Ho da poco terminato di leggere il libro "L'arte dell'inganno" scritto da Kevin Mitnick, il più famoso Hacker del mondo. Il libro è un vero e proprio vademecum di tutte le tecniche di Social Engineering utilizzabili per reprerire informazioni riservate.

Per Social Engineering si intende lo studio dei comportamenti di una persona (vittima) al fine di individuare il miglior metodo per farsi comunicare l'informazione riservata di cui si ha bisogno.

Nel libro Mitnick elenca molti esempi di metodi che han consentito (e consentono) di far leva nelle persone al fine di farsi comunicare password o informazioni preziose per poter poi accedere ed effettuare attacchi verso un dato sistema informatico. Si va dal fingersi un collega al fine di far abbassare la "diffidenza" nella vittima a vere e proprie tecniche di manipolazione che possono portare a far eseguire l'attacco alla vittima stessa. Ovviamente senza che quest'ultima dubiti minimamente del suo interlocutore (colui che attacca).

Copertina "L'arte dell'inganno"

Per ogni capitolo vengono citati diversi esempi e poi analizzati sotto più punti di vista. Da una parte viene spiegato come è stato possibile l'attacco, su quali "tasti" ha agito e, soprattutto, quale falla lo ha consentito. Dall'altra, invece, viene analizzato il sistema "vittima" per portarne alla luce i problemi e le possibili soluzioni.

Il fine del libro è quello di mettere in risalto le vulnerabilità di qualsiasi sistema quando vi è un fattore ben preciso, quello "umano".

Riassumere in un post tutte le nozioni che si apprendono è quasi impossibile e, quindi, vi invito a leggerlo e, soprattutto, a farlo leggere ai vostri Amministratori di Rete&Co. che potrebbero trovare spunti per fixare problemi di Sicurezza che neanche pensavano di avere.

Ho intrapreso ora la lettura del libro successivo dal titolo "L'arte dell'intrusione" e, non appena finito, provvederò a farne una breve recensione.

Per chi non volesse spendere soldi eccovi di seguito i link a Google Libri per leggerli direttamente on line:

L'arte dell'inganno - K. Mitnick

L'arte dell'intrusione - K. Mitnick

Buona lettura

Da qualche tempo i maggiori Motori di Ricerca ossia Google, Yahoo e Microsoft hanno trovato un accordo per stabilire alcune misure per evitare la presenza di contenuti duplicati.

E' stato introdotto il tag "canonical" che consente di indicare agli Spiders dei Motori di Ricerca quale url indicizzare in presenza di contenuti doppi.

Per esempio, chi possiede un sito che è funzionante e raggiungibile sia indicando l'url:

http://www.nomedominio.com

sia usando

http://nomedominio.com

potrà evitare che la stessa pagina venga indicizzata in ambo due le forme.

Il codice da inserire all'interno delle pagine è il seguente:

<link rel="canonical" href="http://www.web.com/site.php?item=fish" />

Nel video seguente (in lingua inglese) potrete ascoltare Matt Cutts di Google intervistato circa il "canonical-tag".

Sono stati già sviluppati appositi Plugins per i Cms più diffusi. Eccovi di seguito i link al download dei pacchetti:

WordPress - Canonical Tag Plugin

Magento - Canonical Tag Plugin

Drupal - Canonical Tag Plugin

Joomla - Canonical Tag Plugin

Questo, invece, è l'articolo ufficiale del Webmaster Central Blog dove viene fornita una descrizione riguardo l'uso di questo nuovo tag.

Anche in questa occasione ciò che pubblico non è una vera e propria Fix ma un modo "rudimentale" per aggirare il problema e garantire il funzionamento dell'applicativo.

In questo caso parliamo del componente "Virtuemart" di Joomla che consente di trasformare il Cms in un negozio on line. In alcuni Hosting a causa della configurazione del "Timeout CGI" impostato in Apache possono verificarsi errori "500 Internal Server Error" in occasione dell'aggiunta di nuove immagini per un prodotto.

Questo perché quando si carica l'interfaccia di upload il Virtuemart esegue un check su tutti i file e cartelle della cartella predefinita delle immagini. Se, quindi, sono presenti numerosi file lo script non riesce a terminare in tempo la verifica di ogni singolo file andando in errore di "Timeout CGI".

