Pacemaker

Sulla sicurezza informatica e dei dispositivi elettronici abbiamo interi trattati disponibili. Se ne parla e se ne parlerà in rete, sulla carta stampata, in televisione.

Puntualmente ci viene data notizia di celebri o sedicenti hacker che hanno eluso o bypassato le difese di qualche grossa azienda / ente pubblico. A volte la fanno franca, a volte vengono arrestati ( il più delle volte, in quanto chi la fa franca generalmente non gode di pubblicità ).

L’obiettivo è il recupero di informazioni, la cancellazione delle stesse, l’interruzione di un servizio pubblico o un segnale, come una home page defacciata con qualche logo o teschio, o messaggi politici di varia natura.

Più o meno finisce qui. Mancata pubblicità, difficoltà di accesso e violazione del copyright sono le principali voci che intaccano il bilancio dell’attaccato. Tutto risolvibile comunque. Tutto ripristinabile, questa volta più sicuro, si spera.

Ma hackers ( forse più veri di quelli sopracitati, almeno per me ), sono anche gli “sperimentatori”, gli “smanettoni” dell’elettronica: coloro ai quali piace non soltanto avere a che fare con tecnologie software, ma anche e sopratutto con quelle hardware. Ne portano esempio i numerosi portali dedicati al modding, alle modifiche e alle fusioni più improbabili ( chi ha detto un pc travestito da aspirapolvere? ).

Fin qui tutto bene, più o meno. Si gioca, a volte anche con grosse somme di denaro, e tutto si limita al virtuale. Ma che succede quando possiamo modificare o alterare il funzionamento del dispositivo elettronico che mi tiene in vita? In questo caso il discorso cambia. Il gioco si fà più pesante.

Di recente, il prof.Kevin Fu dell’ University of Massachusetts Amherst, ha pubblicato, insieme ad altri otto ricercatori, un documento che illustra come sia possibile, tramite opportuni segnali radio, inibire il funzionamento di un Pacemaker impiantato in un corpo umano, quindi nel corso del suo regolare funzionamento. Bloccarlo permanentemente o carpire alcune informazioni riservate sul paziente richiede una banale attrezzatura da 1000$, un pizzico di ingegno e la guida sopralinkata.

Le considerazioni sull’argomento vengono demandate ai lettori, tramite i commenti. Ma una nota và fatta: dovremmo tutti augurarci che i produttori di questi dispositivi la smettano di considerare vangelo il metodo security through obscurity nei processi di ingegnerizzazione e si adoperino per definire ed utilizzare concrete politiche di salvaguardia e di sicurezza, visto che non si sta più giocando con i conti correnti bancari… alla prossima.

Riccardo Grosso

A tutti coloro che pensano che gli spammer sono solo un pericolo pubblico, forse questo è il momento di ricredersi: almeno loro hanno cercato di dare una risposta ai numerosi studenti e precari del mondo.E’ storia non molto lontana di come siano stati violati i sistemi di sicurezza dei rispettivi servizi di Posta Elettronica di Google, Yahoo! e Microsoft. In breve, in qualche modo qualcuno è riuscito ad evitare tutte le barriere di sicurezza che questi servizi avevano in fase di registrazione e successivo login.

A quanto pare, i famosi Captcha, le immagini contenenti alcuni caratteri da inserire per poter proseguire nella registrazione, sembrano abbiano fallito. È noto come alcuni bot più evoluti siano in grado di interpretare immagini e flash, ma sembra che non sia tutto merito della tecnologia.

Su alcuni siti russi, sono apparsi messaggi di reclutamento per giovani intraprendenti studenti per un lavoro molto semplice: decodificatori di codici Captcha: il loro lavoro consiste semplicemente nel decifrare ed inserire in un apposito modulo tutta la serie di lettere e numeri che compaiono in queste immagini.

Alla modica cifra di 2 dollari ogni 1000 Captcha inseriti, gli spammer ottengono importantissime informazioni, che gli permetteranno successivamente di programmare attacchi mirati con la quasi certezza di soverchiare i sistemi di sicurezza accedendo ad informazioni a loro molto interessanti.

Della serie fatta la legge trovato l’inganno, gli spammer sembrano più avanti delle grandi aziende e loro relativi uomini della sicurezza, risolvendo in un colpo solo più problemi e mettendo in difficoltà la sicurezza dei dati di migliaia di persone.

Che il lavoro non sia dei migliori e con prospettive di crescita non molto alte è un altro conto, ma almeno, loro, qualche dollaro lo fanno guadagnare…

Agli sviluppatori e geni informatici (ma anche alla legge) il compito di trovare altre soluzioni per risolvere anche questo problema.

DEFT Computer Forensic - Digital Evidence & Forensic Toolkit, una distro GNU/Linux su live cd derivata da XUbuntu è adatta agli scopi di computer forensic per tutti i sysadmin che necessitano di tali tool.

Nell’ ultima versione di tale distro è stato aggiunto non uno, ma LO sniffer, XPlico che, se ancora in fase beta, promette davvero bene ed è un progetto italiano.

