Ringrazio la redazione di A&S Italy per avermi concesso la ripubblicazione integrale dell’articolo sulla sicurezza dei dispositivi CCTV IP che ho scritto il mese scorso per la loro rivista.
Colgo l’occasione per segnalare a chi fosse interessato l’evento CCTV & IP Security Forum che si terrà a Milano il 26 maggio. La partecipazione è gratuita, l’evento a numero chiuso.
Partenza con mezz’ora di ritardo (un classico per i voli Alitalia) da Roma Fiumicino per Catania Fontanarossa.
Arrivo alle 21:30 a Catania e scopro che il mio bagaglio è stato smarrito. Dentro la valigia c’era il vestito (l’unico) per il matrimonio del giorno dopo e un paio di scarpe eleganti.
Il tempo per scegliere e comprare un nuovo vestito non c’è, mia madre resta sveglia fino alle 2 di notte per assemblarne uno rovistando tra i vestiti di mio cognato e quelli di mio padre. Per le scarpe niente da fare, decido di comprarne un paio nuovo il giorno dopo all’apertura dei negozi.
Bene, alle 8:00 sono in giro per Avola in cerca di un negozio aperto. Per fortuna non sono difficile nelle scelte, ne acquisto un paio al volo e si parte per il matrimonio con la macchina che mio padre mi affida in prerstito.
Caso volle che all’uscita della chiesa (a Siracusa) la macchina non riparte più. Vi risparmio deliri e disagi vissuti.
Si ritorna a Roma, partenza prevista alle ore 14:00 dall’aeroporto Fontanarossa di Catania. Arrivo in ritardo al check-in (colpa mia) e perdo il volo Alitalia. Ma porco diamine possibile che i voli Alitalia sono sempre in forte ritardo e questa volta parte puntuale?
Mi reco in biglietteria per rifare il biglietto: 267 euro per partire alle 15:00 (Alitalia). Mi informo con le altre compagnie, il più economico è quello della Blu-express, 160 euro circa e partenza prevista per le 19:45. Ritorno a Catania per mangiare qualcosa in una trattoria e alle 18 sono in aeroporto per fare il check-in.
Presento i documenti, poggio la valigia su quella specie di tapirulan e l’operatore mi avvisa che la mia valigia pesa 5 kg in più rispetto al previsto e devo pagare 7 euro per ogni kg in più e aggiungere al totale 8 euro di spese amministrative.
La valigia pesa 20 kg, quanto previsto per il volo Alitalia, Blu-express invece consente un carico max di 15 kg. Ok, armato di pazienza mi reco nuovamente in biglietteria e pago la mora. Torno al check-in e l’operatore mi comunica che il volo è stato spostato di un ora, partenza alle 20:45.
Sono ancora in aeroporto in attesa di imbarcarmi, mi auguro che la sfiga sia finita.
Aggiornamento: partenza rinviata alle ore 21:40. Dunque un ritardo di 1 ora e 55 minuti, strategia perfetta perchè a 2 ore esatte di ritardo la carta dei diritti del passeggero prevede il rimborso spese. Arrivo a Roma alle 23:00, mezz’ora di attesa per il bagaglio e altri 20 minuti di attesa per la navetta che doveva portarmi a lunga sosta, dove ho parcheggiato l’auto per 4 giorni. Poco dopo le 1:15 arrivo finalmente a casa.
Da tempo mi ero promesso di studiare per bene le dinamiche della chat di facebook e finalmente da qualche giorno ho deciso di cominciare. Probabilmente lo studio del protocollo lo avrei tenuto per me visto che in giro si trova buona documentazione, se non fosse per il fatto che ho notato qualcosa di interessante nell’uso del typing. Non si tratta di un bug di facebook ma di una comune richiesta utilizzata per mettere in comunicazione due utenti e che, se adeguatamente intercettata e riutilizzata, potrebbe stimolare qualcuno a rimettere ancora una volta in discussione la privacy su facebook.
Per non portarla alle lunghe cerco di sintetizzare e di evitare particolari tecnicismi.
All’apertura della chat di facebook il browser lavora asincronicamente attraverso richieste ajax. Inizialmente viene inviata la seguente richiesta POST (dal nostro browser verso il web server di Facebook) seguita dai parametri essenziali per presentarsi al server.
