Difficile non aver sentito parlare di Social network negli ultimi tempi. Perfino telegiornali e quotidiani ne stanno parlando. Il fenomeno Facebook è esploso: oltre 100 milioni di iscritti totali e circa due milioni e mezzo italiani. Tra i numeri bisogna intravedere anche account doppioni o abbandonati, ma restano comunque numeri di tutto riguardo. Bello rimanere in contatto con gli amici, sempre, in ogni momento. Bello poter contattare amici ora lontani con un solo click.
Un dipendente di una compagnia telefonica Australiana di 21 anni chiama in ufficio per annunciare la sua indisposizione non prima di aver scritto sul proprio profilo di Facebook: “Kyle Doyle is not going to work, fuc* it i’m still trashed. SICKIE WOO!” (ndr. Kyle Doylenon andrà al lavoro… Sono ancora devastato. VIVA LA MALATTIA!”). Per sua sfortuna, il suo capo letta la frase dal feed dei contatti di Facebook, non ha fatto altro che chiedergli il certificato per giustificare l’assenza. Ammesso che sia una bufala è così lontano da essere reale?
Andrea Feick e Hannah Emerson, due studentesse sconosciute ma con la passione per Facebook, lo scorso mese, sono state in compagnia di Bono degli U2 in Costa Azzurra. Le due ragazze, aspiranti modelle, hanno inserito le foto della gita su Facebook: dopo il Nikki Beach Bar la compagnia si è spostata sul “Cyan”, lo yacht da 12 milioni di sterline di proprietà del chitarrista degli U2, The Edge per finire all’Oxybar di Saint Tropez. Il tutto per vantarsene con la piccola cerchia di amici, se non era per l’iscrizione di Andrea Feick al gruppo geografico di New York. Circa un milione di persone che possono accedere al suo profilo e alle sue fotografie. Non credo che la moglie di Bono sia così entusiasta delle fotografie viste sul Daily Mail.
Sicuri del numero di amici che avete e di chi siano realmente?
Per non parlare poi delle vulnerabilità dell’applicazione del social network stesso.
Poco più di un mese fa il sequestro di The Pirate Bay.
www.thepiratebay.org. 28800 IN A 127.0.0.1
Ieri il dissequestro, la prima volta che accade in Italia a riguardo dei provvedimenti di “censura” di DNS o IP. La relazione tecnica preparata da Matteo Flora e il ricorso preparato da Giovanni Battista Gallus e Francesco Paolo Micozzi è servita a far ritirare il procedimento di sequestro al Tribunale del Riesame.
Il motivo della decisione del Tribunale di Bergamo non si conosce, inutile fare ipotesi per ora.
Aspettiamo per vedere quanto ci vorrà per tornare a questo:
www.thepiratebay.org. 52928 IN A 83.140.65.11
Il punto secondo me non è di aver difeso ThePirateBay in quanto tale, ma di aver vinto una (piccola) battaglia contro l’attuale gestione del copyright e della censura.
Per chi si fosse perso le fila della vicenda può leggere in questo ordine questo, questo e questo articolo.
Sul numero di Agosto di Internet Magazine (GoOnline) la rubrica “Bug & Debug” è stata dedicata a “Tumblr worm, quando i blog diventano virali“. Un bell’articolo scritto da Gianni Amato che colgo l’occasione per ringraziare.
La redazione, per chi si fosse perso il numero 129 di Internet Magazine, mi ha permesso di pubblicare l’articolo in formato PDF.
Il Web sta (ri)scoprendo la pubblicità come forma di guadagno. Il problema non sono le inserzioni pubblicitarie in senso stretto, ma la profilazione che sta dietro ad esse.
La profilazione (Behavioral targeting) si perfeziona sempre più arrivando a proporre prodotti e/o servizi ai quali si è vulnerabili; per i quali si ha un interesse particolare.
Nessuno ha notato i servizi introdotti su YouTube dopo l’acquisizione da parte di Google?
