copyright Office dell’U.S. Library of Congress.

Dal breve report della Associeted Press si legge :

i possessori di iPhone saranno in grado di rompere i vincoli elettronici per scaricare applicazioni non approvate da Apple. La decisione di permettere la pratica comunemente definita come “jailbreaking” è una delle tante eccezioni della legge federale che proibisce di aggirare le misure tecniche che controllano l’accesso a materiale con copyright.

Ovviamente Apple si è da sempre opposta e ha negato qualsiasi supporto tecnico ai dispositivi iPhone Jailbreak-ati, limitandosi a comunicare le principali problematiche a cui un utente potrebbe andare incontro se decidesse di effettuare modifiche software non autorizzate. Dopo questa concessione governativa i termini sono destinati a cambiare radicalmente e a gioco forza Apple  non potrà più negare i servizi di assistenza tecnica, almeno da quanto riportato nel documento rilasciato dalla Electronic Frontier Foundation :

Quando un utente effettua il jailbreak dello smartphone per rendere il sistema operativo interoperabile con applicazioni create indipendentemente e non approvate dal produttore dello smartphone o del sistema operativo, tali modifiche vengono effettuate al puro scopo di ottenere questa interoperabilità e costituiscono un uso corretto. La giurisprudenza e gli atti del Congresso riflettono il giudizio che l’interoperabilità vada favorita. Il Registro ha anche decretato che stabilire una serie di operazioni che permettano il jailbreak per scopi di interoperabilità non avrà effetti negativi sul mercato per quanto riguarda i lavori con copyright o il possessore del copyright stesso.

Certamente si avrà a breve una risposta ufficiale da parte di Apple e sono certo che non sarà delle più leggere.

Tags: , , ,
Commenti (0)

Nuovo exploit per Safari e Internet Explorer? Dati sensibili a rischio!

24
lug
scritto da hellbreak               catalogato in Mac OS, Net Rumors, Sicurezza Informatica, apple

Il ricercatore Jeremiah Grossman, CTO di WhiteHat Security, ha comunicato di avere individuato una falla nel sistema di autocompletamento dei campi del browser Safari e Internet Explorer che può essere sfruttato per ottenere dati personali, password, indirizzi email e quanto altro salvato.

Il ricercatore ha fatto sapere che rilascerà un attacco proof-of-concept in occasione della conferenza Black Hat di Las Vegas in programma la prossima settimana. L’attacco dovrebbe dimostrare come, senza nessuna interazione da parte dell’utente, una pagina web costruita appositamente con alcuni Javascript, sia in grado di sottrarre i dati relativi all’autocompletamento delle form.

Jeremiah Grossman sostiene che il suo exploit funziona con le versione 4 e 5 di Safari e con le versioni 6 e 7 di Internet Explorer, lasciando intatte invece Firefox e Chrome. Sembrerebbe però che anche questi due ultimi browser soffrano di una debolezza cross-scripting che può consentire ugualmente di ottenere username e password salvate.

Restando in attesa della presentazione di questo exploit durante la conferenza di Black Hat della prossima settimana, mi sento sollevato pensando di non aver mai consentito il salvataggio delle mie password. 8-)

Tags: , , , , ,
Commenti (0)

InNova, l’azienda Texana che denuncia i colossi di Internet

23
lug
scritto da hellbreak               catalogato in Net Rumors, Sicurezza Informatica

InNova è un’azienda Texana che ha denunciato ben 36 compagnie , tra cui Google, Yahoo, Apple, Dell, AOL, Dell, Bank of America, RIM, accusandole di aver utilizzato senza autorizzazione un loro brevetto depositato 15 anni fa dal suo fondatore Robert Uomini, riguardante la tecnologia antispam per identificare i messaggi SPAM e filtrarli.

Le aziende accusate avrebbero quindi utilizzato per anni questa tecnologia facendone in molti casi un punto di forza. Il brevetto numero 6,018,761 descriverebbe una tecnologia atta a separare i messaggi email indesiderati da quelli effettivamente indirizzati agli utenti, certamente molto rivoluzionaria e all’avanguardia se si pensa che è stata concepita agli albori dell’era di Internet.

