photo credit: ƒreg

E’ un momento assai tragicomico per il panorama politico su Web.
Non più di dieci giorni fa Roberto Scaccia segnalò una vulnerabilità sul sito del PD che ha dato il via ad una serie di segnalazioni a tutto campo. Punto Informatico, rifacendosi ad una pubblicazione di Matteo Flora, ha intitolato un articolo “Elezioni, siti Web a rischio?“. Lo stesso Flora ha rincarato la dose con un articolo dal titolo “La politica dell’ignoranza” da dove riporto:

Questi episodi ricordano come l’Italia, sotto questo versante, abbia ancora molto da imparare. Credo che sia assolutamente necessario iniziare a chiedere la qualità.

La lista dei siti Web politici è già lunga, ma sono sicuro che si potrebbe allungare ancora.
Continuare lo sproloquio di domini vulnerabili ha poco senso. Avrebbe senso, forse, segnalare le vulnerabilità attive ai proprietari e ai realizzatori, ma con quale speranza? Forse quella che, nella migliore della ipotesi, non si veda mai risposta.

Non è la fama che cerco, ma una maggiore consapevolezza nelle tecnologie utilizzate, altrimenti che senso ha utilizzarle come propaganda?

Non mi sembra che evitare XSS e SQL Injection (lasciando perdere le altre vulnerabilità meno di moda) sia così complesso. Ma si sa, in Italia, si corre ai ripari solo dopo che si finisce sui canali main-stream; “Striscia la Notizia” in primis. Che tristezza.

Internet è una massa critica, diversa da quella dei media tradizionali, ciò ne richiede un utilizzo consapevole e sincero. Proprio in questi ultimi giorni si è creata una intensa discussione e una lettera aperta dopo una intervista della Dott.sa. Graziottin a Porta a Porta.

Permettetemi un “plis visit de uebsait end plis pech ioars uebsait“.

Su Effetto Sabato (Rai Uno), sabato pomeriggio, è stato trasmesso un servizio sulla capacità, per un essere umano, di memorizzare informazioni. E’ intervenuto a tal proposito il professore Roberto Vacca ingegnere, scrittore e divulgatore scientifico italiano.

Discutendo con Elisa Isoardi, Roberto Vacca ha portato un esempio pratico a testimonianza delle proprie teorie e ha dichiarato :

Tutti i numeri sono come degli amici.
Quando mi hanno dato il PIN del Bancomat, mi hanno detto: lo tenga da parte e non lo perda.
Io L’ho guardato, l’ho preso e l’ho buttato. L’impiegata: come fa adesso a ricordarsela?
E’ una potenza del 2!

Roberto Vacca ha tranquillizzato la conduttrice preoccupata per l’integrità del PIN con:

Non si preoccupi…le potenze del 2 sono infinite!

Le potenze del 2 sono infinite, ma il codice PIN dei Bancomat, in Italia, è sempre di 5 cifre.
Avendo sottomano una tabella con le prime potenze del 2, si può vedere come solamente 3 di esse sono formate da 5 cifre: 16384, 32768 e 65536.

Se la fortuna non è dalla nostra parte saremmo comunque in grado di trovare il PIN giusto: lo sportello ATM ritira la tessera magnetica solamente dopo il terzo tentativo errato.

Per i malpensanti: possibile che tra 1.276.000 spettatori stimati (dati Auditel) abbia notato solamente io questa informazione? Sicuri che tra le altre persone che lo hanno notato non vi sia nessuno che ci tiene a non farlo sapere?

Ho contattato il prof. Roberto Vacca in merito all’accaduto: una persona veramente disponibile e gentile!
Come era ovvio pensare il professore si rendeva ben conto di ciò che stava dicendo: il PIN è stato sostituito un anno or sono.

E’ importante valutare il valore delle informazioni che ogni giorno forniamo. Non è detto che ciò che per noi è insignificante lo sia anche per il nostro interlocutore!

Ringrazio Davide Maggio per la registrazione della trasmissione.

Top Ten Web Hacks of 2007, la classifica degli “hacks” più interessanti, nel campo della Web Application Security, presentati durante l’anno passato.

