Captcha e recaptcha: come fare di necessità virtù maggio 11, 2009
Posted by datalogicommunication in Internet - Indicizzazione.Tags: blog, Fotocamere Digitali, Informazioni, Lettori MP3, Notizie, Videocamere
add a comment
Innanzitutto, che cos’è un captcha e a che cosa serve? E’ quella parola “cammuffata” e senza senso che siamo obbligati a trascrivere correttamente, per esempio, per inoltrare un commento su un blog o su un forum di 
discussione. Il termine è stato coniato alla Carnegie Mellon University ed è un acronimo di “test di Touring pubblico e completamente automatico per distinguere computer e umani“: fu Alan Turing il primo ad esprimere la necessità di riconoscere la risposta di un essere umano da quella di un computer. Il captcha serve, appunto, per dimostrare che siamo un essere umano e non una macchina. Nel caso appunto dei blog e dei forum, esistono programmi che individuano i campi di commento e inviano grandi quantità di spam a centinaia di siti diversi. Serve dunque a porre un limite fisico: i computer non sono in grado di decifrare un captcha, il cervello umano sì. Sempre alla Carnegie Mellon University, è stato calcolato che ogni giorno scriviamo circa 60 milioni di queste parole senza senso, più o meno il contenuto di due enciclopedie. Allora, hanno inventato il recaptcha. Come vi ho scritto nel titolo, “fare di necessità virtù“: invece di digitare parole prive di senso, con questo progetto si potrà contribuire “all’archiviazione digitale di tutti i libri e documenti che la nostra cultura ha prodotto prima dell’era digitale, a mano o in stampa“. Recaptcha ci chiederà di trascrivere parole di testi che sono stati scannerizzati e che il computer non è in grado di decifrare e potremmo così contribuire alla digitalizzazione del sapere universale per i posteri. “Uomini o macchine che siano, i posteri” conclude Luca Sofri. Ottimo spunto di riflessione. Fatevi avanti: il progetto è ambizioso e di notevole spessore. Potremmo diventare “gli amanuensi” dell’età digitale.
Webmail, certe riescono col buco aprile 1, 2009
Posted by datalogicommunication in Webmail.Tags: articoli, comunicazione, consigli, Hacker, informatica, mailing list, News, newsletter, Notizie, punto, punto-informatico, puntoinformatico, quotidiani, Virus
add a comment
Totale: 40 milioni. Tante erano, milione più milione meno, le caselle di posta esposte ad un attacco banale quanto efficace: in grado di duplicare ogni messaggio giunto in ciascuna casella infettata, in modo trasparente e 
pressoché indolore, ma non per questo meno pericoloso. Tutto a causa di un framework piuttosto comune, affetto da una vulnerabilità che si è rapidamente diffusa tra i provider di mezza Europa: segnalata dai due scopritori italiani all’azienda che lo produce, la falla è stata tappata in poche settimane.
Gli autori della scoperta sono Rosario Valotta e Matteo Carli, bug hunter per passione, già in passato artefici di scoperte simili: questa volta si parla di una doppia falla XSS (Cross site scripting) e CSRF (Cross site request forgery), che consentiva con un semplice clic di guadagnare l’accesso a tutta la corrispondenza della vittima. Una email appositamente creata spedita all’indirizzo bersaglio e il gioco era fatto: al malcapitato sarebbe bastato semplicemente aprirla, senza neppure dover cliccare alcunché, per ritrovarsi suo malgrado con tutta la sua corrispondenza esposta.
In pratica, nascosto nel codice – che Vallotta e Carli non hanno voluto divulgare – c’è un JavaScript opportunamente formulato per attivare all’insaputa dell’utente l’inoltro automatico della corrispondenza ad un’altra casella. Tutto quello che transita per l’inbox viene immediatamente girato in copia carbone (Cc) ad un altro account, scelto dall’attaccante: un’operazione del tutto trasparente all’utente, e difficile da scoprire visto che tipicamente questa opzione viene visualizzata al più durante le operazioni di prima configurazione dell’account e poi dimenticata
Più nel dettaglio, nonostante in fase di progettazione dell’applicazione fossero state adottate delle misure cautelative, ad esempio separando il dominio della Webmail da quello in cui vengono eseguiti i codici per l’apertura e la lettura dei messaggi, tramite un secondo XSS scovato su uno dei due domini era possibile recuperare il token della sessione in corso. A questo punto diveniva possibile lanciare script dal server remoto dell’attaccante con gli stessi privilegi di quelli del servizio in uso: modificare le impostazioni di inoltro automatico è questione di una riga di codice o poco più. Volendo, spiega l’advisory, sarebbe possibile anche creare un worm con cui automatizzare la procedura aumentandone esponenzialmente l’effetto nefasto.
Il paradosso, ci racconta Carli, è che la diffusione dello stesso framework tra più provider aveva distribuito il bug tra molte piattaforme: “Software comune – spiega a Punto Informatico – significa che le funzionalità si assomigliano un po’ tutte: ma poiché la società che sviluppa Memova, Critical Path, è essenzialmente un system integrator, spesso il servizio viene personalizzato in base alle richieste. In alcuni casi, per scelte commerciali del cliente le opzioni di inoltro automatico non erano neppure proposte tra le opzioni di configurazione: eppure la vulnerabilità era presente lo stesso, il codice funzionava perfettamente e per l’utente non c’era modo di accorgersi del problema anche per caso”.
