giugno 12th, 2009 by J3njy
Come avrete notato scrivo pochino nel blog ultimamente perchè sono strapreso da impegni lavorativi e da un paio di progetti personaliche mi rubano tempo, risorse ed energie.
Stasera però ho deciso di prendermi mezz’ora e di mettere i puntini sulle i ad una situazione che inizia a stancarmi.
Si parla tanto negli ultimi tempi ed in particolar modo con l’avvento di Facebook della privacy degli utenti e non è che sia sbagliato parlarne … ma bisognerebbe dare il
giusto peso alle cose.
Siamo arrivati al punto in cui nominare Facebook equivale a nominare l’uomo nero … Jack lo squartatore … o personaggi di simil calibro.
La privacy, i dati riservati, i dati acquisiti, i dati rivenduti … Facebook è il male, facebook mi conosce, facebook conosce me … i miei amici … e mi spia.
Invito coloro che la pensano in questo modo di tornare con i piedi per terra e proseguire con la lettura al fine di comprendere un po’ meglio il “problema”.
Ecco dunque alcuni punti che dovrebbero chiarirvi le idee :
1) Facebook viene fornito GRATUITAMENTE all’utilizzatore finale. Lindo Ferretti dei CCCP cantava in “Tu menti” … “Niente è gratis, niente è a posto. Le insegne luminose attirano gli allocchi”.
2) Facebook ha un costo : centinaia di migliaia di server, spazio, corrente elettrica, strutture informatiche, programmatori, grafici, sistemisti analisti, Banda internet. Il tutto ha un costo http://blog.hostingtalk.it/2008/11/facebook_le_spese_superano_i_r quantificato nel Novembre 2008 in più di 200 Milioni di dollari l’anno. Considerando che inoltre è un network in fortissima crescita e che la tecnologia costa e sopratutto è soggetta a rotture, guasti e rimpiazzamenti di prodotti tecnologicamente sempre più evoluti, non è errato dire che FACEBOOK ha costi ENORMI !
3) Va bene la gloria, ma siamo nel 2009 … ergo in qualche modo dovrà rientrare economicamente parlando, se non pienamente almeno in parte. Attualmente si vocifera di un 60 % scarso del rientro di capitali rispetto all’investimento iniziale.
Dunque … se voi utenti non siete disposti a spendere nemmeno 5 euro l’anno (penso sia una cifra equa, onesta e del tutto ragionevole) come fa Facebook … e i loro 1000 dipendenti ad andare avanti ? Marketing e pubblicità ovvio.
4) Fare marketing e pubblicità significa ovviamente utilizzare tecniche mirate per proporre i giusti prodotti a noi consumatori ed ovviamente l’analisi delle nostre preferenze è un concetto chiave per poter farci scegliere tra Barilla o de Cecco.
5) L’utente parla di privacy violata, quando è palesemente scritto nel contratto di utilizzo del servizio tutte le clausole e tutti i diritti che in alcuni casi vengono ceduti a Facebook per OVVIE ragioni legali. Se non hai letto il contratto perchè lo hai accettato e ti sei iscritto ?
Inoltre … quali saranno le informazioni così riservate di cui ti lamenti tanto ma che poi pubblichi con fare del tutto “sbarbino” ? La marca dei preservativi che usi ? Dubito che qualcuno si scandalizzi se preferisci Durex invece di Settebello ! Ah dimenticavo … le foto in cui vomiti alla sagra dell’uccello. Ma perchè le hai pubblicate ? Ma sopratutto perchè ti lasci fotografare in quelle condizioni ?
Al mercato vendono passamontagna a 5 euro … vai li e ti compri un passamontagna per non farti riconoscere 
6) Parlate di privacy e di violazione delle privacy per argomenti banali e privi di fondamento ! Sapete perchè ? Perchè non conoscete il mondo informatico, non conoscete l’underground, non siete ne hacker, ne cracker, ne newbie, ne lamer … perchè non avete mai lavorato sul mercato nero, non avete mai venduto dati rubati per spionaggio industriale, non avete mai lavorato per ditte che vi pagano per tenere al sicuro il loro portfolio clienti, e sopratutto non avete un HD crittografato con dati sensibili da custodire !
Il 99% di voi comuni utilizzatori non usa una politica di Disaster Recovery, ne backup incrementali, ne un fottuto RAID 1, nemmeno un gruppo di continuità da 50 euro. Ma … volete dire la vostra e pretendere che io condivida i vostri stupidi pareri !
Potrei parlarvi delle Anagrafi … di alcuni comuni del nord italia … di alcune motorizzazioni e polizie municipali … potrei parlarvi di Agenzie di assicurazione … o di notai … avvocati … aziende farmaceutiche che PAGANO dei signori per un inside job ai database di enti statali per scegliere se investire il prossimo anno sugli ansiolitici o magari sugli antispastici.
