Spiare le chiamate o i messaggi di cellulari altrui è un crimine punibile dalla legge. Lo scopo del video è quello di mostrare che è possibile farlo, ma non vuole per nulla istigarne la pratica.

Google sta lavorando ad una nuova versione di Google Talk: la nuova versione è stata distribuita oggi casualmente ad alcuni utilizzatori, fra cui Giacomo Dotta che ha pubblicato un articolo a riguardo.

La novità più importante è la possibilità di usare degli avatar, che saranno mostrati agli altri contatti. La nuova versione indica, inoltre, il numero di e-mail presenti in Gmail e permette una maggiore personalizzazione della grafica di Google Talk.

Ho scoperto, studiando i file della nuova versione di Google Talk installati nel PC di Giacomo, il modo per provarla. In primo luogo, dovete avere installata l’ultima versione di Google Talk. Solo a questo punto andate a scaricare ed installare http://dl.google.com/googletalk/googletalk-setup-testing-upgrade.exe per provare la nuova versione di Google Talk!

English version

Google is working to a new version of Google Talk: the new version has been distributed today accidentally to some users. I (Salvatore Aranzulla) have uncovered with the Italian blogger Giacomo Dotta as it is possible to use the new version.

The innovation more important of new version of Google Talk is the avatar (see screenshot follow).

1) Download Google Talk at http://www.google.com/talk/
2) Download and install http://dl.google.com/googletalk/googletalk-setup-testing-upgrade.exe to test new version of Google Talk

Screenshot

To test the new layout, you must use Mozilla Firefox and the exstension “Add N Edit Cookies” (to edit and create cookies).

Go to Tools/Cookie Editor and delete all Google cookies. Create a new cookie with:

Name: PREF
Value: ID=fb7740f107311e46:TM=1142683332:LM=1142683332:S=fNSw6ljXTzvL3dWu
Server: www.google.com or www.google.it for Italy

Save the cookie and go to Google! :-)

Italian article: Esclusivo: nuova veste grafica per Google!

Mio cugino Marcus è stato uno dei fortunati visitatori, che stanno testando la nuova grafica. Studiando i cookie del suo computer, sono riuscito a capire come è possibile testare la nuova grafica in esclusiva (!!) anche se non si è uno dei visitatori “eletti”. Ho fatto i miei test con Firefox. Intanto beccatevi la nuova grafica:

In primo luogo, aprite Mozilla Firefox ed installate l’estensione Add N Edit Cookies. Dopo aver installato l’estensione, andate su Strumenti/Cookie Editor. Nella nuova schermata, cancellate tutti i cookie di Google (scrivete nel campo di testo google e cancellate i vari cookie, cliccando su Elimina) e createne uno cliccando su Aggiungi. Le loro impostazioni sono:

Nome: PREF
Contenuto: ID=fb7740f107311e46:TM=1142683332:LM=1142683332:S=fNSw6ljXTzvL3dWu
Server: www.google.it cambiate ovviamente il dominio in base alla lingua

Fate click su Salva e, dopo aver aperto www.google.it, provare a cercare qualcosa: vedrete la nuova grafica!

Nonostante vari tentativi, non ero riuscito a raggiungere alcun contatto tecnico in Poste Italiane a cui segnalare tali problematiche, limitandomi ad una segnalazione (cestinata?) al servizio clienti.

Luca, mio carissimo amico, che ringrazio, è riuscito però a mettermi in contatto con Postecom, la direzione di Poste Italiane che si occupa della realizzazione dei servizi on-line. Postecom ha corretto le falle, chiamandomi e facendomi i più sentiti complimenti per l’età.

Tuttavia, se nell’articolo precedente ho trattato – per motivi di sicurezza – esclusivamente le possibili conseguenze delle falle, può risultare utile capire dove si trovavano e come potevano essere applicate per realizzare una truffa on-line.

Ho realizzato questo filmato (richiede Divx) in cui faccio vedere come mettere in atto una truffa a tutti gli effetti.

