A quando la carta d’identità?

Facebook non ha nessun rappresentate ufficiale in Italia: l’unica sede in Europa è quella di Londra. Nessun problema fin quando non viene bloccato il proprio  l’account. Qualcuno ne sa qualcosa.

Senza dover andare troppo indietro, FBHive all’inizio di Giugno ha segnalato un bug che permetteva l’accesso incondizionato alle informazioni personali di qualsiasi account presente sul social netowork. La segnalazione  a Facebook è stata fatto il 7 Giugno e solo dopo il 23 Giugno, quando FBHive ha pubblicato un post,  il bug è stato preso sul serio e corretto nell’arco di qualche ora. Senza dover entrare troppo nel tecnico il bug permetteva, tramite la modifica a piacimento del parametro “userid”, inviato dalla pagina che gestisce le modifiche al proprio profilo personale, la visualizzazione delle informazioni personali dell’account avente l’userid specificato.

L’ultima moda di Facebook sono state le vanity url, ovvero la possibilità di legare (in maniera indissolubile) una URL breve al proprioprofilo. Una mossa, forse avventata, fatta per portarsi alla pari di altri tutti i social network concorrenti. Il cybersquatting era inevitabile e così è stato. Per correre ai ripari hanno attivato un metodo di verifica:

Prima di impostare il tuo nome utente, devi verificare il tuo account.

Prossimamente verrà chiesta la carta d’identità per poter usare un social network?

La privacy è sempre un concetto astratto, che nei prossimi anni si dovrà delineare. Questo concetto si evolverà con l’evolvere dei cittadini digitali che sempre più faranno coincidere la propria identità reale con quella virtuale.

Per ora manca la consapevolezza del Web: Internet ha memoria ed è sempre disponibile.
Facebook, come altri social network, è già la nostra carta d’identità on-line:  dati anagrafici, relazioni interpersonali, tendenze (politiche, sessuali,ecc..), ecc.

Si possono utilizzare tutti i social netowrk che si vuole, ma è necessario avere ben chiaro quale sarà il bacino di utenti che usufruirà delle nostre informazioni. A tal proposito consiglio la lettura della guida alla configurazione dei parametri sulla privacy previsti da Facebook e la policy scritta da Giovy.

Pubblicato in (In)Sicurezza,Privacy,Web
8 July 2009 | Nessun Commento | Condividi con post<li> |
 

Le Webmail sono morte, viva le Webmail

Il fenomeno Webmail 2.0 è scoppiato da quando Google con la sua Gmail, ha scosso i concorrenti proponendo svariati giga per archiviare la propria posta elettronica online.
Non sempre però va tutto come dovrebbe e succede che la privacy della propria casella viene messa a rischio da vulnerabilità XSS e CSRF; evidentemente di criticità media-bassa nella svariata maggioranza di casi.
In questo caso però, grazie alla somma di più problemi un attacker può modificare le configurazioni delle caselle di posta elettronica delle vittime, impostando l’inoltro automatico di tutte le mail in arrivo verso un account e-mail da egli controllato. In tal modo è possibile violare la riservatezza delle caselle delle vittime senza ricorrere ai comuni metodi di identity stealing (cookie stealing, credential stealing), ma semplicemente inviando e-mail, preparare ad arte, alle vittime.
La pericolosità di questa tecnica è resa critica grazie a tre fattori:

  1. semplicità di exploiting (cross-browser)
  2. scarsa awareness della vittima (nessuna interazione richiesta oltre all’apertura della mail stessa)
  3. diffusione sul web (ampia diffusione della piattaforma vulnerabile e possibilità di propagazione virale)

Sia chiaro, nessuna novità nella categoria delle vulnerabilità delle Web Application, ma una dimostrazione di come l’insieme di alcune di queste può portare ad uno dei più gravi problemi mai registrati on-the-wild su Web Application. I bug scoperti sono adatti per sfruttati da quello che potrebbe essere uno dei più grandi e gravi Worm delle Web Application: numero di domini Internet coinvolti maggiore di 10 (cross-domain) e semplicità di propagazione.

Prima di scendere nei dettagli del funzionamento dell’attacco è doveroso precisare che il problema è stato corretto a tempo di record dal vendor che si è dimostrato attento alla sicurezza dei propri clienti.

(Continua…)

Pubblicato in (In)Sicurezza,Advisory,Novità,Personale,Privacy,Ricerche,Web,Web Apps
27 March 2009 | 9 Commenti | Condividi con post<li> |
 

Privacy? Questione di numeri

Dices

Difficile non aver sentito parlare di Social network negli ultimi tempi. Perfino telegiornali e quotidiani ne stanno parlando. Il fenomeno Facebook è esploso: oltre 100 milioni di iscritti totali e circa due milioni e mezzo italiani. Tra i numeri bisogna intravedere anche account doppioni o abbandonati, ma restano comunque numeri di tutto riguardo. Bello rimanere in contatto con gli amici, sempre, in ogni momento. Bello poter contattare amici ora lontani con un solo click.