Nel mio attuale Hosting tale Timeout è impostato a 60 secondi e, quindi, ho provveduto ad editare direttamente il codice sorgente del Virtuemart per fare in modo che non esegua tale verifica indipendentemente da quanti file son presenti nella cartella predefinita.

Per fare ciò è necessario aprire il file "product.file_form.php" presente nella path:

<root_di_Joomla>/administrator/components/com_virtuemart/html/

e successivamente posizionarsi alla Riga 105 che apparirà come segue:

$downloadRootFiles = vmReadDirectory(DOWNLOADROOT, '.', true);

e modificarla variando il parametro da "true" a "false" come di seguito:

$downloadRootFiles = vmReadDirectory(DOWNLOADROOT, '.', false);

In questo modo il problema dell'error "500 Internal Server Error" in fase di upload dei file sarà risolto.

Tengo a precisare che la versione del Virtuemart su cui ho eseguito tali modifiche è la 1.1.3.

Resto a disposizione per qualsiasi chiarimento o qualora dopo tali modifiche si riscontrino altri generi di problematiche.

[11/03/2009 - 00.40] AGGIORNAMENTO #1: Ho fatto delle verifiche per validare il perché di tale modifica e vi riporto direttamente il codice dell'intera funzione "vmReadDirectory" presa dal file originale "ps_main.php":

/**
* Utility function to read the files in a directory
* @param string The file system path
* @param string A filter for the names
* @param boolean Recurse search into sub-directories
* @param boolean True if to prepend the full path to the file name
*/
function vmReadDirectory( $path, $filter='.', $recurse=false, $fullpath=false  ) {
	$arr = array();
	if (!@is_dir( $path )) {
		return $arr;
	}
	$handle = opendir( $path );
 
	while ($file = readdir($handle)) {
		$dir = vmPathName( $path.'/'.$file, false );
		$isDir = is_dir( $dir );
		if (($file != ".") && ($file != "..")) {
			if (preg_match( "/$filter/", $file )) {
				if ($fullpath) {
					$arr[] = trim( vmPathName( $path.'/'.$file, false ) );
				} else {
					$arr[] = trim( $file );
				}
			}
			if ($recurse && $isDir) {
				$arr2 = vmReadDirectory( $dir, $filter, $recurse, $fullpath );
				$arr = array_merge( $arr, $arr2 );
			}
		}
	}
	closedir($handle);
	asort($arr);
	return $arr;
}

Come spiegato nei commenti della funzione stessa l'impostare su "false" il 3° parametro disabilita la ricorsione evitando che il check dei file venga effettuato anche nelle sottocartelle generando l'errore di Timeout (Timeout CGI = 60 sec; max_execution_time = 120).

Dalle 11,30 circa di oggi il Servizio Gmail di Google è giù mostrando un'errore "502 - Bad Gateway" come nella figura sottostante.

Gmail - 502 Bad Gateway

Possibile che un colosso come Google (che ha tutta la mia stima) lasci down per quasi 2 ore un Servizio come Gmail che a livello di utilizzo viene subito dopo il motore di ricerca??

Un'altro errore umano?

AGGIORNAMENTO #1: Dopo 2 ore di down alle 13,30 è tornato correttamente funzionante il Servizio Gmail.

AGGIORNAMENTO #2: Per ora non ci sono ancora spiegazioni ufficiali. Nella pagina di supporto di Gmail vi è il seguente avviso:

We're aware of a problem with Gmail affecting a number of users. This problem occurred at approximately 1.30AM Pacific Time. We're working hard to resolve this problem and will post updates as we have them. We apologize for any inconvenience that this has caused.

AGGIORNAMENTO #3: [24/2/2009 - 15.02] - Ulteriore aggiornamento dell'avviso agli utenti:

Many of our users had difficulty accessing Gmail today. The problem is now resolved and users have had access restored. We know how important Gmail is to our users, so we take issues like this very seriously, and we apologize for the inconvenience.

Ricollegandomi all'articolo sui plugin utili di Firefox segnalo questo altro addons sviluppato da Chris Pederick, lo stesso sviluppatore del tool WebDeveloper.