Potrei parlarvi del vostro telefonino che tenete acceso 24 ore su 24 con 8 mila funzioni e pugnette, del bluetooth e delle sue vulnerabilità, del vostro access point casalingo che fa cagare il cazzo con quella merda di cifratura WEP che si cracca in 10 minuti.
Potrei parlavi di come in una notte di insonnia puoi entrare nei sistemi che gestiscono dati sensibilissimi utilizzando solamente google, delle buone chiavi di ricerca, e un minimo di conoscenza di SQL.
Probabilmente non ne capirete un cazzo e forse è un bene, ma non venite a dirmi : FACEBOOK è il male !!! Sanno che mi piace la musica Punk e che preferisco le Nike piuttosto che le Reebok.
SONO CAZZATE SIGNORI !
Ed ora … pretendete anche che ci siano le intercettazioni telefoniche e difendete la stampa contro il disegno di legge di Berlusconi !
PATETICI ! Solo una parola : PATETICI !!!!!
Ma come ? Prima volete la privacy e che non si sappia quale marca di pasta comprate … e ora volete che i signori intercettino ogni vostra telefonata ?
R-I-D-I-C-O-L-I.
Andate a giocare con i tombini in mezzo alla strada per favore invece che inquinare il mondo con le vostre sensazionali chiacchiere da bar.
RIBADISCO UN CONCETTO :
Su facebook rendete pubblico SOLO CIO’ CHE VOLETE RENDERE PUBBLICO !
Loading ...
Postato in Information Tecnology, Personali, Sicurezza Informatica, Siti Web | 
3 Commenti »
luglio 23rd, 2008 by J3njy
L’uomo (uomo per modo di dire) più sputtanato e preso per il culo da tutti gli esperti di sicurezza e NON della rete va a fare il figo in RAI a dire BANALITA’ disarmanti !!!
Ciao Salvo Aranciulla !!! Come si fa la bomba Atomica ?
Ma è semplicissimo !!! Basta andare su un motore di ricerca ….. !!!!!
Loading ...
Postato in Personali, Sicurezza Informatica | 4 Commenti »
luglio 19th, 2008 by J3njy
Ma cos’è ZendGuard? Come riportato dal loro sito Zend :
“Con il continuo aumento del numero di applicazioni commerciali scritte in PHP, è fondamentale che la proprietà intellettuale degli autori sia protetta. Fornire copie di valutazione e permettere il download sono diventate una consuetudini, quindi risulta ancora più complicato garantire che le applicazioni siano distribuite in modo sicuro, a prescindere dal fatto che siano gratuite, per valutazione o commerciali.
Zend Guard (già conosciuto come Zend Encoder) protegge le applicazioni da reverse engineering e da personalizzazioni non autorizzate fornendo meccanismi di cifratura e offuscamento. Protegge anche dall’uso senza licenza e dalla ridistribuzione, con un supporto di licenza completo. Tutto ciò consente di distribuire il software senza preoccupazioni particolari.
Il prodotto di cifratura PHP più diffuso sul mercato. Disponibile da oltre 7 anni.
Il team dedicato di sviluppatori di Zend garantisce che questo prodotto sia il più stabile e robusto software di cifratura sul mercato.
Integrazione diretta con Zend Studio.
L’unico prodotto che fornisce protezione per programmi orientati agli oggetti creati con PHP 4 o PHP 5 ”
Banalmente detto ZendGuard serve a non farsi rubare il codice PHP che è alla base di un’applicazione !
Ho avuto modo di testare questi giorni alcuni tool facilmente scaricabili in rete (basti cercare con google) chiamati DeZender o DeZend che hanno lo scopo di ricavare il codice sorgente in chiaro dai file cifrati con Zend Guard. Preso dall’iniziale scetticismo ma anche curiosità ho invece provato l’effettiva funzionalità testando questi tool su software simili a PHPCow o altri software proprietari che hanno alla base la cifratura Zend Guard con risultati superlativi: Codice PHP funzionante al 100 %
Morale della favola : Zend Guard promette rose e fiori e costa ben 600 Euro !
Una volta probabilmente li valeva appieno, ma ora come ora, con questi tool e queste tecniche davvero alla portata di TUTTI non ha più senso utilizzare Zeng Guard come strumento per tutelare le proprie applicazioni PHP.
Bisogna rendersi conto che questi software ormai sono facilmente aggirabili, e dare la fuorviante certezza di fornire una soluzione garantita e sicura senza mettere in luce il potenziale cliente dai pericoli ormai ben conosciuti (anche dalla stessa casa madre) sicuramente non giova allo sviluppatore dell’applicazione da proteggere, che oltre ad investire tempo (anche anni) per lo sviluppo dell’applicazione PHP, e ad investire 600 Euro per l’acquisto di Zend Guard, si ritrova col primo ragazzino online che prende il suo lavoro lo decodifica e lo mette online disponibile a tutti !!!!
Voglio anche citare la risposta data nel loro Forum :
“There have been a number of question about Zend Guard and various decoding technologies. We thought it was important to address those questions here.