INFO:

Sito ufficiale: DEFT Computer Forensic

I mirror da dove scaricare Deft sono 4 :

• mirror 1: FTP DEFT mirror (thanks to Stefano Roffi for this mirror)
• mirror 2: HTTP DEFT mirror (fastbull mirror)
• mirror 3: HTTP DEFT mirror (sitonerd.com mirror )
• mirror 4: GARR mirror

Se l’informazione che Jeff Jones ci propone vuole essere interpretata, esistono sono svariati modi in cui farlo. Nel suo PDF infatti Mr.Jones presenta un grafico dal quale si evince, senza ombra di dubbio, che Windows Vista non solo è più sicuro del predecessore, ma addirittura lo è più di RHEL, Ubuntu e Mac OSX Tiger.

Interpretazioni

Dopo aver letto ciò mi sembra doveroso fare alcune considerazioni obiettive ed esprimere un opinione da utente e non da stipendiato sviluppatore di una qualche società di software.

Va detto innanzitutto che ci troviamo di fronte a dei numeri. Va detto anche che sono numeri da prendere con le pinze e che rappresentano quello che Microsoft vuole farci vedere (con questo, naturalmente, non voglio mettere in dubbio la veridicità dei dati che Jones ha presentato in primis al proprio datore di lavoro). E vorrei infine ribadire il motto degli amministratori di sistema: la sicurezza non è un numero (in origine un prodotto), ma è un processo.

Ancora qualche altra opinione

La sicurezza è un processo e, quando deve essere quantificata, i dati con i quali abbiamo a che fare potrebbero portare a dei risultati in netto contrasto con la realtà, o magari con le esperienze che si vivono quotidianamente. Se dovessimo considerare unicamente i grafici Microsoft scopriremmo con stupore che anche Xp è più sicuro dei concorrenti. Ovviamente tutti sanno bene che il vecchio OS della serie Windows ha un periodo di operatività limitata, dopo il quale, antivirus o meno, va fatta una bella e sana reinstallazione. Cosa che non succede con Ubuntu, RHEL, o OSX ( e qui lascio aperti i commenti, tanto per divertirci).

Il peso del sistema operativo

Avete mai preso in mano un dvd di Vista? E uno di Red Hat oppure OSX? Bè, se vi è capitato avrete certamente sentito la differenza di peso tra il primo e gli altri.

Naturalmente sto scherzando. Il peso non è in grammi, ma in quantità di software inserito e che viene installato di default sul computer. Red Hat, come Apple, come Canonical, ha scelto di fornire tutto il necessario per soddisfare le esigenze dei propri utenti. Gratuitamente, senza necessità di passare ore in download, acquisti o addirittura crack di software proprietario. Dagli applicativi server come Apache e MySQL, a quelli per l’editing multimediale.

Mediamente 1Gb di programmi in pìù. E questo è il dato REALE che io fornisco. Quello che davvero voglio prendere in considerazione. Inoltre date pure un occhiata alla percentuale di bug risolti e a quelli realmente ancora aperti e ditemi cosa ne pensate. Considerate inoltre che, per quanto riguarda i sistemi Gnu/Linux, i bug fixes vengono forniti direttamente dagli utenti per la stragrande maggioranza delle volte (visto il carattere aperto del software) e solo verificati e pacchettizati dai produttori. Il tutto in tempi rapidissimi (non certo da bollettino di sicurezza bisettimnale almeno).

Chiudendo questo post

Il consiglio è sempre quello: non fatevi stupire da numeri o “golosi” grafici a torta: la realtà delle cose comprende diversi fattori che non possono sempre essere numerati. Posso condividere da parte di Redmond la pubblicazione di numeri sui loro prodotti ma metterli a confronto con quelli di concorrenti che adottano diverse metodologia di sviluppo non è corretto, eticamente e tecnicamente. E mi auguro che mai nessun utente possa essere indotto, sulla base di dichiarazioni fuorvianti, a compiere una valutazione non corretta.

State sintonizzati

S i tratta di un piccolo dispositivo, progettato e costruito da un gruppo di appassionati hacker, in grado di raccogliere segnali dalle sei reti Wi-Fi libere più forti e canalizzarlo all’interno di un’ unica connessione a banda molto ampia. E’ inoltre previsto un supporto per bypassare automaticamente le protezioni wep, ove esse siano implementate.

Tecnicamente si tratta di un mini-pc dalle seguenti caratteristiche:

• cpu MIPS con 64 Mb di RAM
• 1 Gb di memoria Flash, per contenere il sistema operativo Linux
• 6 antenne ad alta potenza
• 8 porte di rete
• una porta seriale per il controllo e la programmazione da parte di una console esterna

I progetti per costruire questa macchina sono disponibili sotto licenza Creative Commons e il software usato sotto licenza GPL .

Non è dato sapere, attualmente, se verrà messa in commercio, proprio per le possibili implicazioni a livello legale, considerato soprattutto che i provider non concedono la cessione di banda a terzi. Ferma comunque l’opinione di chi scrive che considera sbagliato discriminare un dispositivo dalle potenzialità “creative” a causa di un possibile utilizzo “distruttivo”.

Ulteriori informazioni si possono trovare su Security Focus