Considerando che i maggiori provvider internazionali e svariate aziende forniscono servizi , a volte anche gratuiti, di filtro anti-spam , non si può che accettare che il brevetto di Mr Robert Uomini è senza dubbio da collocare come uno dei mattoni fondamentali di tutto il sistema Internet e dello scambio di messaggi di posta elettronica.

Di seguito la lista completa delle 36 aziende citate

  • Apple
  • JCPenney
  • Google
  • 3Com Corporation
  • Alcatel-Lucent Holding
  • American International Group
  • AOL
  • Bank of America
  • Capital One Cinemark
  • Citigroup
  • Crossmark
  • Dell
  • Dr. Pepper Snapple Group
  • Ericsson
  • Frito-Lay
  • Hewlett-Packard
  • IBM
  • JPMorgan
  • McAfee
  • Perot Systems
  • Rent-A-Center
  • Research in Motion
  • Siemens
  • Symantec
  • Wells Fargo
  • Yahoo
Tags: ,
Commenti (0)

Report Secunia 2010. Analizziamo i dati

22
lug
scritto da hellbreak               catalogato in Sicurezza Informatica

Secunia.com ha pubblicato il report del 2010 sulle analisi delle vulnerabilità e dei vettori di attacco maggiormente utilizzati.

L’analisi abbraccia un arco temporale che parte  dal 2005 ed  estrapola i dati del 2010 basandosi  sui primi 6 mesi.

Balza subito all’attenzione come , nella prima metà del 2010,  Apple abbia riscontrato un numero maggiore di falla di sicurezza di ogni altro vendor, lasciando al secondo posto  Oracle e al terzo la Microsoft.

Bisogna fare attenzione però ad interpretare i dati, perchè a prima vista , il sistema operativo Mac OS X potrebbe apparire il più insicuro in circolazione. Invece si osserva come le falle di sicurezza riguardino software di terze parti, come QuickTime. Adobe , con Fash e Adobe Reader, e Oracle con Java appaiono come responsabili di molte falle di sicurezza.

Basti pensare che nel report di 5 anni fa, compariva un numero molto alto di falle di sicurezza proprietarie dei software  Microsoft rispetto a quelle di terze parti. Secunia analizzando i dati, ha affermato che le analisi sembrano supportare la teorica che un elevato livello di vendite implica un alto numero di vulnerabilità scoperte.

Osservare  Firefox, Safari e Java occupare i primi posti del podio la dice lunga su come   i prodotti di terze parti siano i principali artefici delle vulnerabilità su Windows . Trovare  Adobe occupare  4 posti in classica, sembra essere una conferma di quello che gli addetti del settore sostengono da tempo: i reader Acrobat sono un vettore di attacco privilegiato e quindi l’interesse nella scoperta di exploit  è più elevato. Se non si può attaccare componenti del sistema, si dirottano le attenzioni sulle applicazioni di terze parti.

Dal canto suo Microsoft con i suoi prodotti proprietari non è certo rimasta indietro nella, poco invidiabile classifica delle vulnerabilità

Passiamo ad osservare i modi attraverso i quali sono stati condotti gli attacchi. Notiamo come, in percentuale, rispetto agli Advisory, siano  più elevati i dati per gli attacchi in remoto e molto meno per quelli in locale e da rete locale. Anche questo potrebbe indurre a pensare che queste due ultime tipologie di attacco siano meno pericolose. Anche se in percentuale minone, gli attacchi interni sono i più pericolosi perchè sferrati proprio da dipendenti o comunque personale interno che , conoscendo bene l’infrastruttura di rete può facilmente massimizzare le conseguenze dell’attacco.  Un attaccante remoto invece devo sfruttare dei punti deboli, ma essenzialmente non ha conoscenza dell’intera infrastruttura della rete su cui sta penetrando.

Da notare la crescita esponenziale de “Exposure of sensitive information” che conferma come l’esposizione dei dati sensibili sia al centro delle preoccupazioni e rappresenti il nuovo problema delle aziende e delle pubbliche amministrazioni.

