Eravami rimasti al gravissimo fatto del dirottamento degli IP di ThePirateBay su un sito facente capo all’industria discografica, fatto di per sè già gravissima e di cui hanno parlato in moltissimi tra cui Minotti qui e Mantellini qui, facendo notare come sia pericoloso dare i dati di navigazione ad una parte terza estera che li usa prevalentemente per denunciare.

Ma non basta. Già, perchè il reindirizzamento dei DNS all’IP incriminato, soluzione adottata tra gli altri anche da Fastweb, consente alla FMI di leggere e manipolare i cookie degli utenti.
E cosa ci importa, direte voi? Semplice, manipolando i coolie è possibile, in taluni casi, impersonare l’utente e “loggarsi” nel sito a suo nome.

Se vi dicessi che in questo momento i discografici potrebbero, ad oggi, aver manipolato il sito per loggarsi potenzialmente a vostro nome? E per vedere i vostri Torrent condivisi? E postare a vostro nome?

E’ possibile usare queste tecniche anche anche per ThePirateBay? Sì, qui sotto la dimostrazione, effettuata con un Safari che naviga da Fastweb ed un Firefox che naviga via tunnel SSH:

Che dire?
Sicuramente che le vostre credenziali sono in pericolo e che sarebbe buona cosa che questa ridicola situazione finisse.

Scrivete al Garante, scrivete a Mancuso segnalando la cosa, scrivetene anche solo in giro e fate girare il vodeo, insomma, diffondete la voce.

Che cosa possono fare ora quelli di FMI se il cookie è ancora valido? Tra le altre cose:

• Vedere il vostro Username
• Sostituire le Password
• Visualizzare l’elenco dei vostri Torrent
• Visualizzare i torrent che voi avete condiviso
• Postare nei commenti in TPB a vostro nome

Mi sembra motivo sufficiente per inalberarsi, non credete?
Soprattutto se pensate che la legge utilizzata per attuare questa censura preventiva in teoria è nata solamente ai fini di contrasto della PedoPornografia!

C’è veramente di che vergognarsi stavolta.

P.S. Le “tecniche” utilizzate nel video sono prese dal Manuale di Paperino per l’Hacking da Comodino ;)

P.S.S. Non è che dovete PROPRIO hijackare la MIA sessione, eh!?!? :) Qualcuno posta a mio nome in giro… Please, don’t. :)

Technorati Tags: password, furto, thepiratebay, pericolo, credenziali, hacking, passowrd

photo credit: chrismetcalf

Giusto la mattinata (e mi sa tanto il pomeriggio) per finire una forensics in GDF e si parte per HAT2008.

Cos’è HAT? Un meeting di gente acara ad invito, che si terrà in una località {foo} all’ora {bar} per {foobar} giorni.
Ma lasciamo la spiegazione ad Antani Tapioco (attenzione, NSFW):

Cosa è HAT [^up]
Hai presente non fare un cazzo per un paio di giorni, prendere il sole mangiando qualche schifezza colante grasso preparata da {foobar} col portatile sulle ginocchia, parlare con altri smanettoni finche’ cerchi di navigare usando la rete wifi Tor-rizzata lentissima?
Bene se a questo aggiungi LULZ, f4n, musica elettronica proprio quando ti stavi addormentando, un batsegnale a forma di goatse e dormire per terra nel sacco a pelo, stai iniziando a visualizzare le comodita’ che ti aspettano ad HAT.
Ci sara’ anche una (sola) traccia “programmata” cosi’ da permettere a chi vuole farsi gli affari propri di non fare la figura del talebano (giustamente se non te ne frega una supercippa come forzarti?!?).
Sicuramente ci sara’ il CTF lamero ma divertente e i giochini “Find tha bug” e HackerJeopardy che ti daranno accesso a tanti punti premio “Scarpata nel culo”.
A parte un piccolo contributo “alla romana” per il cibo e le spese antaniche ti chiediamo solo di portare la tua brutta faccia, zainetto, portatile, /home, etc e tanta voglia di avventura!(*)

(*) Tranquillo mi chiedo anche io da dove mi escano certe cose.
HAT in definitiva e’ tutto questo tolto tutto quello! Come puoi mancare minchionazzo?

E, ovviamente, come posso mancare, minchionazzo? :)

A Lunedì!

Technorati Tags: hacking, meeting, ccc, hat, hat2008

photo credit: The Rocketeer

Vi ricordate, vero, che domani c’è Lunix e la Sicurezza personale III?
E che parlo di Wordpress Security? :)

Se qualcuno parte da Milano e vuole fare la strada con me io sono sul treno delle** 8.04, carrozza 7, posto 106**…

A domani!

Technorati Tags: Wordpress, sicurezza, linux, voip, wireless, hacking

Non so a voi, ma a me che abito a Milano questa immagine fa venire in mente tantissimi giochini interessanti…. :)
L’ho rubata qui.

Technorati Tags: hacking, SQL injection, milano, telecamere

Aeroporto di Bari.
Passo il check-in e mi siedo ad attendere il mio volo, quello che mi porterà da Trani a Milano di nuovo, dopo il convegno.
A fianco a me un desk Windows2000 (non chiedetemi come faccio a saperlo) senza tastiera che da connessione ad una sorta di intranet e dietro a questo un breve sguardo al muro rivela questa piccola chicca che la fotografia mostra…

Non vi dico quanto prudono le mani…
Non avessi dovuto scrivere l’articolo…

Technorati Tags: presa di rete, libera, aeroporto, insicurezza, hacking, aeroporto, bari

Su RepubblicaTV di oggi un filmato interessantissimo su un problema di E-Bay noto da qulche tempo alle Forze dell’ordine che consente al proponente un’asta di recuperare i dati dell’account di un bidder.

Ma se controlliamo più attentamente il censore di RepubblicaTV che si è premurato di schermare nomi utenti etc si è dimenticato un piccolo dettaglio:

Oooops…
Sembra che il signor DarkPhiber sia la persona in questione, di cui possiamo vedere la pagina di dettagli ed anche i vari feedback.

Ah, inoltre il problema è stato segnalato nel Settembre del 2007 pubblicamente da Heise, quindi tutt’altro che qualcosa di nuovo e di scottante, sembrerebbe…
Inoltre il software utilizzato e le presentazioni sono già vecchie di 6 mesi e per confermarlo bastano gli screenshot di Falle-Internet. in pratica si tratta dell’utilizzo delle API di E-Bay in modo regolare ma probabilmente non pensato da chi le ha scritte in primo luogo… Nulla di particolare, quindi, se non un utilizzo brillante dei tool messi a disposizione da E-Bay stesso…

Tra altro la persona di Heise Security dietro quell’account, simpatico, gentile e meravigliato, era addirittura ignaro del fatto che il filmato fosse stato rilasciato alla televisione italiana e ha detto che l’unica dimostrazione che hanno fatto è stata fatta per una televisione TEDESCA…
A questo punto non capisco proprio se il video è stato creato utilizzando una parte di immagini di archivio e una parte di immagini reali (mariorossi & co) oppure cos’altro….

Valli a capire questi di Repubblica…

Mah…

Technorati Tags: hacking, ebay, RepubblicaTV, truffe, unmasking