Zend Guard protects applications from reverse engineering, copyright infringement and unauthorized customization with a combination of technologies. You must select the tecnologies that are right for your specific needs.
The first step in protecting your code with Zend Guard is encoding. During encoding the PHP source code is converted to a binary format that is used at runtime by the PHP engine in conjunction with Zend Optimizer. Only the encoded files are deployed and your original source code remains secured which prevents your application from being read by the casual observer.
The second (and perhaps most important) step in protecting your code is obfuscation. During obfuscation the encoded files are further processed to obscure the names of classes, methods, variables and other items in the code. Obfuscated files are much harder and more complex to reverse engineer than files using only encoding and provides greater protection of your IP.
So while technologies do exist that will allow encoded files to be decoded, technologies do not exist that can reverse obfuscation. Unfortunately, no technology exists today that can totally prevent reverse engineering by a determined individual. Zend Guard’s encoding and obfuscation together provide the best possible solution available today.
If customers feel that Zend Guard is not operating as described please open a ticket with Zend Support so that we can investigate the issue.
Kent Mitchell
Director, Product Marketing ”
Perchè non scrivono queste cose in bella vista nella pagina di acquisto del loro programma ? Ovvio NESSUNO lo comprerebbe !!!!!
Morale della Favola ? Non usate Zend Guard ! Dio ve ne scampi !!!!!!!!
Loading ...
Postato in Information Tecnology, Linux & Co., Sicurezza Informatica | 3 Commenti »
aprile 23rd, 2008 by J3njy
Ho ritrovato in giro (dopo le fatidiche pulizie di Pasqua) il DVD del Linux Meeting svoltosi il 24-25 Maggio 2007 presso l’università di Camerino, in cui mi sono prestato ad uno speaking “piuttosto improvvisato” sulla sicurezza Web.
Da notare lo stato d’ansia che mi sopraffà nal momento in cui entra in sala “quelli” della Polpost (Polizia Postale di Ancona n.d.r) a seguire lo speach, che erano nell’aula a fianco per un corso di aggiornamento sul Computer Forensive.
Parlare di sicurezza bancaria, anagrafi, e dimostrare pubblicamente attacchi portati a termine sotto i loro occhi non è sicuramente una cosa piacevole, quando l’emisfero razionale ti suggerisce : “Stai zitto o ti metti nella merda !”
Online Videos by Veoh.com
Loading ...
Postato in Information Tecnology, Sicurezza Informatica | 9 Commenti »
aprile 13th, 2008 by J3njy
Qualche giorno fa, sulla Honeypot in cui faccio girare di tutto (Ambiente isolato VMWare con Windows XP) ho trovato un file “insolito” presente nei file prefetch di windows che girava in memoria sotto il nome di service.exe (da non confondersi con services.exe).
Ho eleminato le chiavi di registro aggiunte dal trojan in questione, recuperato il file originale che peraltro era stealth, ossia invisibile sotto C:\windows\system32 e analizzato tramite Regmon e Filemon (Sysinternal) e Wireshark per controllare il traffico di rete generato.
Era in pratica una variante di RXBOT che si collegava ad un server irc e aspettava comandi dal master, tra cui anche una pericolosissima sessione VNC per utilizzare desktop remoti.
Ho notato che ne McAfee Virusscan 2008, ne Norton, ne NOD32 lo rilevavano come Trojan.
Ho dunque segnalato il problema a quelli di Threatexpert.com con allegata la mia analisi, che hanno confermato e ampliato come si può vedere all’indirizzo : http://www.threatexpert.com/report.aspx?md5=df9d195dad2c64d0dabfa6ef9b355159
Ho poi avvisato i laboratori Avert di McAfee, e successivamente i lab di NOD32, sperando che nel frattempo inserissero l’impronta virale tra le firme dei virus presenti nel db.
Ad oggi 14 Aprile (ben 11 giorni dopo) NOD32 non ha inserito la firma del trojan tra quelli conosciuti e non lo rileva dunque come una minaccia !!!!!
Avast invece che ho personalmente testato lo rileva perfettamente !
Alla faccia dell’efficacia degli antivirus costosi
Allego QUI il file incriminato protetto da password “infected” da rinominare in .exe e NON ESEGUIRE ma scansionarlo con il vostro Antivirus ed eventualmente fatemi sapere se ve lo rileva o se dice che è tutto OK !
Loading ...
Postato in Information Tecnology, Sicurezza Informatica | 3 Commenti »
marzo 3rd, 2008 by J3njy
Ecco un semplicissimo video tutorial che illustra l’enumerazione di siti Web ospitati in Virtual Hosting su un server Web. Ciò è utile per elencare una lista di siti su cui effettuare attacchi web, o più semplicemente per verificare il carico del webserver su cui gira il nostro sito vista la forte pratica di overselling che fanno gli Hoster Low Cost.
Loading ...
Postato in Sicurezza Informatica | No Commenti »
(2 voti, media: 9,00 di 10)