Luca Sartoni

Picture by ttaanngg on DeviantArt

A quanto pare l’autenticazione tramite SMS è valida per dare accesso a reti Wi-Fi.

GO PEELOO GO!!!

Direttamente dal blog di Luca Mascaro.

Picture by jackaprini on Flickr

Ripropongo in questa sede, i concetti che ho avuto il piacere di esprimere durante il RomagnaCamp, parlando su un palco esterno assolato senza slide ma con tante persone ad ascoltarmi. Grazie a tutti coloro che c’erano e che mi hanno prestato attenzione.

Definire il contesto

Partiamo dall’esigenza di un ristoratore che voglia offrire connettività ai propri clienti, sia dietro compenso, sia in forma gratuita.

I problemi di un hotspot Wi-Fi

I problemi che si pongono all’esercente che voglia offrire questo genere di servizio, sono sostanzialmente due. Il primo di carattere tecnico, il secondo di carattere giuridico. La questione tecnica si preoccupa di connettere i clienti alla rete, la questione giuridica ci impone di farlo secondo le attuali norme vigenti. L’intreccio di questi due problemi configura la soluzione che ho elaborato e che al RomagnaCamp ha visto la sua prima applicazione pratica. Proprio perchè il problema di natura giuridica coinvolge anche la soluzione tecnica che andremo ad applicare, sarà il primo ad essere analizzato.

Il problema giuridico

Il legislatore ci mette di fronte ad un precetto: identificare con sicurezza tutti coloro che accedono alla nostra infrastruttura e che la utilizzano per accedere a Internet. Non ho la minima intenzione, in questa sede, di affrontare la questione etica e morale di una scelta così importante da parte della giurisprudenza italiana, pertanto mi interesserò soltanto dello stato di fatto e non di cosa io reputo “giusto”, “sbagliato” secondo le mie idee. In questo contesto “giusto” significa “non contrario al diritto”.

La profilazione degli utenti è stata introdotta dal decreto Pisanu e successivamente convertita in legge. Prevede l’attività imperativa di raccogliere le informazioni identificative di coloro che fruiranno del servizio di hotspot. Si devono raccogliere: nome, cognome, data e luogo di nascita, tipo e numero del documento di identità e una copia del medesimo. Successivamente si dovrà essere in grado di fornire un tabulato degli accessi alla rete in cui siano chiari data e ora dell’accesso e la relativa identità. Non si fa obbligo di tenere traccia delle comunicazioni svolte dagli utenti sulla rete. Oltre a non essere obbligatorio, l’attività di registrazione delle comunicazioni, in questo contesto, è severamente vietato. Si fa obbligo, inoltre, di conservare questi dati per un tempo sufficientemente lungo per consentire all’autorità giudiziaria di farne accesso in caso di indagini.

Questo trattamento di dati, pone origine ad un altro problema di ordine giuridico. Il codice per la protezione dei dati personali impone a qualunque privato, titolare di un trattamento di dati personali, una serie di regole alle quali attenersi, che talvolta possono diventare onerose in termini di tempo e di soldi. Nel caso in cui i dati trattati siano sensibili divengono necessari comportamenti piuttosto difficoltosi per chi aveva deciso di offrire un servizio ai propri clienti, fiducioso del fatto che si trattasse solamente di collegare un access point al proprio router.

I documenti di identità rivelano con certezza istituzionale una serie di informazioni sull’interessato che rientrano appunto della categoria dei dati sensibili: etnia, cittadinanza, segni particolari. A voler essere puntigliosi, anche la foto nel documento può rivelare informazioni sensibili come il colore della pelle o cicatrici, per esempio.

Come risolvere questi due problemi piuttosto spinosi

In sostanza si deve riuscire a fare una copia del documento d’identità e a conservarla senza configurare un trattamento di dati sensibili. Il sistema che ho realizzato si basa sul rendere il cliente responsabile “de facto” del proprio trattamento e nel rendere il fornitore di servizio un semplice controllore del processo di registrazione. Il flusso di registrazione e di accesso è il seguente:

• il cliente richiede accesso alla rete wifi
• il fornitore consente l’accesso visionando il documento ed accertandosi dell’identità del cliente
• il cliente pone il proprio documento su uno scanner ad alta risoluzione
• il cliente preme il tasto per avviare la scansione
• il sistema stampa un foglio su cui ci sono username, password, copia del documento (per verificare che non siano stati usati trucchi nel porre il documento sullo scanner) ed informativa riguardo il trattamento dei dati personali
• il fornitore controlla che la copia del documento sia leggibile
• il cliente ritira il foglio appena stampato
• il cliente utilizza la rete mediante login e password ricevute

Questo flusso limita enormemente i problemi perchè mantiene i dati personali e sensibili fuori dalla portata del fornitore che di fatto non esercita un trattamento pericoloso per l’integrità e la riservatezza. Si fa notare come il fornitore non mantenga copia cartacea del documento d’indentità del cliente, ma mantenga solo una scansione ad alta risoluzione all’interno del sistema informatico. Tale base dati viene conservata codificata come la legge prevede.

