I ricercatori americani Robert Hansen e Jeremiah Grossman hanno di recente scoperto una vulnerabilità che interessa tutti i browser web e che è stata denominata clickjacking, parola composta da click e hijackin (dirottamento) e che quindi sta a indicare un dirottamento di click o, meglio, un redirect degli stessi.

Il clickjacking consiste nel far credere all’utente di stare cliccando su un determinato oggetto della pagina web, mentre si sta in realtà cliccando su un altro pulsante. Per ottenere questo risultato si può utilizzare Javascript oppure una cornice IFRAME.

Nel primo caso entra in gioco una funzione Javascript nota come event handler mediante la quale il click del mouse subisce un redirect verso un elemento diverso da quello cliccato dall’utente. Si tratta, a ben vedere, di una tecnica prevista negli standard di settore, niente di nuovo, quindi, solo che può essere utilizzata per orientare i click degli utenti ignari. Se si disattiva il Javascript è possibile in qualche modo evitare tale rischio. Per gli utenti che utilizzano Firefox, per esempio, si consiglia l’installazione del plug-in NoScript.

Nel secondo caso, invece, interviene IFRAME, un altro elemento noto del linguaggio HTML, che rappresenta una cornice interna nascosta in una pagina web. In pratica, all’interno della pagina web che l’utente visualizza è presenta come una sorta di filtro invisibile che ridirige i click effettuati. Per questo tipo di attacco la disabilitazione di Javascript non ha efficacia.

Abbiamo scritto che il clickjacking interessa tutti i browser. Questo perché la vulnerabilità si basa sul modo in cui è stato pensato e sviluppato il World Wide Web, sia per quanto riguarda il tag IFRAME sia per i linguaggi HTML e per Javascript. I rischi che si corrono possono essere diversi: per esempio un cracker potrebbe reindirizzare i click di un utente per iscriverlo a una newsletter, mettendo in pericolo la privacy dell’utente stesso. Oppure il cracker potrebbe dirigere i click verso un banner pubblicitario dal quale riceve un certo guadagno. Questi sono rischi tutto sommato pressoché innocui, ma la fantasia dei crackers non ha limiti e presto il clickjacking potrebbe essere usato per sferrare attacchi più pericolosi. E poiché la tecnica sfrutta il modo in cui è stato concepito e realizzato il World Wide Web, al momento non esistono patch in grado di risolvere il problema. Pare, però, che la vulnerabilità riguardi anche uno dei prodotti realizzati da Adobe, e che la società stia lavorando per cercare una soluzione.

Fonte:webmasterpoint

Ho visto le prime 2 puntate della nuova 3 stagione di HEroes..bellissime..la serie si chiama Villans

Il nuovo capitolo Villains ci lancia in una specie di guerra “Eroica”, tra gli eroi del bene (Capeggiati dal più forte: Peter Petrelli (Milo Ventimiglia)) contro gli eroi cattivi, mossi da Sylar (Zachary Quinto) che grazie al ritrovamento dei suoi poteri riesce a rimediare uno squadrone dei villains…

Vi metto solo il link al primo episodio della 3 stagione..restera' solo alcune ore disponibile poi il post sara' ccancellato...

XXXXXX.


Lo avevo detto...bellla la 3 stagione comunque.

Dal 10 agosto fino al 24 settembre 2008 uno dei siti più gettonati della rete, il maggiore tracker BitTorrent, The Pirate Bay, è rimasto inaccessibile attraverso i servizi degli Internet Service Provider italiani. Ma ora, grazie al lavoro di tre esperti, il Tribunale del Riesame di Bergamo ha accettato il ricorso di Peter Sunde e i rubinetti chiusi devono essere riaperti.

A portare il ricorso della Baia dinanzi al tribunale, un ricorso corposo, una ventina di pagine accompagnate da un'altra quarantina di pagine di relazione tecnica, sono stati Matteo Flora, celebre esperto informatico già consulente di importanti società nazionali, e i due avvocati Giovanni Battista Gallus e Francesco Paolo Micozzi, entrambi da lungo tempo impegnati sul fronte del diritto nell'era dell'informazione e dell'informatica giuridica. In tre hanno lavorato pro bono allo scopo di sottoporre al tribunale tutte le perplessità che dentro e fuori della rete sono state espresse in queste settimane su un provvedimento che ha pochi precedenti.
E pochissimi precedenti, anzi nessuno, ha la vittoria ottenuta in Tribunale: al di fuori degli aspetti tecnici della contesa legale, è la prima volta che viene affermato in modo così plateale il diritto degli italiani alla frequentazione di Internet. Nella generalità dei casi, infatti, provvedimenti di inibizione e sequestro, ed altre procedure atte ad evitare o ostacolare l'accesso degli utenti italiani a servizi internazionali, raramente vengono sottoposti ad un dibattimento di natura penale capace di portare alla luce tutte le conseguenze e tutti gli aspetti, non solo strettamente giuridici, dei provvedimenti stessi.