Come suggerisce il nome l'User Agent Switcher è un comodo strumento che consente di selezionare da una lista la User Agent che vogliamo utilizzare per navigare un sito. Tale parametro riporta alcune informazioni circa il nostro Browser, il Sistema Operativo e la presenza di altri software permettendo così di effettuare statistiche e controlli sulla provenienza del visitatore. Per maggiori informazioni consiglio di consultare Wikipedia.

Avendo la possibilità di cambiare tale parametro, in pratica, si può apparire agli "occhi" di un Server come un altro sistema.

Ma cosa ci guadagno?

I noti motori di ricerca utilizzano dei Bot con User-Agent personalizzate per scansionare e indicizzare automaticamente le pagine dei siti. La User-Agent di un Bot di Google, per esempio, appare così:

Googlebot/2.1 (+http://www.google.com/bot.html)

Alcuni Webmaster per garantire l'indicizzazione dei siti configurano il file "robot.txt" consentendo ai Crawler dei motori di ricerca di accedere a pagine che per un "normale utente" richiedono l'iscrizione o altre formule di accesso.

Sfruttando la possibilità di cambiare tale stringa e fingersi un Bot di Google, per esempio, si potrà accedere a tali aree semplicemente scegliendo dal menu dell'"User Agent Switcher" chi vogliamo essere, una sorta di "documenti falsi" pronti per l'evenienza.

Il plugin lo potete scaricare a questo link.

La lista di tutte le User-Agent, invece, la potete scaricare da qui.

Una volta installato seguite il percorso:

Strumenti -> Componenti Aggiuntivi -> User Agent Switcher

nella finestra che apparirà selezionate "User Agents" dal menu di sinistra e poi "Import".

A questo punto selezionate il file "useragentswitcher.xml" come nella figura seguente.

Import della lista Xml

Ora avrete la possibilità di apparire chi volete essere e, magari, di accedere e visualizzare informazioni di siti che, teoricamente, non dovreste vedere

In questo articolo vi presenterò 5 utili Addons di Firefox che possono tornare utili in diverse situazioni e, in particolar modo, quando si vogliono testare vulnerabilità e similari di un applicativo web.

I plugins di cui parlerò sono i seguenti:

• Web Developer Bar
• Xss Me
• Sql Inject Me
• HackBar
• Tamper Data

Questi 5 plugin torneranno molto utili quando proveremo ad effettuare le nostre prime analisi di sicurezza in quanto permettono di analizzare diversi aspetti di un sito web. Va detto che non sono programmi  "per bucare" ma semplicemente dei test i cui risultati, se si hanno le giuste conoscenze, possono aiutare ad individuare falle o vulnerabilità in un dato sito.

Eccovi un'altra guida per disabilitare l'aggiornamento automatico di "Google Talk".

1. Chiudere "Google Talk"
2. Aprire il Registro di Sistema utilizzando "regedit.exe"
3. Posizionarsi nel percorso:
   \HKEY_CURRENT_USER\Software\Google\Google Talk\Autoupdate
4. Cambiare il valore della chiave "UpdateURL" lasciandolo vuoto

Fine, a questo punto potrete riavviare GoogleTalk.

Logo Google Talk

Riprendendo la guida su come disabilitare il GoogleUpdater descritta nell'articolo "Disabilitare Google Updater" pubblico qui una 2a versione/guida.

Ecco le operazioni da seguire:

1. Lanciate una ricerca su tutti i vostri Drive mettendo come chiave di ricerca "googleupd*";
2. A seconda del Sistema Operativo verranno trovati alcuni file. Solitamente sono:
   - Google Update - nelle Operazioni Pianificate
   - Googleupdate.exe - Applicazione nelle cartelle dei software Google installati sul Pc
   - GoogleUpdateHelper.msi - Pacchetto di installazione
3. A questo punto andate nelle Operazioni Pianficate seguendo il percorso
   Start -> Programmi -> Accessori -> Utilità di Sistema -> Operazioni Pianificate
4. Eliminate  processi schedulati di "Google Update"
5. Ora aprite il Registro di Sistema e posizionatevi in:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
6. Eliminate la chiave di registro chiamata "Google Update"
7. Chiudete il Registro di Sistema e riavviate il PC.