Tags: , , , , , , , , , , ,
Commenti (0)

Mozilla sniffer. Furto di password con un Add-on per Firefox

21
lug
scritto da hellbreak               catalogato in Sicurezza Informatica

Con un comunicato nel blog, Mozilla ha reso noto come un add-on , pubblicato il 6 Giugno 20010 è stato rimosso perchè pericoloso e nocivo per la sicurezza dei dati degli utenti che lo avevano installato.

Mozilla Sniffer,uno dei migliaia di add-on per Firefox, infatti trasmetteva le username e le password verso un indirizzo IP stabilito ogni volta che una form veniva compilata e inviata on line. L’IP in questione è 74.220.219.77, server localizzato in Amerca.

Questo il codice che indentifica le credenziali di accesso e le inoltra al server indicato precedentemente

Ho effettuato un trace dell’indirizzo del server che viene localizzato in America

Mozilla ha sottolineato che l’add-on Mozilla Sniffer si trovava in uno stato sperimentale tale da non essere  controllato manualmente dal suo staff ( :-? ). Ha inoltre precisato che , come tutti gli altri add-on in fase di testing, al momento del download vengono forniti degli avvisi sui potenziali rischi per la sicurezza, lasciando agli utenti la facoltà di procedere con l’installazione.

A prescindere da questo loro giustificazione appare abbastanza grave che un keylogger sia rimasto sul portale ufficiale degli add-on di Firefox per oltre un mese, un arco di tempo  durante il quale, dai dati forniti da  Mozilla, l’estensione è stata scaricata circa 1800 volte ed utilizzata quotidianamente da 334 utenti.

Mozilla ha già comunicato di ave provveduto  ad inviare delle notifiche a tutti quelli utenti  che avevano  installato l’add-on incriminato, raccomandando loro di eliminarlo   e di cambiare tutte le password utilizzate nel frattempo sul Web.

Mozilla ha inoltre cancellato dal suo portale la versione 3.0.1 di CoolPreviews, che a suo dire contiene una grave vulnerabilità di sicurezza causata dalla possibilità di eseguire codice Javascript da remoto. In ogni caso,  è già disponibile la nuova versione rivista e corretta.

Risulta certamente singolare come l’attenzione rivolta da  Mozilla nella ricerca di trojan, virus o exploit nei suoi prodotti non sia stata applicata in questo caso. Sbagliare è umano e infatti  stanno  lavorando a una nuova procedura per evitare che questo tipo di problema  possa ripresentarsi in futuro..

Tags: , , , , , , , , , , , ,
Commenti (0)

Bug Hunter Wanted! Mozilla alza il premio !

20
lug
scritto da hellbreak               catalogato in Net Rumors, Sicurezza Informatica

Circa sei anni fa il quartier generale di Firefox presentò  il Security Bug Bounty Program, un progetto decisamente interessante che premia coloro i quali identificano falle di sicurezza nel browser Firefox e nei loro  altri prodotti.  I premi furono da prima fissati in 500 dollari, ma è notizia di pochi giorni quella che riporta un aumento fino a 3000 dollari per tutti quelli esperti in sicurezza informatica che aiuteranno Mozilla a scovare bug nascosti nei loro prodotti.

Lucas Adamski, capo della divisione security engineering di Mozilla spiega con queste parole la loro iniziativa

Molte cose sono cambiate nei sei anni dall’annuncio del nostro programma. Per questo sarebbero necessarie migliori condizioni economiche per chi fa “la cosa giusta”, ovvero per quegli esperti specializzati nella caccia ai bug.

Una precisazione però è stata fatta dallo stesso, che ha sottolineato come Mozilla non riconoscerà nessuna ricompensa nel caso in cui ritenga che il lavoro svolto nella scoperta di falle di sicurezza e/o bug non sia stata condotto nel rispetto degli utenti stessi.

Ottima politica !

Tags: , , , , ,
Commenti (0)

Apple: Altro caso di frode su App Store. Uno sviluppatore cinese bannato

12
lug
scritto da hellbreak               catalogato in Sicurezza Informatica, apple

Continuano i problemi  in casa Apple e si registra un nuovo caso di frode su App Store. Dopo il primo verificatosi la scorsa settimana, oggi è stato segnalato un nuovo casa da ArsTechica. Si tratta di uno sviluppatore cinese di applicazioni per il turismo, scritte appositamente per sottrarre denaro agli utenti.