Al momento di scrivere questo articolo non sono ancora note le motivazioni del Tribunale, ancora non si sa quali siano le ragioni che hanno portato ad annullare il decreto che ingiungeva l'inibizione dell'accesso al sito. Quel che ora accadrà, come accennato, è che la cancelleria del Tribunale informerà della decisione e già oggi è lecito attendersi che gli ISP italiani provvederanno a rimuovere ogni strumento di filtering utilizzato per inibire l'accesso alla Baia, via DNS o via IP che sia.
Fonte ed il resto qui: http://punto-informatico.it/2417079/PI/Brevi/italia-sblocca-accesso-the-pirate-bay.aspx

Interessante x certi versi, x altri tutte cose gia' note....

Una studentessa universitaria australiana è rimasta "disgustata" dopo aver scoperto che il telefonino appena acquistato conteneva foto pornografiche di alcuni dei commessi che glielo avevano venduto.

La ragazza era entrata in un negozio della catena Dick Smith Eelctronics per comprare un cellulare nuovo; aveva scelto un Samsung da 199 dollari australiani che - per combinazione - era l'ultimo rimasto dello stock.

Arrivata a casa aveva incontrato dei problemi: non riusciva a sentire con chiarezza l'interlocutore e così aveva iniziato a navigare tra i menu per cercare di migliorare le impostazioni.

È a questo punto che si è aggiunto il disgusto: tra le immagini salvate ha scoperto 49 immagini, tra cui "una donna dello staff con l'uniforme di Dick Smith Electronics, due altre persone, e ciò che sembravano varie foto della stanza di un motel".

Le fotografie, però, non finivano lì: c'erano anche immagini di "una donna nuda dalla vita in giù, su un letto, che faceva sesso" oltre a immagini esplicite di un uomo e altre ancora della donna.

La presenza di queste immagini è dovuta al fatto che il telefonino in questione era stato in origine un modello da esposizione: può capitare che il personale dei negozi li prenda in prestito per il weekend e poi, al momento di restituirli, si dimentichi di cancellare la memoria.

Ciò che ha disgustato la studentessa, comunque, non è tanto il contenuto delle immagini, quanto il pensiero che "ho usato quel telefono vicino alla mia faccia quand'era stato usato per prendere tutte queste foto".

Fonte:zeusnews

Posso aggiungere che capita anche con i ipc usati dove la gente e' convinta di aver cancellato i dati...ma questa e' un'altra storia.

Domani saro' qui come gia' anticipato...

ciUZ

La aspettiamo domani, giovedì 25 settembre, al roadshow "La sicurezza e la protezione delle informazioni: 4 elementi base" che si terrà a Roma, presso lo Sheraton Hotel, Viale del Pattinaggio, 100.

Dalle ore 9.00 potrà accreditarsi alla reception, ritirare il badge e il materiale a lei riservato.

Ulteriori informazioni sono disponibili sull'invito scaricabile all'indirizzo:
http://www.soiel.it/documenti/roadinfo.pdf

Dopo averci assillato per tutta l'estate con falsi codec video, aggiornamenti flash player inesistenti e improbabili filmati Cnn, adesso assistiamo ad un nuovo tentativo di distribuzione di malware attraverso delle false pagine di YouTube.

Panda Security, software house alle spalle del celberrimo antivirus, aveva segnalato da pochi giorni la notizia dell'esistenza di un tool chiamato Fake YouTube creator in grado di creare delle false pagine di YouTube destinate alla distribuzione di malware e adesso lo vediamo già in azione.

Il malware è nascosto in un sito polacco, in una pagina chiamata index7.html che sembra essere comune a questo tipo di diffusione.

Oggi una giornata da dimenticare..si e' guastata l'interfaccia di un Catalyst 4006 dove ci sono collegati molti servers..prima di capire dove stava il problema...aveva iniziato ieri a sparare indirizzi ip a tutta la rete interna saturando uno dei pix...e facendo casino...x l'esattezza il problema e' stato questo:

http://www.cisco.com/en/US/products/hw/switches/ps663/products_tech_note09186a00801c9221.shtml

Inizialmente pensavamo un problema di supervisor..ma poi "pare" risolto con la sostituzione delle 48 porte...

