Archivio per la categoria 'Security'

Anonymous Remailer, inviare e-mail anonime.

Pubblicato 6, Febbraio, 2008 Security Commenti

Gli Anonymous Remailer o Remailer Anonimi, sono dei server di posta che consentono di scambiare messaggi e-mail senza che si possa scoprire il mittente originale, permettendo così di comunicare liberamente senza ritorsione alcuna, purtroppo ci sono ancora paesi che non consentono la libertà di espressione, un esempio la Cina.

Questi server non tengono log di nessun genere, non memorizzano IP e permettono di cambiare l’header del messaggio con un altro header falso.

Molti remailer prendono carico solo le mail criptate in PGP, quindi per poterli utilizzare bisogna avere la chiave pubblica del remailer, di solito è possibile reperirla scrivendo una mail vuota con oggetto “remailer-key”.

Se vogliamo inviare una mail a tizio@provider.it, usando un remailer, dobbiamo far precedere il tutto da un’intestazione come questa:

****************************************************

::
Anon-To: tizio@provider.it

Il messaggio… bla bla bla…

*****************************************************
Ricordatevi una riga vuota e i due punti all’inizio, la riga Anon-To contiene il destinatario finale del messaggio e-mail, adesso si deve criptare il tutto con la remailer-key.

Il messaggio crittato deve a sua volta avere un intestazione come questa:

***************************************************************

From: linus@tolvalds.com
To: anon@remailer.org
::
Encrypted: PGP

****************************************************************

La prima riga è il falso mittente della mail, la seconda è l’indirizzo del remailer anonimo, ricordatevi i due punti e la digitura Encrypted: PGP.

Il risultato finale dovrebbe essere simile a questo:

****************************************************************

From: linus@tolvalds.com
To: anon@remailer.org
::
Encrypted: PGP

—–BEGIN PGP MESSAGE—–
Version: 3.0.1i

cSHT4zCbQmtlbzGFM9T0jSD7QVvEzaPcUlBSSWHQclbnR9YWJNp5BFSLdR9s
owE1jMsNwjAUBH3gZMk9PClnUoBPUANpwElW2OBPZD8H0gd1UCP2gduuNDNfj
—–END PGP MESSAGE—–
****************************************************************

Non appena il remailer riceverà la vostra mail la decritterà e la invierà a destinazione, oppure è possibile inviare la mail ad un altro remailer, ricordando di crittarla con la sua chiave pubblica, concatenando più remailer si ha una maggiore sicurezza.

Tuttavia i remailer non sono affidabili al 100%, è possibile che un messaggio venga perso, quindi è consigliabile spedirne più copie.

Vi segnalo portale italiano, www.autistici.org, che oltre al remailer anonimo, offre tanti servizi, utilissimi per la privacy:

  • Account e-mail anonimi tipo tuonome@autistici.org ecc…( non analizzano la posta ai fini di pubblicità, diversamente da gmail.com)
  • Mailing-list anonime
  • Spazio Web e Piattaforme Blog

Il tutto gratuitamente, senza fini di lucro, il progetto vive di sole donazioni da parte degli utenti, quindi una donazione conviene sempre farla!

Policy del Network Autistici - Inventati

GPG, e-mail al sicuro con la crittografia militare Open Source

Pubblicato 5, Febbraio, 2008 Security 10 Commenti

GnuPG (Gnu Privacy Guard) o anche GPG è un software Open Source, compatibile con il famoso sistema di crittografia PGP, è sviluppato dalla Free Software Foundation.

Compatibile con tutti i sistemi operativi e con molti programmi OpenSource, il livello di robustezza raggiunto è tale, che nemmeno i “potenti” servizi segreti Americani sono riusciti a decrifrarlo.

E’ possibile utilizzarlo per crittare le nostre mail utilizzando il comunissimo client Thunderbird, tramite un plug-in scritto ad hoc, dal nome EnigMail.

Tutto questo è dovuto per il crescente bisogno di comunicare in modo sicuro e semplice, senza che terzi, possano reperire le nostre informazioni confidenziali scambiate.

