Si parla tanto negli ultimi tempi ed in particolar modo con l’avvento di Facebook della privacy degli utenti e non è che sia sbagliato parlarne … ma bisognerebbe dare il
giusto peso alle cose.

Siamo arrivati al punto in cui nominare Facebook equivale a nominare l’uomo nero … Jack lo squartatore … o personaggi di simil calibro.

La privacy, i dati riservati, i dati acquisiti, i dati rivenduti … Facebook è il male, facebook mi conosce, facebook conosce me … i miei amici … e mi spia.

Invito coloro che la pensano in questo modo di tornare con i piedi per terra e proseguire con la lettura al fine di comprendere un po’ meglio il “problema”.

Ecco dunque alcuni punti che dovrebbero chiarirvi le idee :

1) Facebook viene fornito GRATUITAMENTE all’utilizzatore finale. Lindo Ferretti dei CCCP cantava in “Tu menti” … “Niente è gratis, niente è a posto. Le insegne luminose attirano gli allocchi”.

2) Facebook ha un costo : centinaia di migliaia di server, spazio, corrente elettrica, strutture informatiche, programmatori, grafici, sistemisti analisti, Banda internet. Il tutto ha un costo http://blog.hostingtalk.it/2008/11/facebook_le_spese_superano_i_r quantificato nel Novembre 2008 in più di 200 Milioni di dollari l’anno. Considerando che inoltre è un network in fortissima crescita e che la tecnologia costa e sopratutto è soggetta a rotture, guasti e rimpiazzamenti di prodotti tecnologicamente sempre più evoluti, non è errato dire che FACEBOOK ha costi ENORMI !

3) Va bene la gloria, ma siamo nel 2009 … ergo in qualche modo dovrà rientrare economicamente parlando, se non pienamente almeno in parte. Attualmente si vocifera di un 60 % scarso del rientro di capitali rispetto all’investimento iniziale.
Dunque … se voi utenti non siete disposti a spendere nemmeno 5 euro l’anno (penso sia una cifra equa, onesta e del tutto ragionevole) come fa Facebook … e i loro 1000 dipendenti ad andare avanti ? Marketing e pubblicità ovvio.

4) Fare marketing e pubblicità significa ovviamente utilizzare tecniche mirate per proporre i giusti prodotti a noi consumatori ed ovviamente l’analisi delle nostre preferenze è un concetto chiave per poter farci scegliere tra Barilla o de Cecco.

5) L’utente parla di privacy violata, quando è palesemente scritto nel contratto di utilizzo del servizio tutte le clausole e tutti i diritti che in alcuni casi vengono ceduti a Facebook per OVVIE ragioni legali. Se non hai letto il contratto perchè lo hai accettato e ti sei iscritto ?
Inoltre … quali saranno le informazioni così riservate di cui ti lamenti tanto ma che poi pubblichi con fare del tutto “sbarbino” ? La marca dei preservativi che usi ? Dubito che qualcuno si scandalizzi se preferisci Durex invece di Settebello ! Ah dimenticavo … le foto in cui vomiti alla sagra dell’uccello. Ma perchè le hai pubblicate ? Ma sopratutto perchè ti lasci fotografare in quelle condizioni ?
Al mercato vendono passamontagna a 5 euro … vai li e ti compri un passamontagna per non farti riconoscere

6) Parlate di privacy e di violazione delle privacy per argomenti banali e privi di fondamento ! Sapete perchè ? Perchè non conoscete il mondo informatico, non conoscete l’underground, non siete ne hacker, ne cracker, ne newbie, ne lamer … perchè non avete mai lavorato sul mercato nero, non avete mai venduto dati rubati per spionaggio industriale, non avete mai lavorato per ditte che vi pagano per tenere al sicuro il loro portfolio clienti, e sopratutto non avete un HD crittografato con dati sensibili da custodire !

Il 99% di voi comuni utilizzatori non usa una politica di Disaster Recovery, ne backup incrementali, ne un fottuto RAID 1, nemmeno un gruppo di continuità da 50 euro. Ma … volete dire la vostra e pretendere che io condivida i vostri stupidi pareri !

Potrei parlarvi delle Anagrafi … di alcuni comuni del nord italia … di alcune motorizzazioni e polizie municipali … potrei parlarvi di Agenzie di assicurazione … o di notai … avvocati … aziende farmaceutiche che PAGANO dei signori per un inside job ai database di enti statali per scegliere se investire il prossimo anno sugli ansiolitici o magari sugli antispastici.

