Dal 14 al 16 Settembre, sarò ospite all’ ESC(End Summer Camp) che si tiene a San Donà di Piave (VE).
Terrò un seminario dal titolo GoogleTistic e il Web italiano… insieme all’amico Matteo Flora.
Si tratta di un proseguo del talk di Matteo Flora, tenuto da Alessio Orlandi (causa assenza di Flora) all’E-Privacy 2007. In questo appuntamento vedremo, oltre ai dati già raccolti su circa 80.000 siti Web UK, cosa è saltato fuori dopo l’aggiunta del 98% dei Blog Italiani più influenti.
Essi ci hanno rilevato dati molto interessanti: tracciamento utenti, sicurezza dei blog e sovversione della blogosfera Italiana.
GoogleTistic e WordpressTistic: le statistiche che nessuno avrebbe mai voluto mostrarvi (Matteo Flora e Matteo Carli)
Quanto estesa e’ realmente l’utenza di Google nella vita del Web? Quale reale penetrazione di mercato hanno le soluzioni ed i servizi proposti dal gigante del Web? Quando ci si ritrova a definire come “pericolose per la privacy” le operazioni di Google ci si scontra sempre con l’incredulità e con la scarsa propensione a ritenere che il fenomeno Google sia largamente diffuso. Se infatti la coscienza della permeazione diretta di Google come mezzo di ricerca e’ ormai assodata e scontata nell’immaginario collettivo, risulta invade di difficile comprensione la vastita’ del fenomeno del tracciamento della navigazione “derivato”, quello cioe’ che Google stesso e’ in grado di recuperare ed analizzare da suoi tool di piu’ complessa rilevazione quali Google Analytics, Google AdSense, Blogger Services e le nuove acquisizioni DoubleClick e FeedBurner. Questi servizi risiedono infatti sui siti web dei CLIENTI e non esiste metodo di rilevazione o di statistica senza interrogare i domini web uno ad uno.
Nell’ambito del progetto WatchingTheWatchers (WTW) verranno presentati i risultati preliminari delle statistiche di utilizzo dei servizi Google su 80.000 domini web inglesi, le statistiche che nessuno avrebbe mai voluto mostrare…
IN AGGIUNTA Quanto estesa è la rete dei Bloggers Italiani? Quali le minacce di sicurezza? Mediante le stesse tecnologie utilizzate per GoogleTistic si è proceduto all’analisi dei top 98% blog italiani con incredibili risultati sulle vulnerabilità, sugli utilizzi e sulle tendenze del Web moderno nella Penisola…
Orario: Sabato 18 ore 15.00 - 16.00
L’appuntamento è quindi fissato a Sabato 18 dalle ore 15 alle 16.
Non posso non consigliarvi anche gli altri talk a programma; in particolare quello di Matteo Flora: Censura in Italia: chi, come e perche’ censura.
Vi aspetto!
Tra gli articoli di Punto informatico della scorsa settimana me ne è rimasto impresso uno intitolato: I cinesi attaccano le PMI italiane.
Da una indagine compiuta su un campione di 500 PMI italiane del nordest - spiega Mirko Gatto di Yarix - si evidenzia come addirittura il 49% dei casi provenga dalla Cina.
Ma quali categorie di PMI sono incluse nel campione? Cosa è stato fatto sui sistemi, una volta attaccati?
Senza questi dati mi è difficile credere allo spionaggio industriale; magari aziende in settori poco appetibili vengono attaccate quanto aziende molto interessanti per i concorrenti cinesi.
Anche la percentuale di IP cinesi registrati negli attacchi non deve essere sottovalutata. Ma chi assicura che non siano stati usati come testa di ponte?
Tra gli attacchi più utilizzati, segnalati da Yarix, vi sono anche i Cross-site Scripting (XSS). Monitorando l’utilizzo di questi ultimi sul sito vittima, non sarebbe così difficile tracciare il vero intento di un attacco. L’XSS infatti è veicolato dalla “macchina” ma sicuramente il fattore determinante, per una buona riuscita, è quello umano.
In particolare, sul campione di 500 PMI, sono stati registrati 122.500 attacchi nei primi sei mesi del 2007.
Sono abbastanza sicuro che almeno la metà di quegli attacchi era automatizzato o comunque finalizzato alla compromissione della macchina per utilizzi come “Malicious Web Server” o semplice defacement.
Speravo in un report dettagliato, ed invece nemmeno sul sito Yarix, azienda fonte della notizia, si trova niente. Peccato perchè la cosa è molto interessante.