Un anno fa insieme a Matteo Flora abbiamocondotto delle ricerche sulla diffusione, nel panorama blog Italiano, a riguardo di network di inserzioni pubblicitarie e di statistiche sulle visite. I risultati sono stati tutt’altro che confortanti. Google con i suoi AdSense e Analitycs ha una penetrazione intorno al 90% della blogosfera italiana.
Non è strano che Google dopo aver acquistato la Urchin Software ha reso gratuito un software, Urchin poi rinominato Google Analytics, che prima costava centinai di dollari al mese nella versione out-sourced? Per precisione di cronaca va detto che la versione gratuita di Google Analytics non comprende tutte le features di Urchin, per quelle è necessario abbonarsi.
Oltre ad usare plug-in specifici come NoScript, CustomizeGoogle, AdBlock, ecc c’è un metodo più semplice e trasparente per l’utente finale.
Nato da un’idea sviluppata grazie ai dati emersi dal talk, FoolDNS è un servizio di DNS creato per proteggere la privacy e bypassare i filtricensori dello stato Italiano. Un servizio che rende la navigazione più piacevole. Niente più JavaScript (inserzioni pubblicitarie e tool di statistiche) di tutti quei network che collezionano dati di navigazione senza una esplicita dichiarazione. L’idea di fondo è una gestione “casalinga” di inserzioni pubblicitarie e statistiche: perchè doversi accontentare degli spiccioli che network di inserzioni regalano per ogni click e utilizzare prodotti in out-sourcing per le statistiche?!
Grazie all’invito nella beta, dopo una settimana di utilizzo, non ho riscontrato problemi. La navigazione risulta estremamente pulita e piacevole sapendo anche che non vengono caricati JavaScript dalla dubbia utilità.
Il servizio, a detta anche delle statistiche, promette molto bene: 489378 richieste evase negli ultimi 7 giorni, più di 100.000 banner bloccati e più di 200 utenti attivi.
I 10 domini più richiesti sono:
mail.google.com
www.google.com
www.facebook.com
twitter.com
profile.ak.facebook.com
www.test.fool
www.google.it
feeds.feedburner.com
safebrowsing.clients.google.com
www.google-analytics.com
Per i più curiosi quelle che seguono sono le url ordinate per maggior numero di banner sostituiti da FoolDNS:
I cookie sono una parte fondamentale del protocollo HTTP, essendo esso state-less, è necessario memorizzare le informazioni della sessione sull’applicazione Web direttamente nel Web Browser.
Questa piccola premessa (consiglio un approfondimento tramite la voce cookie su Wikipedia) per arrivare a dire: su HTTP i cookie possono essere intercettati e usati da un attaccante. Credo che molti diranno: “Niente di nuovo sulla piazza”.
In soccorso a questo problema è nato il protocollo HTTPS che incapsula HTTP in una connessione cifrata con il Web Server di destinazione. In questo modo un attacco MITM diventa più complesso o per lo meno più macchinoso.
Sarebbero tutte rose e fiori se gli sviluppatori avessero recepito l’uso del flag “Secure” dell’header Cookie di HTTP. Questo flag impone al Web Browser di inviare il cookie solamente in presenza di un canale sicuro, interpretato durante l’implementazione nei Web Browser della RFC 2965 come l’HTTPS.
Il paper “Surf Jack - HTTPS will not save you” ha fatto notare una cosa molto importante: è inutile utilizzare le connessioni HTTPS quando i cookie non hanno il flag “Secure” attivo. Il perchè lo si può capire dallo screencast che segue:
Il cookie di sessione, non avendo attivo il flag “Secure”, viene inviato al Web Server anche su connessioni in chiaro. In questo modo un ataccante che si trova in condizioni di fare hijacking (tramite una qualsiasi tecnica) sarà in grado di dirottare (con un HTTP Redirect) la vittima in HTTP, in modo che il browser invii i cookie, del dominio target, in chiaro.
Il problema è più diffuso di quanto sembra, non credo che fino ad ora ne fosse stato considerato correttamente l’impatto. Ad esempio Google ha introdotto solo recentemente una funzione in Gmail che permette di utilizzare la Webmail solo tramite HTTPS inserendo il flag “Secure” sui cookie che contengono l’id della sessione.