Vedere il mio lavoro “nascondere codice JavaScript all’interno di immagini” nella lista delle 80 tecniche più importanti è stata una bella soddisfazione.
La soddisfazione maggiore è arrivata la settimana scorsa quando si sono concluse le votazioni del sondaggio: il mio lavoro è rientrato tra i primi 10!

Vedersi vicino a nomi come Stefano di Paola, RSnake, pdp e Jeremiah Grossman è  per me una soddisfazione sopratutto dopo essermi avvicinato alla WebAppSec per curiosità.

Grazie a tutti quelli che hanno votato!

Un periodo felice per la nostra penisola nella security! A tal proposito avete visto il port di TrueCrypt su MacOSX fatto grazie all’impegno di Bassotto, Flora, Pietrosanti e tutti i sostenitori?!

Premetto subito che la notizia non è nuova, credo però, che sia degna di nota.

Un gruppo che si fa chiamare Mr-Brain ha rilasciato dei tool, scritti in PHP, utili a chi vuole cimentarsi in truffe a mezzo phishing. Il sito Web del gruppo offre versioni diverse degli script in base al servizio da “impersonare”: eBay, PayPal, Bank of America, ecc..

I tool sono stati scritti in modo da permetterne l’uso a chi di PHP non ne sa niente: è necessario solamente inserire la propria e-mail per ricevere i dati sensibili inseriti da ogni vittima.

I tool-kit possono essere scaricati senza sborsare denaro. Quest’ultima caratteristica e l’immediatezza d’uso hanno permesso una larga diffusione nel mondo di phisher in erba, tanto che ne erano già state individuate tracce all’inizio dell’anno.

Chi pensa che i ragazzi di Mr-Brain hanno rilasciato questi script solo per la gloria o per il gusto di sapere che verranno usati per colpire utenti non molto smaliziati sbaglia di grosso. L’idea, simpatica, degli autori è quella di prendersi un equo compenso da ogni copia usata un po come fa la cara e vecchia SIAE.

Questa è la parte di codice che si occupa della raccolta di tutti i dati inseriti dalla vittima per poi inviarli via mail:

Notate niente di strano?

La funzione mail() è ripetuta due volte utilizzando due nomi variabili diversi, anche se solo per la prima lettera.
Il valore della prima variabile, quella con la “s” minuscola è definibile dal phiser, mentre il valore della seconda variabile, quella con la “S” maiuscola, è settato tramite un campo del form di raccolta dati. il valore di tale campo è stato offuscato codificandolo in base64:

<input type=”hidden” name=”Send” value=”<?=base64_decode(”TXItQnJhaW5ARXZpbC1CcmFpbi5OZXQ=”);?>”>

In questo modo, i dati della vittima, oltre ad essere inoltrati a chi ha personalizzato lo script con la propria e-mail, verranno sempre inviati anche a un indirizzo di proprietà del gruppo Mr-Brain.
Che dire? Forse l’esperienza conta sempre.

Secondo Secunia, il 20% delle applicazioni installate su Windows non sono aggiornate.
Facciamo un passo indietro. Secunia distribuisce gratuitamente un tool chiamato PSI il quale ricerca tutti i software che non sono aggiornati in termini di patch di sicurezza.
Il rapporto dichiarato è basato su un campione di 14.500.000 applicazioni controllate nei PC degli utenti che utilizzano PSI.

A conti fatti il un quinto di tutte le applicazioni installate ha almeno un problema di sicurezza. Quanti utenti utilizzano il PC per lavoro o per hobby? Quanti di questi conoscono Secunia o i problemi di sicurezza derivanti ad esempio da “privilege escalation” o “remote exploit“?

Penso, purtroppo, che quel dato sia sottostimato altrimenti non mi so spiegare i livelli di successo di bot-net e worm. Si veda in proposito il numero di PC infettati dal “Storm Worm” nelle vacanze natalizie e l’ultimo report di Symantec su bot-net e computer zombie.

Credo poco alle statistiche: molte volte sono volutamente alterate altre sono invece calcolate su un campione “contaminato” che ne altera involontariamente il significato.