Verificata l’effettiva portata del problema, e visto il parco clienti di Critical Path, i due si sono rivolti direttamente all’azienda per segnalare il bug: “Abbiamo contattato l’azienda circa un mese fa, spiegando che avevamo delle informazioni interessanti e che ci premeva condividerle con un responsabile di security – prosegue Carli – Nel giro di due ore ci hanno ricontattato e abbiamo organizzato una conference call in giornata. Gli abbiamo mostrato i possibili vettori di attacco, gli abbiamo dato tutti gli elementi per rendersi conto delle dimensioni del problema”.
La risposta a questo atto di buona volontà è stata incoraggiante: in meno di tre settimane Critical Path ha creato una patch e l’ha distribuita ai suoi clienti, notificando tutto ai due bug hunter. “Volendo guadagnarci avremmo potuto chiedere qualcosa in cambio a Critical Path: ma in questo campo sei sempre sul filo del rasoio, rischi di passare per ricattatore – chiarisce Vallotta – Ci sono anche i marketplace dove vendere queste vulnerabilità zero day: la nostra, fatte opportune valutazioni sul numero di email in gioco, sul mercato nero valeva qualcosa come 100mila dollari. Ma crediamo che la responsibly disclosure sia la cosa più sicura e corretta da fare”.
Quello che conta, secondo Vallotta, è aver attirato l’attenzione su un problema: “Le Webmail si stanno sviluppando in un contesto sempre più ricco di funzioni: chi le programma cerca di spingere su nuove capacità, spingendosi sempre più avanti. Ora c’è l’HTML – conclude – e l’utente è chiaramente contento perché fruisce di una esperienza migliore, basti pensare a quello che sta facendo Google con Gmail: ma da un altro punto di vista questa ricchezza ti espone ad una serie di problematiche di sicurezza, e se si decide di veicolare l’HTML (e quindi qualsiasi codice come il JavaScript) in una Webmail, occorre progettare adeguatamente e di pari passo un filtro capace di bloccare questo tipo di attacchi”.
Tre modi per accendere un PC a distanza marzo 28, 2009
Posted by datalogicommunication in Accendere un PC a distanza.Tags: .NET, Access, ActiveX, Aggiornamenti, aiuto, Alberto, amd, asp, asp.net, Avalon, azinformatica, Blogs, Books, c++, Codice Sorgente, COM, Community, comparative, computer, Database, delphi, DirectX, download, esempi, Excel, Feed, fifa, forum, Framework, Framework 2.0, gamecube, guida, guide, hardware, html, IIS, Indigo, informatica, intel, javascripts, Libri, Linguaggi, manuali, microsoft, mysql, News, Newsgroups, nintendo, Notizie, ODBC, Office, oracle, Outlook, pc, Pocket PC, Powerpoint, programmazione, psx, psx 2, recensioni, RSS, Script, Shop, software, Sondaggi, Source code, SQL Server, Sviluppo, Tips, Tricks, trucchi, tutorial, Tutorials, VB.NET, VBScript, Visual Basic, Visual Studio .NET, Visual Studio 2005, WCF, Web Services, Windows 2003, Windows Longhorn, Windows Server, windows vista, Word, WPF, x-box, XML, XSL, XSLT, Zilli
add a comment
Possono essere diverse le esigenze per cui è indispensabile accendere un PC a distanza.
L’operazione è possibile in vari modi: attraverso un comando inviato da remoto o mediante l’accensione automatica ad una certa data e ora.
Ecco 3 metodi diversi per raggiungere lo stesso scopo:
1. Impiegando la modalità WOL (Wake On Lan)
2. Utilizzando la funzione WOR (Wake On Ring)
3. Con il POWER ON BY ALARM (accensione programmata del BIOS)
L’accensione attraverso il sistema WOL richiede che il PC sia connesso in rete.
Con un programma particolare, che invia dei pacchetti speciali alla scheda di rete, possiamo comandare a nostro piacimento l’accensione, dovunque ci troviamo.
Per prima cosa attiviamo la funzione WOL nel menù del BIOS in modo da permettere alla scheda di rete di rimanere in ascolto.
Poi recuperiamo l’indirizzo MAC della scheda portandoci nella finestra del prompt dei comandi di Windows e digitando il comando seguente:
arp -a
Compariranno vari numeri IP e i corrispondenti MAC Address.
Noi prendiamo nota di quello relativo all’IP nel PC da comandare.
A questo punto attraverso un piccolo e semplice programmino, disponibile in calce al post, possiamo inviare il pacchetto di comando che accenderà il PC appena settato.
Basta compilare appena 2 campi: l’IP Broadcast Address con 255.255.255.255 e il Destination Ethernet Address con l’indirizzo MAC appuntato.
Premiamo Send e accendiamo il PC remoto.
Con la funzione WOR possiamo invece accendere il computer attraverso uno squillo telefonico.
Questa volta è il modem che, alla ricezione del segnale di squillo, attiva il PC.
Dobbiamo solo accedere al BIOS ed attivare la funzione Wake On Lan, impostando eventualmente il numero di squilli necessari per attivare il PC.
Il POWER ON BY ALARM infine provvede all’attivazione automatica del computer alla data e ora programmata.
Anche quì si imposta tutto dal BIOS.
L’automatismo dell’accensione prevede anche operazioni cicliche quotidiane, settimanali e mensili.