Potrei parlarvi del vostro telefonino che tenete acceso 24 ore su 24 con 8 mila funzioni e pugnette, del bluetooth e delle sue vulnerabilità, del vostro access point casalingo che fa cagare il cazzo con quella merda di cifratura WEP che si cracca in 10 minuti.

Potrei parlavi di come in una notte di insonnia puoi entrare nei sistemi che gestiscono dati sensibilissimi utilizzando solamente google, delle buone chiavi di ricerca, e un minimo di conoscenza di SQL.

Probabilmente non ne capirete un cazzo e forse è un bene, ma non venite a dirmi : FACEBOOK è il male !!! Sanno che mi piace la musica Punk e che preferisco le Nike piuttosto che le Reebok.

SONO CAZZATE SIGNORI !

Ed ora … pretendete anche che ci siano le intercettazioni telefoniche e difendete la stampa contro il disegno di legge di Berlusconi !

PATETICI ! Solo una parola : PATETICI !!!!!

Ma come ? Prima volete la privacy e che non si sappia quale marca di pasta comprate … e ora volete che i signori intercettino ogni vostra telefonata ?

R-I-D-I-C-O-L-I.

Andate a giocare con i tombini in mezzo alla strada per favore invece che inquinare il mondo con le vostre sensazionali chiacchiere da bar.

RIBADISCO UN CONCETTO :

Su facebook rendete pubblico SOLO CIO’ CHE VOLETE RENDERE PUBBLICO !

Ciao Salvo Aranciulla !!! Come si fa la bomba Atomica ?

Ma è semplicissimo !!! Basta andare su un motore di ricerca ….. !!!!!

“Con il continuo aumento del numero di applicazioni commerciali scritte in PHP, è fondamentale che la proprietà intellettuale degli autori sia protetta. Fornire copie di valutazione e permettere il download sono diventate una consuetudini, quindi risulta ancora più complicato garantire che le applicazioni siano distribuite in modo sicuro, a prescindere dal fatto che siano gratuite, per valutazione o commerciali.

Zend Guard (già conosciuto come Zend Encoder) protegge le applicazioni da reverse engineering e da personalizzazioni non autorizzate fornendo meccanismi di cifratura e offuscamento. Protegge anche dall’uso senza licenza e dalla ridistribuzione, con un supporto di licenza completo. Tutto ciò consente di distribuire il software senza preoccupazioni particolari.

Il prodotto di cifratura PHP più diffuso sul mercato. Disponibile da oltre 7 anni.
Il team dedicato di sviluppatori di Zend garantisce che questo prodotto sia il più stabile e robusto software di cifratura sul mercato.
Integrazione diretta con Zend Studio.
L’unico prodotto che fornisce protezione per programmi orientati agli oggetti creati con PHP 4 o PHP 5 ”

Banalmente detto ZendGuard serve a non farsi rubare il codice PHP che è alla base di un’applicazione !

Ho avuto modo di testare questi giorni alcuni tool facilmente scaricabili in rete (basti cercare con google) chiamati DeZender o DeZend che hanno lo scopo di ricavare il codice sorgente in chiaro dai file cifrati con Zend Guard. Preso dall’iniziale scetticismo ma anche curiosità ho invece provato l’effettiva funzionalità testando questi tool su software simili a PHPCow o altri software proprietari che hanno alla base la cifratura Zend Guard con risultati superlativi: Codice PHP funzionante al 100 %

Morale della favola : Zend Guard promette rose e fiori e costa ben 600 Euro !
Una volta probabilmente li valeva appieno, ma ora come ora, con questi tool e queste tecniche davvero alla portata di TUTTI non ha più senso utilizzare Zeng Guard come strumento per tutelare le proprie applicazioni PHP.

Bisogna rendersi conto che questi software ormai sono facilmente aggirabili, e dare la fuorviante certezza di fornire una soluzione garantita e sicura senza mettere in luce il potenziale cliente dai pericoli ormai ben conosciuti (anche dalla stessa casa madre) sicuramente non giova allo sviluppatore dell’applicazione da proteggere, che oltre ad investire tempo (anche anni) per lo sviluppo dell’applicazione PHP, e ad investire 600 Euro per l’acquisto di Zend Guard, si ritrova col primo ragazzino online che prende il suo lavoro lo decodifica e lo mette online disponibile a tutti !!!!