Le applicazioni malevole , prontamente rimosse da App Store, sono

[EN]GYOYO Shangai Travel Helper

[EN]GYOYO Beijing Travel Helper

che come nel precedente caso , in poche ore avevano scalato la classifica del App Store posizionandosi in top 10.

Lo sviluppatore cinese ha utilizzato numerose carta di credito di ignari possesori di  account iTunes per acquistare le sue applicazioni e quindi guadagnare la cima della classifica e gonfiare il conto in banca.

Al momento un solo utente ha segnalato l’hijacking del proprio account su iTunes, inviando come prova la fattura da $168.89 comprendente numeri acquisti da £3,99 pagati al venditore “Shangai WiiShii”, ovviamente senza il suo benestare. Potete vedere la fattura qui sotto.

Ovviamente lo sviluppatore è stato bannato ma anche questa volta Apple cercherà di minimizzare l’accaduto, comunicando che la violazioni di soli 400 account iTunes su 150 milioni non rappresenta una cifra preoccupante? Certamente bisognerà prendere provvedimenti per evitare future frodi.

Tags: , , , , ,
Commenti (0)

Perfect Citizen. NSA replica “nessun monitoraggio, solo controlli”

10
lug
scritto da hellbreak               catalogato in Net Rumors, Sicurezza Informatica

Avevo discusso ieri del nuovo progetto della NSA, il Perfect Citizen, e delle indiscrezioni trapelate attraverso il Wall Street Journal sulle intenzioni poco rispettose della privacy del cittano, di impiantare sensori per intercettare e monitorar le abitudini quotidiane dei comuni cittadini.

Ebbene, la National Security Agency è voluta intervenire in prima persone sulla faccenda affermando che il programma di sorveglianza nazionale sulla Rete è  invece un progetto “per valutare semplicemente le vulnerabilità e le possibilità di sviluppo dell’infrastruttura nazionale.”

Mi sembra piuttosto scontata come affermazione e anche poco credibile. Sono stati stanziati 100 milioni di dollari, ( questo il valore del contratto aggiudicatosi dal privato Raytheon) per una semplice analisi di vulnerabilità ?

Commenti (0)

Skype decriptato. Crepa nel più famoso sistema Voip.

10
lug
scritto da hellbreak               catalogato in Net Rumors, Sicurezza Informatica

Circa un anno fa, un’agenzia dell’Unione Europea, la Eurojust, avviò un’indagine per valutare la possibilità di decriptare le telefonate VOIP e stabilire quali siano i mezzi giuridici e tecnici necessari per implementare un meccanismo di wiretapping, monitoraggio ed intercettazione di telefonate cellulari e fissi. Anche l’Italia si dimostrò interessata e tramite la rappresentanza italiana presso Eurojust si dichiarò disposta a ricoprire un ruolo fondamentale nel coordinamento e nella cooperazione per l’investigazione nell’utilizzo dei sistemi di telefonia VOIP, tenendo sempre conto delle differenti regole per la protezione dei dati e il diritto alla privacy in vigore nei vari paesi. Lo stesso ministro Roberto Maroni nel febbraio 2009 diede mandato di formare una task force con “l’obiettivo di ricercare soluzioni tecnologiche e normative per rendere fruibili ai fini investigativi e giudiziari le intercettazioni telematiche.” E’ chiaro che la principale preoccupazione è rivolta all’utilizzo che malviventi e organizzazioni criminali possano fare della tecnologia VOIP, un pensiero che pochi potrebbero contestare.

La stessa rappresentante italiana di Eurojust, Carmen Manfredda dichiarò che lo scopo di questa iniziativa comunitaria “non è impedire agli utenti di giovarsi di queste tecnologie, ma di prevenire che i criminali utilizzino Skype e altri sistemi per organizzare le loro azioni illegali.”

