Webmail, certe riescono col buco aprile 1, 2009
Posted by datalogicommunication in Webmail.Tags: articoli, comunicazione, consigli, Hacker, informatica, mailing list, News, newsletter, Notizie, punto, punto-informatico, puntoinformatico, quotidiani, Virus
add a comment
Totale: 40 milioni. Tante erano, milione più milione meno, le caselle di posta esposte ad un attacco banale quanto efficace: in grado di duplicare ogni messaggio giunto in ciascuna casella infettata, in modo trasparente e 
pressoché indolore, ma non per questo meno pericoloso. Tutto a causa di un framework piuttosto comune, affetto da una vulnerabilità che si è rapidamente diffusa tra i provider di mezza Europa: segnalata dai due scopritori italiani all’azienda che lo produce, la falla è stata tappata in poche settimane.
Gli autori della scoperta sono Rosario Valotta e Matteo Carli, bug hunter per passione, già in passato artefici di scoperte simili: questa volta si parla di una doppia falla XSS (Cross site scripting) e CSRF (Cross site request forgery), che consentiva con un semplice clic di guadagnare l’accesso a tutta la corrispondenza della vittima. Una email appositamente creata spedita all’indirizzo bersaglio e il gioco era fatto: al malcapitato sarebbe bastato semplicemente aprirla, senza neppure dover cliccare alcunché, per ritrovarsi suo malgrado con tutta la sua corrispondenza esposta.
In pratica, nascosto nel codice – che Vallotta e Carli non hanno voluto divulgare – c’è un JavaScript opportunamente formulato per attivare all’insaputa dell’utente l’inoltro automatico della corrispondenza ad un’altra casella. Tutto quello che transita per l’inbox viene immediatamente girato in copia carbone (Cc) ad un altro account, scelto dall’attaccante: un’operazione del tutto trasparente all’utente, e difficile da scoprire visto che tipicamente questa opzione viene visualizzata al più durante le operazioni di prima configurazione dell’account e poi dimenticata
Più nel dettaglio, nonostante in fase di progettazione dell’applicazione fossero state adottate delle misure cautelative, ad esempio separando il dominio della Webmail da quello in cui vengono eseguiti i codici per l’apertura e la lettura dei messaggi, tramite un secondo XSS scovato su uno dei due domini era possibile recuperare il token della sessione in corso. A questo punto diveniva possibile lanciare script dal server remoto dell’attaccante con gli stessi privilegi di quelli del servizio in uso: modificare le impostazioni di inoltro automatico è questione di una riga di codice o poco più. Volendo, spiega l’advisory, sarebbe possibile anche creare un worm con cui automatizzare la procedura aumentandone esponenzialmente l’effetto nefasto.
Il paradosso, ci racconta Carli, è che la diffusione dello stesso framework tra più provider aveva distribuito il bug tra molte piattaforme: “Software comune – spiega a Punto Informatico – significa che le funzionalità si assomigliano un po’ tutte: ma poiché la società che sviluppa Memova, Critical Path, è essenzialmente un system integrator, spesso il servizio viene personalizzato in base alle richieste. In alcuni casi, per scelte commerciali del cliente le opzioni di inoltro automatico non erano neppure proposte tra le opzioni di configurazione: eppure la vulnerabilità era presente lo stesso, il codice funzionava perfettamente e per l’utente non c’era modo di accorgersi del problema anche per caso”.
Verificata l’effettiva portata del problema, e visto il parco clienti di Critical Path, i due si sono rivolti direttamente all’azienda per segnalare il bug: “Abbiamo contattato l’azienda circa un mese fa, spiegando che avevamo delle informazioni interessanti e che ci premeva condividerle con un responsabile di security – prosegue Carli – Nel giro di due ore ci hanno ricontattato e abbiamo organizzato una conference call in giornata. Gli abbiamo mostrato i possibili vettori di attacco, gli abbiamo dato tutti gli elementi per rendersi conto delle dimensioni del problema”.