POST /ajax/chat/buddy_list.php?__a=1
Il browser resta in attesa di intercettare la risposta dove gli verranno fornite le informazioni sullo stato degli amici online (buddy list).
Una volta aperta la finestra di popup e selezionato l’utente con cui si desidera conversare (ovviamente il destinatario non è al corrente del fatto che state per scrivergli), alla pressione del primo carattere digitato nel campo della finestra chat viene generata una richiesta HTTP di tipo POST verso il server web
POST /ajax/chat/typ.php?__a=1
con il seguente contenuto
typ=1&to=DESTIDNUM&post_form_id=SOURCEIDNUM&fb_dtsg=XYZKJ&post_form_id_source=AsyncRequest
Si tratta di un typing. In soldoni avvisiamo il server che siamo SOURCEIDNUM e desideriamo aprire una sessione di chat con DESTIDNUM. Naturalmente il server prende in carico la richiesta e verifica che il destinatario sia online e disponibile a intraprendere una conversazione in chat.
Per confermare la disponibilità viene inoltrata dal browser del destinatario verso il web server di facebook una richiesta di tipo GET
GET X.channelYZ.facebook.com/x/CODENUM/false/p_IDNUM=N
Il server risponde con il seguente messaggio
for (;;);{"t":"msg","c":"p_DESTIDNUM","ms":[{"type":"typ","st":1,"from":SOURCEIDNUM,"to":DESTIDNUM}
E' qui che DESTIDNUM (il destinatario) viene informato che il contatto SOURCEIDNUM sta per scrivergli qualcosa, di conseguenza il suo browser si prepara alla ricezione.
L'utente destinatario non ha ancora ricevuto alcun segnale visivo, non sa ancora che sta per ricevere un messaggio da uno dei suoi contatti.
Sfruttando questo passaggio utilizzato per stabilire la prima connessione tra due utenti e sniffando il traffico in uscita dal nostro browser siamo in grado di capire quando e da chi stiamo per ricevere un messaggio prima ancora che venga mostrato a noi. Anche quando chi sta per scriverci si pente di inviarlo.
Molto banalmente sarebbe sufficiente una estensione per firefox che intercetti la richiesta GET in uscita dal browser attraverso una espressione regolare del tipo
[0-9].channel[0-9]{1,}.facebook.com\/x\/[0-9]{1,}\/false\/p_[0-9]{1,}
e la risolva in background in modo da restituire il nome del contatto che sta per scriverci.
Se si procede manualmente, invece, basta tenere aperto uno sniffer con filtro attivo per il tipo di richiesta, leggere il SOURCEIDNUM e assegnarlo alla url come valore della variabile id. Esempio:
Giusto per fare chiarezza e smentire alcune news dal web, del tipo “Zeus sfrutta la vulnerabilità dei pdf”… Zeus non è un worm. Il builder genera un client con funzioni di trojan horse; non è stato studiato per propagarsi automaticamente e viene diffuso tramite tecniche di social engineering. Al momento non sfrutta alcuna vulnerabilità per diffondersi nè per eseguire web injection.
Un ottimo progetto ma non uno strumento alla portata di chiunque come spesso si legge in giro. Una organizzazione criminale senza un bravo web developer a fianco non saprebbe cosa farsene di Zeus.
Preoccupante? A preoccuparci sono i numeri e la genialità di un progetto (o più progetti simili, vedi anche SpyEye) in continua evoluzione. Ad esser sincero non mi ha mai stupìto Zeus, in fondo non fa niente di nuovo rispetto a ciò che fino a ieri sapevamo fosse possibile realizzare. La genialità sta tutta nell’idea e il terrore nel futuro di tale progetto.
In merito alla sentenza sul caso dei dirigenti Google condannati per violazione della privacy, in una intervista l’avvocato della difesa, Giuseppe Vaciago, alla domanda sulle modalità di presentazione della prova elettronica risponde:
In realtà anche se l’eccezione non era proceduralmente legittima, ho ritenuto che fosse da un punto di vista sostanziale importante evidenziare che nel 2010 non dovrebbe essere più possibile produrre come prova in un processo penale un documento cartaceo di una pagina web corredato da un file digitale in formato word contenente il “copia e incolla” della medesima pagina web. Ci sono strumenti gratuiti e validissimi che permettono di garantire certezza nella fase dell’acquisizione di una prova digitale presente in Rete come ad esempio il software hashbot (http://www.hashbot.com/) che tra le altre cose è stato progettato da informatici italiani. Essendo il mio principale tema di ricerca accademica, mi rendo conto che sono parziale nel mio giudizio, ma sottovalutare il rischio in termini di alterabilità e mancanza di genuinità che una analisi superficiale della prova digitale può generare è davvero pericoloso.