Update: noto con piacere che non sono l’unico a pensarla in questo modo: Attacchi dalla Cina alle PMI?, di Claudio Telmon.
Per SEO (Search Engine Optimization) si intendono tutte quelle tecniche (lecite e meno lecite) atte a migliorare il posizionamento, in base a determinate keywords, di un certo dominio sui motori di ricerca.
Già da molto tra esperti in “Web Application Security” e “black hat SEO” si discuteva dell’argomento senza nessuna pubblicazione ufficiale fino a quando XssNews ha reso noto il risultato di un test che ha visto come obiettivo quello di indicizzare un testo generato tramite un XSS (Cross-Site Scripting) sul dominio hackerwatch.org
L’esito dell’esperimento è stato positivo tanto che MSN e Google hanno indicizzato correttamente la stringa.
Google sembra però aver già tolto la pagina di HackerWatch utilizzata per il test, mentre su MSN risulta ancora indicizzata.
L’obiettivo adesso è quello di capire se, oltre al testo, vengono indicizzati pure i link generati tramite XSS. Poter ottenere link in ingresso da domini con alto PageRank grazie alla segnalazione a Google di URL contenenti XSS appositamente costruiti potrebbe far gola a molti, soprattutto ai black hat SEO.
Sono rimasto stupito dal comportamento di MSN e Google; credevo avessero dei filtri per evitare questo tipo di abusi.
Nduja connection, questo è il nome del primo worm capace di replicarsi su webmail di diversi provider tramite codice JavaScript. Il suo scopo, come lo stesso Rosario Valotta scrive, “è soltanto quello di documentare ed evidenziare le possibili nefaste conseguenze derivanti da una mancata presa di coscienza della pericolosità delle falle XSS, soprattutto se presenti in servizi con una massa critica di utenti come appunto le webmail.”
Il worm infatti sfrutta vulnerabilità XSS (Cross-site Scripting) presenti nelle applicazioni che gestiscono le webmail di Libero.it, Tiscali.it, Lycos.it e Excite.com. Le vulnerabilità segnalate da Rosario si trovano nella parte dell’applicazione che si occupa di visualizzare il contenuto di ogni e-mail. In questo modo la vittima dovrà solamente aprire una mail appositamente confezionata per innestare il meccanismo di propagazione del worm.
Non so più quante volte mi è capitato di sentire amici/conoscenti/colleghi consigliare l’uso delle webmail al classico client standalone come Outlook o Thunderbird in quanto più sicure contro virus e phishing. Finalmente una prova concreta che smentisce questa tesi; non voglio pensare ad attacchi di phishing basati su vulnerabilità XSS all’interno di Webmail.
Ovviamente un worm di questo tipo potrebbe essere usato, oltre che per il furto di identità, anche per Botnet di nuova generazione: invio di spam, portscan su larga scala, ricerca di vulnerabilità su altri domini in maniera semi automatizzata, ecc..
Non vedo frase più consona di quella scritta nel libro “Xss Attacks“:
XSS is the New Buffer Overflow, JavaScript Malware is the new shell code.
E’ in casi come questo che i provier si dovrebbero accorgere della pericolosità di attacchi basati su XSS (Cross-site Scripting).
Faccio i miei complimenti a Rosario per l’ottimo lavoro svolto, non sicuramente invano.
L’amico Giovanni Pellerano, di @System, mi segnala l’edizione 2007 di un importante evento nazionale riguardante l’IT-security.
@Systemgroup, una collaborazione tra @System e Bitflow, organizza il V Convegno Net&System Security - analisi e vulnerabilità dei sistemi informatici. L’evento avrà luogo il 27 Novembre 2007 presso il Palazzo dei Congressi di Pisa, e vedrà la partecipazione di alcuni esperti e delle maggiori aziende leader del settore della sicurezza informatica.
Nell’ambito del convegno si terra’ la seconda edizione del Call For Paper, per cui sono previste due categorie di partecipazione; “Professional” e “Student”.
Tutti i paper selezionati saranno inseriti negli atti del convegno ed avranno il valore di una pubblicazione scientifica. Inoltre, agli autori dei migliori elaborati sara’ data la possibilità di presentarli durante l’evento.
Al vincitore di ogni categoria sarà assegnato il riconoscimento come “Best Paper Award”, e per l’autore dell’elaborato piu’ meritevole della categoria “Student” è prevista l’assegnazione di un celluare Linux-Based “Neo1973 Advanced Edition” .
La partecipazione al CfP è gratuita. Maggiori informazioni sono disponibili alla sezione dedicata presente sulla pagina web del convegno.