La risposta a questo atto di buona volontà è stata incoraggiante: in meno di tre settimane Critical Path ha creato una patch e l’ha distribuita ai suoi clienti, notificando tutto ai due bug hunter. “Volendo guadagnarci avremmo potuto chiedere qualcosa in cambio a Critical Path: ma in questo campo sei sempre sul filo del rasoio, rischi di passare per ricattatore – chiarisce Vallotta – Ci sono anche i marketplace dove vendere queste vulnerabilità zero day: la nostra, fatte opportune valutazioni sul numero di email in gioco, sul mercato nero valeva qualcosa come 100mila dollari. Ma crediamo che la responsibly disclosure sia la cosa più sicura e corretta da fare”.
Quello che conta, secondo Vallotta, è aver attirato l’attenzione su un problema: “Le Webmail si stanno sviluppando in un contesto sempre più ricco di funzioni: chi le programma cerca di spingere su nuove capacità, spingendosi sempre più avanti. Ora c’è l’HTML – conclude – e l’utente è chiaramente contento perché fruisce di una esperienza migliore, basti pensare a quello che sta facendo Google con Gmail: ma da un altro punto di vista questa ricchezza ti espone ad una serie di problematiche di sicurezza, e se si decide di veicolare l’HTML (e quindi qualsiasi codice come il JavaScript) in una Webmail, occorre progettare adeguatamente e di pari passo un filtro capace di bloccare questo tipo di attacchi”.
Tre modi per accendere un PC a distanza marzo 28, 2009
Posted by datalogicommunication in Accendere un PC a distanza.Tags: .NET, Access, ActiveX, Aggiornamenti, aiuto, Alberto, amd, asp, asp.net, Avalon, azinformatica, Blogs, Books, c++, Codice Sorgente, COM, Community, comparative, computer, Database, delphi, DirectX, download, esempi, Excel, Feed, fifa, forum, Framework, Framework 2.0, gamecube, guida, guide, hardware, html, IIS, Indigo, informatica, intel, javascripts, Libri, Linguaggi, manuali, microsoft, mysql, News, Newsgroups, nintendo, Notizie, ODBC, Office, oracle, Outlook, pc, Pocket PC, Powerpoint, programmazione, psx, psx 2, recensioni, RSS, Script, Shop, software, Sondaggi, Source code, SQL Server, Sviluppo, Tips, Tricks, trucchi, tutorial, Tutorials, VB.NET, VBScript, Visual Basic, Visual Studio .NET, Visual Studio 2005, WCF, Web Services, Windows 2003, Windows Longhorn, Windows Server, windows vista, Word, WPF, x-box, XML, XSL, XSLT, Zilli
add a comment
Possono essere diverse le esigenze per cui è indispensabile accendere un PC a distanza.
L’operazione è possibile in vari modi: attraverso un comando inviato da remoto o mediante l’accensione automatica ad una certa data e ora.
Ecco 3 metodi diversi per raggiungere lo stesso scopo:
1. Impiegando la modalità WOL (Wake On Lan)
2. Utilizzando la funzione WOR (Wake On Ring)
3. Con il POWER ON BY ALARM (accensione programmata del BIOS)
L’accensione attraverso il sistema WOL richiede che il PC sia connesso in rete.
Con un programma particolare, che invia dei pacchetti speciali alla scheda di rete, possiamo comandare a nostro piacimento l’accensione, dovunque ci troviamo.
Per prima cosa attiviamo la funzione WOL nel menù del BIOS in modo da permettere alla scheda di rete di rimanere in ascolto.
Poi recuperiamo l’indirizzo MAC della scheda portandoci nella finestra del prompt dei comandi di Windows e digitando il comando seguente:
arp -a
Compariranno vari numeri IP e i corrispondenti MAC Address.
Noi prendiamo nota di quello relativo all’IP nel PC da comandare.
A questo punto attraverso un piccolo e semplice programmino, disponibile in calce al post, possiamo inviare il pacchetto di comando che accenderà il PC appena settato.
Basta compilare appena 2 campi: l’IP Broadcast Address con 255.255.255.255 e il Destination Ethernet Address con l’indirizzo MAC appuntato.