Qualcuno potrebbe ribadire: è pur sempre uno strumento per evitare le insidie di internet e navigare sicuri, una sorta di “antivirus per facebook”.
Ok, il problema è che come al solito non badiamo alla nostra privacy. Non dimentichiamoci che si tratta di una applicazione per facebook di cui non abbiamo alcun controllo.
norton safe web for facebook
La differenza sostanziale tra un software (antivirus) installato sulla mia macchina e una applicazione per facebook sta nel fatto che con il primo quantomeno ho la possibilità di analizzare e studiare il traffico per individuare eventuali anomalie, con il secondo, purtroppo, trattandosi di una applicazione esterna che si interfaccia con facebook (NON SONO APPLICAZIONI DI FACEBOOK) non ci è permesso alcun controllo su di essa. Oltretutto siamo così ingenui da dare loro il consenso di accedere a tutte le informazioni presenti nel nostro account facebook senza meditare sul fatto che non vi è possibilità di rimuoverle in un secondo momento.
Come anticipato qualche giorno fa questa domenica si celebrerà la “XIV Giornata Nazionale Bambini Vittime di Violenza e Abusi”. Proprio oggi il Presidente della Repubblica Giorgio Napolitano ha scritto una lettera di apprezzamento a Don Fortunato Di Noto (presidente dall’Associazione Meter Onlus).
La XIV Giornata, sottolinea Napolitano, ”ripropone alle coscienze dei singoli e dell’intera collettivita’ il valore universale dell’intangibilita’ dei minori e l’imperativo etico della loro piena tutela nel percorso di crescita fisica, psicologica ed intellettuale. La salvaguardia dell’infanzia costituisce un principio assoluto non solo nel sistema giuridico, ma anche nella sensibilita’ comune che respinge gli esecrabili episodi che violano e ledono l’eta’ dell’innocenza, cosi’ come ogni forma di indifferenza e di rimozione di fronte a condizioni estreme di poverta’ e di malnutrizione che provocano ai minori sofferenze intollerabili e danni alla salute spesso irreversibili”.
Il riconoscimento del Capo dello Stato è molto importante per una associazione come Meter che da anni si batte contro ogni forma di abuso sui minori.
Esaminando un particolare js e cercando informazioni su Google ho notato che diversi siti, molti dei quali basati su cms aggiornati all’ultima versione, sono stati recentemente violati e compromessi con questo codice javascript offuscato.
L’inclusione di un iframe di dimensioni 1,1 che punta a un dominio poco affidabile per far veicolare software dannoso non è una novità. Ad incuriosirmi infatti non è stata la struttura del codice (per niente complessa e risolvibile in due mosse) ma la presenza della stringa commentata in fondo allo script: <–! uy7gdr5kmn –>
Potremmo formulare numerose ipotesi per cercare di comprenderne il senso ma non essendo in grado di spiegare con certezza assoluta la presenza della stringa, per il momento resta (almeno per me) un mistero.
Due cose sono certe:
Chi ci ha sbattuto giornate intere per individuare e bloccare il traffico di prima connessione, rigorosamente sulla 80, capisce bene di cosa stiamo parlando.
Per chi fosse interessato alle tematiche di sicurezza informatica e computer forensics segnalo che tra meno di un mese, nei giorni 4-5-6-7 maggio 2010, la società di consulenza e formazione informatica Ugolopez.it ripropone in quel di Bari, il medesimo corso tenutosi a Catania.
Corso pensato per professionisti del settore informatico e tecnico interessati ad approfondire le proprie conoscenze sulla Sicurezza Informatica e sulle procedure teoriche e pratiche di Informatica Forense. Saranno oggetto del corso gli aspetti relativi all’identificazione, al repertaggio corretto delle fonti di prova, all’analisi ed alla presentazione delle conclusioni. Parte pratica di laboratorio, basata sul software Open Source.
Per ulteriori informazioni seguite i link riportati sotto.
Link: Informazioni sul corso – Modulo per l’iscrizione – Locandina (pdf) - Programma (pdf)