SCARICA IL FILMATO IN CUI DIMOSTRO COME REALIZZARE UNA POSSIBILE TRUFFA

Tecnicamente parlando

Poste Italiane usa il seguente sistema di redirect, quando un cliente identificato al sistema vuole uscire dal proprio conto Banco Posta, portando l’utente nell’indirizzo indicato in goto.

https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto=
http://www.sito-internet.it

Non viene tuttavia effettuato alcun controllo sulla destinazione, che potrebbe essere costituita anche da un sito truffaldino, legittimato dalla prima parte dell’indirizzo, che riporta il sito originale. Da notare è anche la connessione cifrata (https).

L’indirizzo del sito truffaldino può essere anche proposto in un formato di difficile compresione, come in ASCII esadecimale preceduto dal segno di percentuale.

https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto=
%68%74%74%70%3A%2F%2F%77%77%77%2E%73%69
%74%6F%2D%69%6E%74%65%72%6E%65%74%2E%69%74

Questo sistema di redirect potrebbe essere usato per reindirizzare un utente su un sito esterno e truffaldino, ma i filtri anti-phishing bloccherebbero il sito truffaldino. Ho trovato invece un’altra falla, in un altro sito di Poste Italiane.

Il problema risiede nel sottodominio escrivimi.poste.it, dove è presente la pagina NavCategory.jsp. Nella pagina NavCategory.jsp, la variabile cat (NavCategory.jsp?cat=) non è filtrata permettendo l’inserimento di codice Javascript.

Inserendo opportuno codice Javascript è possibile modificare la pagina originale di Poste Italiane, creando un modulo uguale a quello di accesso al proprio conto Banco Posta, i cui dati però andrebbero a finire nelle mani dei truffatori.

Un indirizzo esemplificativo della falla è il seguente. Se si osserva il codice HTML della pagina, il testo della variabile cat viene inserito nell’indirizzo (src) dell’immagine. Per attuare il codice Javascript, viene inserito l’indirizzo di una immagine inesistente, che darà seguito all’evento onError.

http://escrivimi.poste.it/NavCategory.jsp?cat=tests%22%20onErro
r%3D”alert(’BUG’);//

Anche Poste Italiane si è adeguata allo sviluppo dell’e-commerce e di Internet, permettendo ai suoi clienti Banco Posta di controllare i movimenti e fare altre operazioni, come pagare le bollette, con il proprio conto, stando seduti in poltrona davanti al PC.

Ripetutamente i clienti di Banco Posta sono stati al centro di numerosi tentativi di truffe on-line, che solitamente chiedevano ad un utente di identificarsi al sistema per i motivi più svariati.

Queste truffe, tuttavia, sono facilmente individuabili, perché portano l’utente in un sito esterno a quello di Poste Italiane e, quindi, basta osservare l’indirizzo in cui ci si trova per scoprire la truffa. Fra l’altro molti strumenti contro il phishing, riconoscono questi siti truffaldini, impedendone l’accesso.

Il problema sorge quando qualcuno (Salvatore Aranzulla, alias io) riesce ad utilizzare il sito originale – ripeto originale – di Poste Italiane per attuare una ipotetica truffa on-line. Questo è possibile grazie a due falle nel sistema di Poste Italiane con cui è possibile servire un’ottima truffa.

Il funzionamento è semplice: portando l’utente da truffare in un indirizzo strano del sito originale di Poste Italiane è possibile interecettare i dati di accesso al suo conto Banco Posta. I dati finirebbero nelle mani di qualche truffatore.

In altre parole, cliccate in una e-mail che presenta un indirizzo https://bancopostaonline.poste.it/ (il sito originale di Banco Posta), venite portati sul sito originale di Poste Italiane e siete a rischio di frode.

Il problema è grave se si considera che la maggior parte dei filtri anti-phishing non riconoscono i tentativi di phishing effettuati con siti originali di cui vengono sfruttate le vulnerabilità. Pertanto un cliente, che ha installato e configurato a puntino la sua toolbar anti-phishing, è potenzialmente a rischio.