Un dipendente di una compagnia telefonica Australiana di 21 anni chiama in ufficio per annunciare la sua indisposizione non prima di aver scritto sul proprio profilo di Facebook: “Kyle Doyle is not going to work, fuc* it i’m still trashed. SICKIE WOO!” (ndr. Kyle Doylenon andrà al lavoro… Sono ancora devastato. VIVA LA MALATTIA!”). Per sua sfortuna, il suo capo letta la frase dal feed dei contatti di Facebook, non ha fatto altro che chiedergli il certificato per giustificare l’assenza. Ammesso che sia una bufala è così lontano da essere reale?

Andrea Feick e Hannah Emerson, due studentesse sconosciute ma con la passione per Facebook, lo scorso mese, sono state in compagnia di Bono degli U2 in Costa Azzurra. Le due ragazze, aspiranti modelle, hanno inserito le foto della gita su Facebook: dopo il Nikki Beach Bar la compagnia si è spostata sul “Cyan”, lo yacht da 12 milioni di sterline di proprietà del chitarrista degli U2, The Edge per finire all’Oxybar di Saint Tropez. Il tutto per vantarsene con la piccola cerchia di amici, se non era per l’iscrizione di Andrea Feick al gruppo geografico di New York. Circa un milione di persone che possono accedere al suo profilo e alle sue fotografie. Non credo che la moglie di Bono sia così entusiasta delle fotografie viste sul Daily Mail.

Sicuri del numero di amici che avete e di chi siano realmente?
Per non parlare poi delle vulnerabilità dell’applicazione del social network stesso.

Pubblicato in (In)Sicurezza,Privacy,Social engineering,Web,Web Apps
5 November 2008 | 3 Commenti | Condividi con post<li> |
 

Pubblicità, statistiche, profilazione e FoolDNS

Il Web sta (ri)scoprendo la pubblicità come forma di guadagno. Il problema non sono le inserzioni pubblicitarie in senso stretto, ma la profilazione che sta dietro ad esse.

La profilazione (Behavioral targeting) si perfeziona sempre più arrivando a proporre prodotti e/o servizi ai quali si è vulnerabili; per i quali si ha un interesse particolare.
Nessuno ha notato i servizi introdotti su YouTube dopo l’acquisizione da parte di Google?

Un anno fa insieme a Matteo Flora abbiamo condotto delle ricerche sulla diffusione, nel panorama blog Italiano, a riguardo di network di inserzioni pubblicitarie e di statistiche sulle visite. I risultati sono stati tutt’altro che confortanti. Google con i suoi AdSense e Analitycs ha una penetrazione intorno al 90% della blogosfera italiana.

Non è strano che Google dopo aver acquistato la Urchin Software ha reso gratuito un software, Urchin poi rinominato Google Analytics, che prima costava centinai di dollari al mese nella versione out-sourced? Per precisione di cronaca va detto che la versione gratuita di Google Analytics non comprende tutte le features di Urchin, per quelle è necessario abbonarsi.

Oltre ad usare plug-in specifici come NoScript, CustomizeGoogle, AdBlock, ecc c’è un metodo più semplice e trasparente per l’utente finale.
Nato da un’idea sviluppata grazie ai dati emersi dal talk, FoolDNS è un servizio di DNS creato per proteggere la privacy e bypassare i filtri censori dello stato Italiano. Un servizio che rende la navigazione più piacevole. Niente più JavaScript (inserzioni pubblicitarie e tool di statistiche) di tutti quei network che collezionano dati di navigazione senza una esplicita dichiarazione. L’idea di fondo è una gestione “casalinga” di inserzioni pubblicitarie e statistiche: perchè doversi accontentare degli spiccioli che network di inserzioni regalano per ogni click e utilizzare prodotti in out-sourcing per le statistiche?!
Grazie all’invito nella beta, dopo una settimana di utilizzo, non ho riscontrato problemi. La navigazione risulta estremamente pulita e piacevole sapendo anche che non vengono caricati JavaScript dalla dubbia utilità.

Il servizio, a detta anche delle statistiche, promette molto bene:
489378 richieste evase negli ultimi 7 giorni, più di 100.000 banner bloccati e più di 200 utenti attivi.

I 10 domini più richiesti sono:

  1. mail.google.com
  2. www.google.com
  3. www.facebook.com
  4. twitter.com
  5. profile.ak.facebook.com
  6. www.test.fool
  7. www.google.it
  8. feeds.feedburner.com
  9. safebrowsing.clients.google.com
  10. www.google-analytics.com

Per i più curiosi quelle che seguono sono le url ordinate per maggior numero di banner sostituiti da FoolDNS:

  1. http://www.repubblica.it/index.html
  2. http://www.repubblica.it
  3. http://home.myspace.com/index.cfm
  4. http://messaging.myspace.com/index.cfm
  5. http://www.libero.it
  6. http://www.youtube.com
Pubblicato in (In)Sicurezza,Novità,Privacy,Web
8 September 2008 | 1 Commento | Condividi con post<li> |