Premiamo Send e accendiamo il PC remoto.
Con la funzione WOR possiamo invece accendere il computer attraverso uno squillo telefonico.
Questa volta è il modem che, alla ricezione del segnale di squillo, attiva il PC.
Dobbiamo solo accedere al BIOS ed attivare la funzione Wake On Lan, impostando eventualmente il numero di squilli necessari per attivare il PC.
Il POWER ON BY ALARM infine provvede all’attivazione automatica del computer alla data e ora programmata.
Anche quì si imposta tutto dal BIOS.
L’automatismo dell’accensione prevede anche operazioni cicliche quotidiane, settimanali e mensili.
Creare una favicon.ico per il vostro sito con Photoshop marzo 21, 2009
Posted by datalogicommunication in Creare un Favicon.ico.Tags: blog, Creare una favicon.ico per il vostro sito con Photoshop, curiosita, follie, Hacker, internet, News, notizie nel mondo del web, Orebla, PHP guide, PHP script, posizionamento motori di ricerca, Programmi gratuiti, Risorse per cellulari, seo, serp, stranezze, tecnologia, tendenze, web, webwards, webwards.net tendenze
add a comment
Vi sarete accorti come in, oramai, tutti i siti sono presenti quelle piccole immagini a lato dell’indirizzo web lo identifica.
Per creare questa piccola immagine possiamo utilizzare uno dei tanti programmi presenti sul web, oppure se già disponiamo di Photoshop o Photoshop Elements lo potremmo creare con questo software.
Ecco gli strumenti di cui abbiamo bisogno:
1. Il software Photoshop o Photoshop Elements (software a pagamento)
2. Windows Icon (ICO) file format Photoshop plugin (scaricabile gratuitamente)
3. Il Blocco note oppure un editor HTML
Dove possiamo recuperarli:
1. Photoshop dal sito della Adobe –> Adobe Photoshop
2. Il Plugin lo troviamo gratuitamente qui –> http://www.telegraphics.com.au/sw/
3. Il Blocco note lo troviamo in tutte le versioni di Windows: Start–> Tutti i programmi –> Accessori (Win XP), Start –> Programma –> Accessori (Win 98/2K).
Ora installiamo il Plug-in scaricato per Photoshop, il file dovrebbe avere un nome simile a questo: icoformat-win-1.6f2.zip. Unzippiamo il file compresso, al suo interno troveremo tre file: COPYING, README.txt e icoformat.8bi.
Il file che ci interessa di più di tutti è l’ultimo quello con estensione .8bi, se volete sopratutto se sapete l’inglese potete leggere il file README.txt dove sono presenti le istruzioni, se no ve le dico io.
Andate in Risorse del Computer –> Programmi –> Adobe –> Photoshop –> PLUG-IN –> Formati di file (quest’ultimo è la cartella dove dovremo trascinare il file icoformat.8bi. Seguite gli step delle immagini se non avete capito:
Ora possiamo che abbiamo installato il nostro Plug-In se abbiamo Photoshop aperto lo chiudiamo poi lo riavviamo e le modifiche saranno apportate.
Per prima cosa creiamo la nostra immagine, vi ricordo che la grandezza finale dell’immagine favicon.ico deve essere OBBLIGATORIAMENTE 16 pixel X 16 pixel. Quindi per lavorare al meglio possiamo creare un’immagine più grande ma per non perdere qualità dell’immagine facciamo in modo che le dimensioni siano multipli di 16, esempio 64 X 64.
A questo punto creiamo la nostra immagine, ricordiamoci sempre di rispettare le dimensioni 16 X 16. Ora facciamo clic nella barra del 
menu su FILE –> SALVA CON NOME. (come da figura)
A questo punto selezionate dal menù a discesa del Formato ICO (Windows Icon) (*.ico) e dategli il nome favicon. (come da figura)
Ecco ora che abbiamo il nostro file, che possiamo inserire nella pagine web attraverso il TAG HTML seguente:
<link rel=”SHORTCUT ICON” href=”/favicon.ico”>