La soluzione tecnica

Si è realizato un sistema di autenticazione basato su GNU/Linux. Tutte le operazioni illustrate nel flusso vengono svolte automaticamente e nella loro completezza. Nei prossimi post spiegherò dettagliatamente la struttura tecnica del sistema di autenticazione.

Picture by edizkirman on DeviantArt

Martedi 28 Agosto 2007 alle ore 21, presso Hotel Columbia a Marina Romea terrò una presentazione dal titolo:

Phishing e altre insidie della rete

Hotel Columbia
Viale Italia 70
Marina Romea (RA)

Picture by photodan88 on DeviantArt

Te ne stai in fila al gate dell’aeroporto e davanti a te passano il pilota e l’equipaggio del tuo volo.
Sono molto allegri e piuttosto rumorosi. Ma dai, non preoccuparti, hanno bevuto solo un paio di bicchieri a cena…

Una banale appendicite e finalmente riesci a farti quindici giorni di malattia. Te ne stai sul tuo letto in corsia e l’iniezione preanestesia inizia a fare effetto. Senti gli infermieri e lo staff medico che se la ridono di gusto. Ma non ti preoccupare hanno bevuto solo un paio di bicchieri a pranzo..

Curare una carie è sempre una rottura di scatole. Il rumore del trapano è proprio insopportabile. Il dentista oggi ha voglia di chiacchierare… forse per via di quel paio di bicchieri a pranzo…

Il bagnino se ne sta sulla sua torretta in spiaggia e controlla che tuo figlio non corra rischi mentre fa il bagno. Oggi è proprio contento di stare al sole, ci volevano proprio quel paio di bicchieri a pranzo…

Maledetta sfortuna, ti hanno ritirato la patente!!! Non hanno voluto sentire ragioni, tu che guidi da una vita, che non hai mai preso una multa, che stavi benissimo, che rispetti sempre la precedenza, che avevi bevuto solo un paio bicchieri…

Picture by Aymstar on DeviantArt

Ho già parlato del phishing e di come funziona.

Qualche giorno fa ho ricevuto un messaggio, tramite MSN, da parte di un mio amico. Il messaggio, in italiano recitava:

“Guarda questo per scoprire se ti hanno eliminato dal MSN: http://www.messenger-list.biz”

Incuriosito da questo messaggio inusuale, sono andato a verificare il sito che mi veniva suggerito e ho capito subito che c’era qualcosa di strano. I dati che mi venivano richiesti erano il nome utente e la password di accesso al servizio MSN. Ho subito capito quello che era
successo e una telefonata al mio amico ha confermato i miei sospetti.

Ecco, in sintesi, l’accaduto. Il mio amico aveva ricevuto qualche giorno prima lo stesso tipo di messaggio da uno dei suoi contatti e fidandosi del suggerimento a provare il servizio offerto dal sito incriminato aveva comunicato il proprio account e la propria password.

Ovviamente il sito aveva memorizzato queste informazioni, prendendo di fatto possesso dell’account del mio amico. Dopo qualche giorno aveva utilizzato queste informazioni per spedire lo stesso messaggio di invito a tutta la rubrica. In questo modo, sfruttando la naturale propensione umana a fidarsi dei suggerimenti dei propri amici, entrava in possesso
di decine e decine di account MSN.

La finalità è ovvia, attraverso MSN si scambiano molte informazioni confidenziali e controllare un canale comunicativo largamente utilizzato è l’obiettivo più ambito di chiunque abbia intenzioni poco lecite. Il controllo dell’informazione è alla base di qualsiasi truffa online.

Il consiglio che ho dato al mio amico, pochi minuti dopo aver capito quello che era successo è lo stesso che mi sento di suggerire a tutti colo che hanno il dubbio di essere finiti in questo genere di insidie. Cambiare le password coinvolte in situazioni poco chiare o che ci creano
dei dubbi, fidarsi dei propri amici ma tenere sempre gli occhi aperti e nel dubbio, utilizzare canali alternativi per raggiungerli per esempio il telefono. Non fornire mai le proprie credenziali identificative a servizi che non conosciamo bene e nel dubbio chiedere consiglio a
qualcuno più esperto di noi.