Il gruppo di attivisti Anonymous ha violato l’account Yahoo! di Sarah Palin, governatrice dell’Alaska e candidata alla vicepresidenza degli Stati Uniti d’America. Parte della corrispondenza è finita su Wikileaks, noto sito collaborativo che ospita documenti e informazioni riservati inseriti da utenti che riescono a entrarne in possesso.

La corrispondenza della Palin resa pubblica sul sito spione riguarda lo screenshot di alcuni messaggi, tra i quali una email indirizzata al governatore della California Arnold Schwarzenegger, e di documenti che rivelano i contatti della Palin, oltre a una serie di foto di famiglia.

L’FBI ha aperto un’inchiesta, con lo scopo di capire come possa essere avvenuta la violazione dell’account e di identificare quindi l’identità di chi si è intrufolato nella posta elettronica della Palin.

Se la candidata alla vicepresidenza appare senza dubbio vittima di un atto contrario alla legge, tuttavia non le sono state risparmiate critiche: l’accusa è di aver usato la posta elettronica privata per comunicazioni di carattere istituzionale, accusa che era già stata mossa all’amministrazione Bush. In America, infatti, ci si aspetta che le comunicazioni inerenti le attività di Governo transitino sui canali ufficiali e non su quelli privati.
Provate a immaginare cosa sarebbe accaduto se un episodio simile si fosse verificato qui in Italia, ma ricordiamocidi un dato imbarazzante: i nostri politici non sono molto avvezzi all’uso di Internet e della posta elettronica. Per loro stessa ammissione si sono definiti imbranati. Nessun rischio, quindi, di vedere una email di un politico italiano sul web: non c’è proprio la possibilità che questo accada...

Fonte:webmasterpoint

OOPSS..

http://wikileaks.org/wiki/Sarah_Palin_Yahoo_inbox_2008

Lasciare un cellulare incustodito è sempre una cattiva idea; lo sarà ancora di più nel prossimo futuro qualora qualcuno sia dotato del Cellular Seizure Investigation Stick, o Csi Stick.

Si tratta di un piccolo apparecchio che, collegato a un cellulare, ne acquisisce tutti i dati contenuti in memoria: contatti, messaggi, documenti, file multimediali e via di seguito; Csi Stick è in grado di recuperare automaticamente anche quei file che sono stati cancellati e non ancora sovrascritti.

Completata la raccolta, i dati dovranno essere elaborati da un'applicazione apposita (sviluppata da Paraben, che produce anche lo Stick) e poi potranno essere utilizzati.

Il tutto è possibile con una spesa relativamente contenuta: Csi Stick costa 199 dollari mentre Ds Lite, l'applicazione necessaria per elaborare le informazioni raccolte, ne esige altri 99. Molto per i semplici curiosi, pochi per le forze dell'ordine.

I primi destinatari di questo ritrovato sono, infatti, le forze di polizia; tuttavia, considerato anche il prezzo non inaccessibile, non è difficile prevederne una certa diffusione anche presso chi potrebbe avere intenti meno nobili.

La prima versione di Csi Stick è in grado di intervenire su diversi modelli di cellulare prodotti da Motorola e Samsung; Paraben ha già però detto che presto il supporto verrà esteso aggiungendo anche i prodotti di altre marche note come Nokia, LG e Rim.

Fonte:zeusnews

L’ITU, l’Unione Internazionale per le Telecomunicazioni, agenzia dell’ONU che si occupa dello sviluppo delle TLC nel mondo e di definire gli standard nelle telecomunicazioni e nell’uso delle onde radio, starebbe lavorando alla realizzazione di un sistema che consenta l’abolizione dell’anonimato su Internet.

A riportare la notizia è la rivista telematica Cnet, che è entrata in possesso di documenti riservati grazie a Steve Bellovin, professore alla Columbia University di New York. L’idea di realizzare l’IP Traceback, questo il nome del sistema, è stata avanzata dalla Cina e al progetto, denominato Q6/17, starebbe lavorando anche la NSA, National Security Agency statunitense.

L’IP Traceback consiste in un sistema in grado di determinare l’origine di un pacchetto di informazioni trasmesse su Internet, ovvero di risalire all’indirizzo IP dal quale quelle informazioni sono partite. Come riporta Cnet, il meccanismo di IP Traceback deve essere adatto a vari aspetti dei network, come i differenti tipi di indirizzo, i differenti metodi di accesso e le differenti tecnologie di accesso.