Voglio anche citare la risposta data nel loro Forum :

“There have been a number of question about Zend Guard and various decoding technologies. We thought it was important to address those questions here.

Zend Guard protects applications from reverse engineering, copyright infringement and unauthorized customization with a combination of technologies. You must select the tecnologies that are right for your specific needs.

The first step in protecting your code with Zend Guard is encoding. During encoding the PHP source code is converted to a binary format that is used at runtime by the PHP engine in conjunction with Zend Optimizer. Only the encoded files are deployed and your original source code remains secured which prevents your application from being read by the casual observer.

The second (and perhaps most important) step in protecting your code is obfuscation. During obfuscation the encoded files are further processed to obscure the names of classes, methods, variables and other items in the code. Obfuscated files are much harder and more complex to reverse engineer than files using only encoding and provides greater protection of your IP.

So while technologies do exist that will allow encoded files to be decoded, technologies do not exist that can reverse obfuscation. Unfortunately, no technology exists today that can totally prevent reverse engineering by a determined individual. Zend Guard’s encoding and obfuscation together provide the best possible solution available today.

If customers feel that Zend Guard is not operating as described please open a ticket with Zend Support so that we can investigate the issue.

Kent Mitchell
Director, Product Marketing ”

Perchè non scrivono queste cose in bella vista nella pagina di acquisto del loro programma ? Ovvio NESSUNO lo comprerebbe !!!!!

Morale della Favola ? Non usate Zend Guard ! Dio ve ne scampi !!!!!!!!

Da notare lo stato d’ansia che mi sopraffà nal momento in cui entra in sala “quelli” della Polpost (Polizia Postale di Ancona n.d.r) a seguire lo speach, che erano nell’aula a fianco per un corso di aggiornamento sul Computer Forensive.

Parlare di sicurezza bancaria, anagrafi, e dimostrare pubblicamente attacchi portati a termine sotto i loro occhi non è sicuramente una cosa piacevole, quando l’emisfero razionale ti suggerisce : “Stai zitto o ti metti nella merda !”

Online Videos by Veoh.com

Qualche giorno fa, sulla Honeypot in cui faccio girare di tutto (Ambiente isolato VMWare con Windows XP) ho trovato un file “insolito” presente nei file prefetch di windows che girava in memoria sotto il nome di service.exe (da non confondersi con services.exe).

Ho eleminato le chiavi di registro aggiunte dal trojan in questione, recuperato il file originale che peraltro era stealth, ossia invisibile sotto C:\windows\system32 e analizzato tramite Regmon e Filemon (Sysinternal) e Wireshark per controllare il traffico di rete generato.

Era in pratica una variante di RXBOT che si collegava ad un server irc e aspettava comandi dal master, tra cui anche una pericolosissima sessione VNC per utilizzare desktop remoti.

Ho notato che ne McAfee Virusscan 2008, ne Norton, ne NOD32 lo rilevavano come Trojan.

Ho dunque segnalato il problema a quelli di Threatexpert.com con allegata la mia analisi, che hanno confermato e ampliato come si può vedere all’indirizzo : http://www.threatexpert.com/report.aspx?md5=df9d195dad2c64d0dabfa6ef9b355159

Ho poi avvisato i laboratori Avert di McAfee, e successivamente i lab di NOD32, sperando che nel frattempo inserissero l’impronta virale tra le firme dei virus presenti nel db.

Ad oggi 14 Aprile (ben 11 giorni dopo) NOD32 non ha inserito la firma del trojan tra quelli conosciuti e non lo rileva dunque come una minaccia !!!!!
Avast invece che ho personalmente testato lo rileva perfettamente !

Alla faccia dell’efficacia degli antivirus costosi

Allego QUI il file incriminato protetto da password “infected” da rinominare in .exe e NON ESEGUIRE ma scansionarlo con il vostro Antivirus ed eventualmente fatemi sapere se ve lo rileva o se dice che è tutto OK !

“L’uso del conto è protetto da codici a doppio livello, le comunicazioni sensibili sono criptate SSL, ogni singola transazione è autorizzata solo dopo molti controlli costanti, ma molto sofisticati.
Davvero sicuro. E’ semplicissimo, perchè tu non devi fare nulla di particolare.”