Picture by MissAchfoo on DeviantArt

Per l’ultima lezione del corso base di GNU/Linux, ho deciso di portare ai miei corsisti, una installazione di Compiz Fusion.

La settimana scorsa ho quindi installato Ubuntu sulla workstation che sto usando da mesi con una installazione di OSXProject. Utilizzo OSX da 3 anni, età del mio powerbook. Perciò nei mesi scorsi, ho trasformato il mio pc da gioco in qualcosa di più utile e ho iniziato a lavorare in dual monitor con tutta la comodità di OSX anche sulla workstation.

Linux, in versione desktop, mi ha sempre dato l’emozione della frontiera. Interfacce nuovissime e scarne, senza troppe inutilità perditempo. Fluxbox, poco altro e pedalare. Per avere un desktop comodo ho sempre speso giorni e giorni di configurazioni ardite ma devo ammettere che ne è sempre valsa la pena.

Lavorare con OSX mi piace molto e la sensazione che si prova è estremamente gratificante. Ci si sente sempre in prima classe, ed il viaggio è comodo e senza grosse sorprese.

Ma l’installazione di Compiz Fusion ha risvegliato la mia voglia di frontiera. Il far west e la sensazione di essere pionieri. Le possibilità che offre sono straordinarie e la configurazione è una passeggiata. Finestre morbide e sinuose, multidesktop e transizioni rendono l’esperienza veramente piacevole.

Windows Vista al confronto fa proprio ridere.

Provare per credere.

Credo che tra le cose che un geek non riesce ad evitare ce ne sia una che spicca più di tutte le altre: la default password degli access point e router WiFi.

Mentre te ne vai bel bello in giro con il tuo portatile, ti imbatti in una rete aperta e brrrrrr, senti un brivido lungo la schiena. Ecco che il richiamo della default password si rende imprescindibile. Punti subito il tuo browser sull’ip del gateway e al momento in cui ti viene richiesta hai le dita tremanti.

5 tasti in sequenza per il login.

5 tasti in sequenza per la password.

E sai che la schermata blu di amministrazione dell’access point ti ricompenserà.

Probabilmente non farai alcuna modifica ma la semplice azione ti renderà il re del mondo. Quel piccolo mondo che ruota intorno a te, durante quei 15 secondi da lamer.

Se Shimomura lo avesse saputo, avrebbe catturato il Condor nel tempo in cui finisce una puntata dei Simpson…

In questo howto realizzerò una connessione OpenVpn tra un sistema GNU/Linux debian based e un client Windows XP, mediante certificati X509.

Preparazione del server

installazione di openvpn mediante apt


# apt-get install openvpn
# mkdir -p /etc/openvpn/vpn1/certs


Continue Reading »

Disclaimer

Il seguente post è di carattere informativo. La volontà dell’autore è quella di mettere al corrente i lettori dell’esistenza di una tecnica di apertura delle serrature meccaniche, normalmente in uso a chi si occupa di questa attività sia a scopo lecito che a scopo illecito. Tale metodo risulta di semplice realizzazione e pertanto l’intenzione è quella di avviare una riflessione sul reale grado di sicurezza offerto dalle normali tecnologie meccaniche di serramento.
Questa pubblicazione ha il solo scopo di informare i consumatori dei rischi connessi all’utilizzo di tecnologie facilmente valicabili.
Grazie a Fra* per la consulenza.

Chi è fuori è fuori, chi è dentro è dentro

Quache anno fa, ricordo chiaramente un gruppetto di sysadmin che ridacchiava leggendo le risposte ad un test cui era stato sottoposto.
La domanda divertente, a loro dire, era pressapoco questa:
Quale di queste misure di sicurezza è la più importante al fine di innalzare la sicurezza informatica di un’azienda?
Le risposte erano varie e chiaramente tutte allettanti, ad esempio “mantenere aggiornati gli antivirus” oppure “usare un sistema di identificazione biometrica degli utenti”.
A nessuno dei miei studenti, passò in mente di indicare la risposta più adeguata a quel contesto: “mantenere il CED e i server in stanze chiuse e verificare che le serrature delle porte siano sufficientemente valide”.