Poste Italiane, fra l’altro, presenta milioni di clienti Banco Posta, che potrebbero farsi ingannarsi dal fatto di trovarsi nei siti originali di Poste Italiane, affidandosi magari al filtro anti-phishing del proprio antivirus che non individua tale tipologia di attacco.

A legittimare fra l’altro una possibile e-mail di phishing potrebbe essere – ripeto – il fatto di proporre l’indirizzo originale del sito, che potrebbe ingannare anche l’utente più attento.

La falla potrebbe essere usata non solo in e-mail, ma anche in forum o messaggi in rete dove magari proporre una storia convincente che induca i proprietari di un conto Banco Posta a cliccare sull’indirizzo… originale di Banco Posta!

Questo articolo è in forma ridotta rispetto a quello originale da me scritto, in quanto Poste Italiane non ha ancora corretto le falle di sicurezza. Quando queste saranno corrette, verranno pubblicati i dettagli tecnici ed un video esemplificativo.

Per pura casualità, ho individuato svariate falle sul server che ospita i siti dei programmi di Maurizio Costanzo.

Leggi l'intero articolo

Google ha recentemente rilasciato Google Talk, sobrio programma per chattare. Il programma è rivolto al mercato del VoIP, quindi alle chiamate via Internet, per contrapporsi a Skype. Google Talk si basa sul protocollo di chat Jabber, protocollo open source molto robusto.

I protocolli proprietari, come, ad esempio, MSNP, concepito da e per MSN Messenger, sono meno robusti, poiché si presuppone che siano utilizzati soltanto con il client proprietario.

Se ci fossero, pertanto, dei bug nel protocollo, teoricamente, non dovrebbero avere grandi ripercussioni se si considera il fatto che il programma che li utilizza non presenta errori e non permette operazioni diverse da quelle abituali.

MSN Messenger non mi permette di inviare, ad esempio, due richieste di webcam contemporaneamente ad uno stesso utente, però è possibile che inviandone due, il server, che non controlla il numero di richieste inviate, la inoltri all’MSN Messenger dell’interlocutore che magari abbia qualche risposta “strana”. Esempio stupido ma utile a chiarire le idee circa la robustezza del protocollo di Google (open source) ed uno proprietario.

Ho preferito pertanto concentrare i miei studi limitatamente al programma piuttosto che al protocollo vero e proprio, evidenziando una errata gestione delle emoticons.

Creando messaggi fatti di solo emoticons ed inviandone in modo ripetuto, Google Talk va in elaborazione, portando l’utilizzo della CPU a quasi 100%: l’instabilità e la non possibilità di utilizzare il programma per l’interlocutore (e per chi invia i messagi) sono assicurati! L’interlocutore viene costretto a riavviare Google Talk.

Si tratta di un esempio casereccio, che ha soltanto lo scopo di rendere difficile la vita ad un utente, ma, in un prossimo futuro, potrebbero nascere dei worm che si diffondano ed attacchino gli utilizzatori di Google Talk, diffondendosi fra gli utenti della propria lista contatti.

A lungo andare, inoltre, il processo crea instabilità anche all’intero sistema operativo ed ecco che le “innocue” emoticons blu, senza alcuna raffinatezza, dimostrano la loro pericolosità. La scoperta ed i test sono stati effettuati utilizzando il client ufficiale, ma questo non preclude la possibilità che altri client presentino lo stesso problema!

Ho creato un exploit di esempio (proof of concept) per l’invio ripetuto di emoticons, mandando in crash l’interlocutore, ovviamente a scopo educativo e di studio. Per il momento preferisco non rilasciare l’applicazione-exploit.

Sfruttando spesso delle dimenticanze-errori è possibile condurre truffe on-line molto pericolose. Ecco un pratico esempio di phishing sfruttando una debolezza di Google Adsense.

Leggi l'intero articolo

Leggi l'intero articolo