Verso la fine del 2008 e l'inzio del 2009 questa nostra classe politica ha convertito in Legge (Legge n.2 del 2009) il Decreto Legge (n.185 del 2008) rendendo obbligatorio l'uso della Posta Certificata (o PEC) per:

• Professionisti iscritti in albi ed elenchi istituiti con legge dello stato che dovranno gestire le comunicazioni con la Camera di Commercio ed enti pubblici attraverso la posta elettronica certificata. Tale strumento inoltre potrà essere utilizzato anche in alternativa alla vecchia raccomandata postale, ottimizzando così tempi, evitando code agli sportelli;
• Aziende che dovranno dotarsi di un indirizzo di posta certificata da indicare già al momento della domanda di inscrizione al registro delle imprese. La posta elettronica certificata potrà essere utilizzata in sostituzione della posta cartacea, ottimizzando le comunicazioni formali con clienti, partner e fornitori;
• Enti della Pubblica Amministrazione che desiderano inviare comunicazioni ufficiali verso le altre PA oppure verso i cittadini, con conseguente risparmio in termini di tempi e costi.

Anche i Privati, se vogliono, possono acquistare tale Servizio e sinceramente mi auguro che in futuro sarà necessaria per ogni cittadino italiano.

Di cosa si tratta?

La Posta Certificata a livello di utilizzo non differisce da una normale casella di posta ma fondalmente ha 2 vantaggi:

1. le comunicazioni effettuate hanno valore legale (DPR n.68 dell'11/2/2005) e le consegne sono certificate. E' facile intuire, quindi, che può sostituire le "famose" Raccomandate A/R che attualmente sembrano essere l'unico mezzo per rendere "ufficiale/legale" una comunicazione via posta (Certificati Medici all'INPS e al Dataore di Lavoro, Invio di Fatture, etc);
2. permette di inviare/ricevere con un elevato livello di sicurezza e con dei livelli di servizio garantiti un documento informatico dato che le comunicazioni possono avvenire solo tra caselle PEC eliminando, quindi, il fastidioso problema dello spam.

Certificata

Come detto in precedenza tutte le comunicazioni effettuate tramite tale casella PEC sono certificate poiché il gestore del Servizio (che dovrà essere registrato presso il CNIPA -Centro Nazionale per Informatica nella Pubblica Amministrazione) è tenuto ad comunicare tutte le fasi dall'invio alla ricezione tramite certificati che hanno valore legale. Il possessore di una casella di Posta Certificata, quindi, avrà la garanzia al 100% che il suo messaggio è stato ricevuto dal destinatario ricevendo 3 certificati per ogni cambio di stato che il suo messaggio ha avuto.

I Certificati sono i seguenti:

• di accettazione - che attesta l'avvenuto invio della mail dal gestore di posta elettronica certificata del mittente;
• di presa in carico - che attesta il passaggio di responsabilità tra due distinti gestori di posta certificata, mittente e destinatario. Questa ricevuta viene scambiata tra i due gestori e non viene percepita dagli utilizzatori del servizio;
• di avvenuta consegna - che attesta che il messaggio è giunto a buon fine e che il destinatario ne ha piena disponibilità nella sua casella (anche se non ha ancora visto il messaggio).

Qualora si dovessero ricontrare problemi, invece, si riceverrano 3 certificati:

• di non accettazione - per utilizzo di un mittente falso, utilizzo di destinatari in copia nascosta (vietati dalla PEC) o per problemi di altro genere;
• di mancata consegna - il mittente la riceverà entro 24 ore;
• di rilevazione di virus informatici - per la presenza di virus informatici.

Sicurezza

La sicurezza oltre ad essere garantita dal fatto che le comunicazioni possono avvenire solo tra caselle PEC (quindi sottoposte ai divieti di virus, mittente falso, etc) utilizzano solo ed eslusivamente protocolli di comunicazione sicuri:

• POP3s
• SMTPs
• IMAPs
• HTTPs

Risparmio

Un altro grosso vantaggio dell'avere una casella PEC è il risparmio sia economico che in termini di tempo.

Dal punto di vista economico le soluzioni offerte dalle varie aziende del settore risultano essere vantaggiose in quanto il costo parte dai circa 5 € ai 20 € o più annui. La differenza di prezzo, va detto, è dettata praticamente dalla quantità di spazio della casella che solitamente è di 1 GB. Se facciamo dei conti pensando che una Raccomandata A/R costa 3,70€ è facile capire quanto risparmio ci sia.