Però la cifratura del protocollo Skype è una questione abbastanza complessa. Ne l 2008 la Cina comunicò di aver iniziato l’intercettazione di tutte le chat testuali e a seguire anche l’Austria era giunta notizia che la cifratura delle telefonate non fosse così indecifrabile.

Skype, dal canto suo, si dichiarò favorevole a collaborare con le autorità.

E’ notizia odierna quella di un esperto di reverse engineering , Sean O’Neil, che dichiara di essere in possesso del codice in grado di decifrare le comunicazioni VOIP, una versione modificata del bel noto algoritmo RC4, usato in sistemi come SSL per le sessioni HTTP e WEP per le reti wireless.

Attraverso il suo blog egli dichiara di aver deciso di rendere pubblico il codice in grado di decriptare le chiamate VOIP di Skype perchè già in molti sono attivamente impegnati ad abusare della piattaforma VOIP e quindi tanto vale non lasciargli il vantaggio dell’iniziativa.

E’ possibile che un solo uomo sia riuscito dove anche organizzazioni militari hanno fallito ? Ovviamente la questione è molto delicata e già in molti si dichiarano scettici e hanno iniziato a verificare l’esattezza del codice pubblicato da Sean O’Neil.

La risposta di Skype ovviamente non si è fatta attendere:

Crediamo che il lavoro svolto da Sean ONeil, che noi sappiamo essere formalmente noto come Yaroslav Charnovsky,  stia facilitando in maniera diretta gli attacchi di spam contro Skype e stiamo valutando le azioni legali da intraprendere. Anche se comprendiamo il desiderio di de-ingegnerizzare i nostri protocolli con l’intento di migliorarne la sicurezza, il lavoro fatto da questo individuo dimostra chiaramente l’opposto. Skype ha investito pesantemente nella sicurezza e nella privacy del nostro software  e siamo orgogliosi dell’alto livello di sicurezza che siamo in grado di offrire ai nostri clienti.   Skype era e continua a essere estremamente sicuro,  e la distribuzione di questo codice “non compromette in alcun modo questo fatto. Skype resta un metodo sicuro ed efficace di comunicazione globale e la società difenderà vigorosamente la propria sicurezza da tutte le minacce note“.

In attesa di altri sviluppi io stesso ho scaricato il codice C e ho proprio voglia di provarne l’efficienza.

Tags: , , , ,
Commenti (0)

Legge Bavaglio. Sciopero della Stampa

9
lug
scritto da hellbreak               catalogato in Net Rumors

Oggi si svolge lo sciopero della Stampa contro la legge Bavaglio, un disegno di legge che limita la libertà di fare informazione e di informarsi.

La legge interessa anche noi blogger, che in modo del tutto gratuito e senza interesse, pubblichiamo notizie e argomenti di nicchia, a volte lontani dai reali interessi della massa, che sembra essere piuttosto assuefatta dalle false realtà apprese dalla tv.

Estende infatti le misure tipiche del mondo giornalistico, quindi assisteremo alla morte della maggior parte dei blog in rete.

La rete e l’informazione devono rimanere libere, come in ogni paese che si dichiara LIBERO e DEMOCRATICO.

Purtroppo si va verso una Rete meno libera di fare conversazione, sarà più facile colpire chi gestisce un sito per cercare di zittirlo. Ci perdiamo tutti, sia come cittadini sia come lettori appassionati di buona informazione digitale.

Dopotutto, l’ordine dei giornalisti , fu fondato dal MAI compianto benito mussolini ( scritto in minuscolo appositamente ).

Vi riporto una dichiarazione di Beppe Grillo

“Siamo gli unici al mondo ad avere un ordine dei giornalisti fondato nel 1925 da Mussolini per tenerli in braghe di tela. Già Einaudi diceva che non era necessario un Ordine dei giornalisti. L’informazione – ha aggiunto – deve essere libera e la rete li farà fuori tutti lo stesso. Via le cose del passato, mettiamolo nelle cantine se vogliamo essere un Paese dinamico e veloce”.

Vi lascio con un link interessante.

Tags: 
Commenti (0)
Page 1 of 4:1 2 3 4
bottom-img