Ma ….

In un certo senso in effetti è vero ciò che dicono ossia che le comunicazioni sensibili sono criptate SSL, ma ahimè il modo in cui implementano il tutto non è il massimo almeno secondo il mio punto di vista !

Perchè dico ciò ? Perchè in qualità di cliente e in qualità di “Ricercatore Indipendente” sulle tematiche IT-Security, ricordando che la sicurezza di un sistema si misura sulla sicurezza dell’anello più debole, è ovvio che in un portale di Home Banking l’anello più debole sarà sempre l’utente.

Senza dimenticarsi che il parco buoi non è composto solo da Utenti, ma anche di uTONTI.
La categoria mi perdonerà spero per l’eufemismo a loro associato, ma è un modo di definire un utente che non conosce bene tecnicamente ciò che sta usando.
Un termine particolarmente usato in ambito informatico dove a volte sapere usare veramente qualcosa diventa arduo per chi ha altre attitudini o non ha tempo di imparare ciò che dovrebbe sapere.

Ogni volta che sentiamo qualcosa in TV riguardo al fenomeno delle truffe online, del phishing ecc… tra i 3 consigli più facili e immediati, troviamo quello di VERIFICARE SE SULLA BARRA DI NAVIGAZIONE compare il famoso LUCCHETTO.

Il “FAMOSO LUCCHETTO” sta a significare https (Ossia un http Sicuro) che con l’utilizzo di certificati SSL (Secure Socket Layer) stabilisce l’autenticità del sito che si sta visitando (tramite la verifica tramite la Certification Autorithy) e allo stesso tempo implementa un canale cifrato tramite Crittografia a chiave Pubblica.

Nell’ipotesi che tra l’utente (A) e il sito della banca (B) fosse presente un hacker (C), l’intercettazione dei dati sarebbero inutili perchè non decifrabili e nel caso di attacchi più elaborati (Man In The Middle con la sostituzione di Chiavi n.d.r) il browser darebbe l’avviso che il sito non è AFFIDABILE.

Andando sul sito di Fineco invece http://www.fineco.it non vedo assolutamente ne LUCCHETTO sulla barra della navigazione, ne tantomeno la dicitura HTTPS nell’url del browser, ERGO, chiunque può sniffare i dati tra i 2 endpoint.

Qualche purista noterà che in realtà https://www.fineco.it/fineco/jsp/login/content.jsp viene incorporato in un FRAME all’interno del FRAME “TopFrame” come si nota nello SCREENSHOT con Firebug.

Dunque, è VERO che comunque sia l’autenticazione SAREBBE fatta lo stesso tramite HTTPS e quindi sicura.

Ma cosa succederebbe se qualche CRACKER armato di voglia CLONASSE il sito www.fineco.it con tutti i frame contenuti, effettuasse un DNS Spoofing, tramite DNS poisoning, magari tramite qualche versione di Bind Buggata, o qualche trojan che va a inserire record contraffatti nel file hosts, o che cambia i DNS di default di Windows ?

Succederebbe che l’utente andrebbe a fornire la login su un piatto d’argento all’attaccante che approfittando del fatto che in realtà l’home non utilizza HTTPS può evitare di insospettire l’utente non fornendo un finto certificato SSL self signed.

Da li poi con il possesso di Nome, Cognome, numero di conto e parola d’accesso con un po’ di social engineering (Kevin Mitnik Docet) si può estrapolare molto facilmente tramite metodi classici (Posta raccomandata, SMS Spoofing, Email classica, o semplicemente il Telefono) anche il PIN per effettuare le operazioni delicate.

E da li fare quel che si vuole …..

La soluzione ideale sarebbe quella di aprire la sessione SSL direttamente alla dicitura www.fineco.it dare in bella mostra all’utente il bel LUCCHETTINO sulla barra di navigazione.
Il cliente si sentirebbe più rassicurato, la sicurezza aumenterebbe e non ci sarebbero costi o problematiche di implementazione particolari.

Per il resto comunque FINECO da ottimi servizi come ad esempio l’SMS ad ogni utilizzo della carta di credito che rende molto sicuro il tutto, peccato però che si perda davvero in un bicchier d’acqua.

Speriamo che si adegui !