La proposta cinese nasce ufficialmente dalla volontà di tutelare la sicurezza nazionale e di poter intervenire efficacemente in presenza di attacchi informatici sferrati dalla criminalità organizzata e da servizi di intelligence.

Tuttavia, se le esigenze di sicurezza stanno a cuore a tutti i cittadini, è altrettanto vero che l’IP Traceback potrebbe essere usato per scopi diversi. Come paventa lo stesso Bellovin, preoccupato che il sistema possa servire ai governi per schiacciare opinioni e denunce indesiderate.

Fonte:webmasterpoint

Le estensioni per Firefox coprono le necessità più strane; ci sono quelle veramente utili (come l'abilitazione dei gesti del mouse), quelle pratiche (come l'integrazione con i siti di social bookmarking alla Delicious) e quelle curiose e interessanti, come Shazou.

Shazou soddisfa una curiosità specifica: sapere dove risiedano fisicamente i file che costituiscono il sito che si sta visitando; mostra insomma il luogo dove il server che ospita il sito è collocato e le informazioni relative inserite nel data-base WhoIs.

Come per Google Maps, si può scegliere tra la visuale a mappa, la vista da aerea e quella ibrida e naturalmente è supportato lo zoom; inoltre esiste anche la possibilità di segnalare un sito sospetto di phishing.

Fonte:zeusnews

In questo numero:

Promemoria per il prossimo presidente
La TSA orgogliosa di aver confiscato un oggetto innocuo
Analisi costi-benefici della sicurezza nazionale
News
Fare hacking delle tessere Mifare
Information Security e responsabilità
Responsabilità software e il software libero
Le news su Schneier/BT Counterpane
Congratulazioni al nostro milionesimo terrorista!
Il file system deniable di TrueCrypt
La vulnerabilità del DNS
Commenti dei lettori

http://rapidshare.com/files/143035862/crypto_ago_2008.txt.html

Chi volesse il 25 Settembre mi trovera' qui:

www.soiel.it/documenti/roadinfo.pdf

CiaUZ

Bill Gates ha lasciato Microsoft per dedicarsi alla Fondazione, questo lo sanno tutti. Ma se la sua creatura chiama perché si trova in difficoltà, lui è sempre pronto a fare la propria parte.

L'emergenza cui Microsoft sta tentando di porre rimedio richiamando in servizio il proprio fondatore, ingaggiando il comico Jerry Seinfeld e spendendo 300 milioni di dollari riguarda Windows Vista, ma non si tratta di un problema tecnico; è più un problema di immagine.

L'ultima versione di Windows, nonostante i 180 milioni di licenze vendute dal lancio del 2007, non godrebbe di buona fama e in generale l'apprezzamento degli utenti non sarebbe particolarmente elevato. Pare insomma che nessuno stia più facendo "Wow!".

Questa situazione ha fatto sì che la percezione globale di Vista sia un tantino negativa, specie se rapportata a quella del suo immediato predecessore; e se la percezione di Windows è negativa, anche quella di Microsoft ne risente di riflesso.

Quindi, anziché concentrarsi per rimediare alle magagne (certo, Windows 7 riporterà i sistemi Microsoft all'affidabilità di Windows 2000 e sarà il migliore sistema operativo di sempre... ma lo dicevano anche per Vista), Microsoft ha deciso che la mossa vincente è realizzare uno spot che non dica chiaramente, ma lasci intendere che Vista sia nientemeno che "delicious".

Naturalmente il video dello spot, che in realtà è solo il primo di una serie che prossimamente imperverserà sulle televisioni americane, è arrivato su YouTube così che il mondo intero possa apprezzare gli sforzi della gente di Redmond.

Fonte:zeusnews

ps. il video l'ho trovato da solo hahaha

http://www.youtube.com/watch?v=AS3zclL0ACc

Microsoft ha annunciato che il 9 Settembre prossimo rilascerà 4 nuovi bollettini di sicurezza con relative patch per correggere varie vulnerabilità isolate nei suoi software. Gli update rientrano nel programma mensile di aggiornamento di protezione dei prodotti dell'azienda, fissato per il secondo Martedì di ogni mese.

Questo mese saranno pubblicati 4 bollettini di sicurezza, tutti classificati come "critici", 3 relativi al sistema operativo Windows, e 1 per Microsoft Office. Secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi senza richiedere intervento dell'utente.