Serrature e serramenti nell’era del silicio

Questo episodio è rimasto sepolto nella mia memoria fino a qualche giorno fa, in cui, quasi casualmente mi sono imbattuto in qualche video su youtube.
Stavo cercando alcune dimostrazioni di lockpicking (”forzatura” di serrature) quando ho trovato questo filmato.
L’ho guardato con attenzione e l’ho pubblicato sul mio blog.
Successivamente ho continuato le mie ricerche e ho scoperto che la tecnica del Lock Bumping è molto più interessante di quanto non sembri.
Quale miglior occasione per spendere un pomeriggio se non realizzare il mio:

Lock Bumping HOWTO

Materiale necessario:

• Una normale serratura [foto]
• Una chiave qualunque che entri nella serratura [foto]
• Una o più lime adatte a lavorare il metallo [foto]
• Circa un’ora di tempo

Come funziona una serratura tradizionale

Osservando una chiave [foto] possiamo notare che il profilo è contraddistinto da una serie di denti e di gole.
I denti sono irrilevanti all’apertura della serratura in quanto sono le valli a definire la posizione dei cilindretti che regolano l’apertura della serratura.
Infatti potete notare come tutti i denti siano pressapoco uguali, mentre le valli siano molto diverse tra loro in profondità.
La configurazione delle valli determina l’unicità della serratura.
Inserendo la chiave giusta dentro la fessura, i pistoncini vengono allineati e il cilindro ruota aprendo la serratura.

Come funziona il lock bumping

Il lock bumping, sfrutta il terzo principio di Newton. Ogni azione determina una reazione di pari modulo e direzione ma di senso opposto. Mediante una chiave universale si applica una leggera torsione e colpendo adeguatamente l’impugnatura della chiave si trasmette una piccola onda di energia fino ai pistoncini della serratura che “salteranno”. La torsione applicata farà girare il cilindro della serratura nel momento esatto in cui i pistoncini saranno allineati.

Come realizzare una chiave universale

Innanzitutto ci si deve procurare una chiave adatta.
Qualunque chiave è tale, se entra correttamente nella fessura delle serratura che vogliamo aprire.
A questo punto dobbiamo rendere universale la chiave portando tutte le valli al punto più basso in cui i pistoncini possono trovarsi. Tecnicamente stiamo realizzando una “chiave 9*”. Nel mio caso, con una serratura a 5 pistoncini, è una chiave 99999.
Come si può vedere in questa foto la chiave originale è stata limata fino al raggiungimento di una chiave universale.
Si possono notare i denti in verde e le valli in rosso.
Un altro piccolo dettaglio è rappresentato, nella foto, dalla “spalla” della chiave [in blu]; limare un pezzettino di spalla è di grande aiuto alla riuscita di questa tecnica.

Apriamo la serratura

Per aprire la serratura, abbiamo realizzato la chiave universale, e adesso serve un po’ di pratica.
Si inserisce la chiave nella fessura, sino in fondo. A questo punto si applica una leggera torsione alla chiave e la si colpisce con il manico di un cacciavite o qualcosa di simile.
Al primo tentativo difficilmente riesce.
Dopo un quarto d’ora di prove, ho aperto la serratura e adesso sono in grado di farlo in meno di 5 secondi.

Leggere attentamente

Mi sono interrogato molto riguardo l’opportunità di pubblicare questo HOWTO. Soprattuto riguardo al fatto di entrare così nello specifico di questa tecnica di apertura.
I miei dubbi nascevano dal fatto che tutto ciò è di facile realizzazione e potrebbe essere utilizzato per scopi illeciti.
Tuttavia ho deciso di rendere nota questa tecnica in “full disclosure” per una ragione molto semplice.
Non avevo mai messo in pratica alcuna tecnica di lock picking e quindi non avevo familiarità con questo genere di cose.
Tuttavia, in meno di 2 ore, sono stato in grado di aprire una serratura di normale fattura, largamente diffusa a protezione delle nostre abitazioni, aziende e proprietà.
Mettere in rilevo un problema di questa entità deve farci capire come migliorare i nostri sistemi di sicurezza.
Questa modalità di “scasso” è largamente conosciuta a coloro che sono del mestiere e metterla in luce anche alle potenziali vittime non credo sia solo utile ma a dir poco doveroso.
Ci tengo infine a sottolineare che aprire illegittimente una serratura, violare la proprietà privata e qualsiasi altra azione illecita, comporta una responsabilità penale e viene punita dall’autorità giudiziaria.
Non utilizzate quanto appreso per commettere azioni illecite.