In termini di tempo, invece, il vantaggio è dettato da tutto il tempo che solitamente si perde in lunghissime file negli Uffici Postali.

Facendo un esempio personale immagino la situazione in cui sono ammalato e giustamente, in qualità di dipendente, devo fare le comunicazioni "di default".Dopo la visita dal medico mi ritrovo in mano questi 2 certificati che vanno consegnati entro 24 ore al Datore di Lavoro e all'INPS. Per prima cosa me ne torno a casa e, evitando di fare errori, compilo i due certificati. Imbusto e compilo il cedolino della Raccomandata (fa sempre comodo averne alcuni a casa).Poi scendo dal tabaccaio a comprare una busta (20 €cent) e infine vado alle Poste, prendo il numerino e mi siedo. Dopo un'attesa variabile (10-20 min. minimo) vado alla cassa e felice di avere già tutto pronto pago i 3,70 € e invio la raccomandata a lavoro. Poi con l'altro certificato vado all'INPS e registro il certificato con il loro "macchinino automatico". Alla fine di tutto ciò torno a casa e mi dedico alle cure (si, perché non dimentichiamoci che in tutto questo racconto io ero malato)...

Nella versione Posta Certifica sarebbe così:

• torno a casa
• compilo i certificati
• scansiono i certificati
• mando l'email certificata
• mi curo

Tempo impiegato? 20 minuti in casa mia davanti al Pc.

Spesa? mmm... zero?

Conclusioni

Riassumendo la Posta Certificata (PEC) è uno strumento che potrebbe rivoluzionare il nostro vivere quotidiano dato che, essendo obbligatoria, abbatterà i tempi di comunicazione tra cittadini, Aziende e la Pubblica Amministrazione. La conseguenza -  spero-  sarà uno Stato che risparmierà dei soldi (lettere,raccomandate,carta,etc) da una parte e guadagnerà del tempo - speriamo lo usino bene - dall'altra.

Noi cittadini perderemo  sempre meno tempo in attese varie (Posta,Inps,etc) e risparmieremo quella piccola somma che ogni anno se ne va per inviare documenti ufficiali, la carta, le buste, i francobolli etc.

Se pensiamo che la si può provare spendedo 5€ per un anno direi che potrebbe essere davvero un piccolo punto di svolta per questa "vecchia Italia"

FONTI

• Wikipedia
• CNIPA - Centro Nazionale per l'Informatica nela Pubblica Amministrazione
• La Posta Elettronica Certificata - Documento Ufficiale del CNIPA

Ieri è stata rilasciata l'ultima release di WordPress, la 2.7.1.

Chi utilizzava  una versione precedente ha avuto la possibilità di effettuare l'aggiornamento automatico senza dover stare a scaricare il pacchetto, unzipparlo, uploadarlo via Ftp etc..

Terminato l'aggiornamento  alcuni hanno avuto la triste sorpresa di riscontrare l'errore "500 Internal Server Error" su tutte le pagine del proprio sito. Questa problematica si manifesta negli Hosting (nel mio caso Aruba) dove i permessi di default per avere il corretto funzionamento dei file devono essere impostati a CHMOD 0755 (dovuti all'utilizzo del suExec di Apache) dato che l'aggiornamento automatico comporta il reset dei permessi a CHMOD 0644.

L'errore è facilmente risolvibile reimpostando i permessi CHMOD corretti per tutti i file e cartelle che compongono il WordPress.

La community di WordPress aveva rilasciato già in data 5/12/2008 una modifica da apportare al file "wp-config.php" per evitare il manifestarsi di questo problema.

ARTICOLO ORIGINALE

Tale modifica consente di impostare manualmente i permessi CHMOD di default (attualmente sono a 0644) da assegnare ai file del WordPress in occasione di aggiornamenti o similari.

Per implementarlo è sufficiente seguire questi pochi semplici passi:

1) Aprire con un Editor il file "wp-config.php";

2) Aggiungere le seguenti due righe in qualsiasi punto del file:

define('FS_CHMOD_FILE',0755);
define('FS_CHMOD_DIR',0755);

Fine! d'ora in poi tutti gli eventuali aggiornamenti automatici assegneranno di default i permessi 0755