Il primo bollettino critico "Windows Media Player Bulletin" correggerà un problema di "Remote Code Execution" che affligge Windows Media Player 11 su tutti i sistemi operativi supportati, inclusi Windows XP SP3 e Vista SP1.

Il secondo "Windows Bulletin" andrà correggere una problematica di esecuzione di codice in modalità remota che interessa Internet Explorer 6 su Windows 2000 SP4, Microsoft .NET Framework, Windows XP SP2 e SP3, Server 2003, Vista (anche SP1), Server 2008, Microsoft Office (XP, 2003), Visio 2002 SP2, Office PowerPoint Viewer 2003, Microsoft Works 8, Microsoft Digital image Suite 2006, SQL 2000 Reporting Services, SQL Server 2005, Visual Studio .NET (anche 2008), e, quando installati su Windows 2000 SP4, Microsoft Report Viewer, Microsoft Visual FoxPro, Microsoft Platform SDK Redistributable: GDI+, e Microsoft Forefront Client Security 1.0.

Il terzo bollettino critico, "Windows Media Encoder Bulletin", correggerà sempre una problematica RCE presente in Windows Media Encoder 9 su Windows 2000 SP4, XP SP2 e SP3, Server 2003, Vista (anche SP1), e Server 2008. L'ultimo bollettino, "Office Bulletin" offrirà correzione per una falla RCE isolata in Microsoft Office XP SP3, Office 2003 SP2 e SP3, 2007 Microsoft Office System (anche SP1), e Microsoft Office OneNote 2007 (anche SP1).

Il prossimo "Patch Day" di Settembre 2008 includerà:
• 3 Bollettini Critici per Microsoft Windows.
• 1 Bollettino Critico per Microsoft Office.
• Aggiornamento per il Malicious Software Removal Tool

Fonte:Tweakness

A proposito del subJect mi sono iscritto  a wikipedia per scrivere un articolo in proposito visto che nella sezione italiana manca proprio...i miei test dell'epoca..le BBS.. e wargames mi ha ispirato come chi mi conosce sa.

Tom Anderson, il "Tom" che dà il benvenuto ad ogni nuovo utente MySpace e che è uno dei co-fondatori del social network, quel Tom che l'anno scorso si è scoperto che si sconta gli anni (ne dichiara 32 sul suo profilo ma in realtà ne ha 37): quel Tom è stato un hacker al centro di una delle più grandi retate della polizia della California.

È TechCrunch a rivelare tutta la storia grazie ad alcune ricerche negli archivi di quotidiani degli anni '80 messi da poco in rete. Gli articoli in merito parlano di "hacker" e non di "cracker" perchè, nonostante le azioni di Tom non avessero fini di diffusione della cultura informatica attraverso il reverse engineering, lo stesso non sono mai risultati in danni per nessuno, ma al massimo in minacce.

Quando è uscito nelle sale WarGames, Tom aveva 13 anni e già era appassionato di informatica: solo un anno dopo avrebbe utilizzato il medesimo sistema visto nel film con Matthew Broderick per entrare nel sistema della Chase Manhattan Bank, ovvero l'uso di un software che sistematicamente chiama numeri di telefono in sequenza fino a che non sente rispondere un modem. http://en.wikipedia.org/wiki/War_dialing

All'epoca i sistemi avevano password semplicissime (solitamente mantenevano quelle di default) o addirittura non ne avevano per niente, dunque una volta trovata la risposta del modem della banca poco ci è voluto per entrare con il massimo dei privilegi, cambiare le password per impedire agli amministratori di sistema di entrare a loro volta e lanciare un messaggio che chiedesse il pieno controllo del sistema pena la distruzione di dati fondamentali.

Lo scopo era comunque dei più nobili: avere a disposizione un compilatore C. I personal computer dell'epoca infatti non erano molto potenti e spesso tale deficit impediva le operazioni di compilazione più grosse, per fare le quali ci si appoggiava a server esterni, legalmente o illegalmente.

La polizia mobilitò l'FBI che, tracciate le chiamate (dopo l'intrusione Tom aveva mostrato a 25 amici come farlo e aveva creato una crew), si precipitò simultaneamente nelle case degli hacker (per evitare che si contattassero a vicenda e distruggessero le prove) solo per trovarsi di fronte dei quattordicenni. Non ne risultò nessuna condanna, anche perchè non c'era stato effettivo danno, ma da quel momento non ci furono più notizie di Tom Anderson l'hacker.Fonte:webnews