GnuPG permette di nascondere, dietro a una serie di simboli e caratteri stampabili, delle informazioni o messaggi decodificabili solo dal destinatario finale e dal suo mittente, quindi anche se il messaggio viene intercettato, non sarà possibile carpirne il contenuto.

Ciò è possibile poichè si usa una cifratura a chiave asimmetrica, cioè mittente e destinatario dispongono di una identica chiave di codifica e un’altra per la decodifica.

Ogni utente dispone di una chiave pubblica e di una chiave privata, la prima può essere diffusa senza alcun problema, serve appunto alla codifica del messaggio; la seconda chiave privata, è protetta da una passphrase (un intera frase), questa chiave viene usata per la decodifica e garantisce dunque che sia solamente il destinatario a leggere le informazioni contenute nel messaggio.

La chiave pubblica può essere inviata tramite posta elettronica oppure può essere inviata a dei KeyServer, dei server “magazzino” usati per scambiarsi la chiave pubblica, senza bisogno di inviarla ogni volta.

Tutto ciò può sembrare astruso e complicato da realizzare, ma è tutto svolto autonomamente dai programmi.

Due consigli: quando generate le chiavi, usate una passphrase abbastanza complicata e scegliete una chiave di grosse dimensioni 4096 bit.

Evilsentinel 1.0.2, il sistema di sicurezza Anti-Hacker per piattaforme PHP.

Pubblicato 8, Dicembre, 2007 CMS , Security Commenti

Circa tre mesi fa è partito il progetto Evilsentinel, un sistema di sicurezza universale per applicazioni web in php, sviluppato dal programmatore Evilsocket.

Essendo un progetto universale può essere installato su tutti i CMS: Joomla, Php-Nuke, PHP-Fusion, Wordress ecc…

Nella sua release attuale la 1.0.2 Public è in grado di filtrare, bloccare e notificare all’ amministratore del sito molti tipi di attacchi:

  • Scanning/crawling di software come Acunetix o simili, utilizzati per velocizzare la rilevazione di falle di sicurezza.
  • Remote file inclusions o RFI.
  • Local file inclusions o LFI.
  • Admin privileges escalations.

E’ stata sviluppata la tecnologia AIT,(adaptive ip tracking) che permette all’admin di seguire le mosse dell’attaccante sul suo sito in tempo reale o di guardarsi i log ordinati per ip, data, ora e pagina con comodità in un secondo momento.

Scarica Evilsentinel 1.0.2 -> QUI!

Sito Ufficiale Progetto -> QUI!

Steganografia - Nascondere informazioni riservate o interi file in un’immagine. (S-TOOLS)

Pubblicato 14, Ottobre, 2007 Security Commenti

Negli ultimi tempi la nostra privacy non viene più rispettata ed è sempre più soggetta ad invasioni, se siamo oggetto di intercettazioni come far circolare delle informazioni strettamente riservate online senza farsi scoprire?

Viene in nostro soccorso la Steganografia, altro non è che la pratica di nascondere informazioni sensibili o interi file “top secret” in una comunissima immagine.

Le immagini contenenti le informazioni “pericolose” possono liberamente circolare sulla rete in chiaro, via email, pubblicate su un sito web, senza la paura di una possibile intercettazione perchè il file è nascosto nell’immagine e non può essere visto se non analizzando la stessa.

Vi chiederete, “come può avvenire questo processo?” Ebbene il concetto è semplicissimo, mettiamo il caso di avere un immagine GIF come successione di codici binari del tipo: I0010III II00I00I 0I0III0I I0III0I0 000III0I II0I0I0I I00000I0 000III00 00II0I0I ecc…

Ogni codice corrisponde ad un punto determinato dell’immagine, alterando la parte più a destra del codice binario si ha un cambiamendo minimo della colorazione, avendo un messaggio da nascondere, si andrà a sostituire il suo codice binario in modo parziale ad ogni codice dell’immagine, questo altererà si il colore ma in modo impercettibile dall’occhio dell’uomo, rendendo così possibile l’incorporamento dell’informazione al suo interno.

Questo metodo come tale ha un grosso problema, le informazioni che viaggiano nell’immagine sono in chiaro, quindi con una scansione della stessa è possibile risalire all’informazione contenuta, quindi una possibile soluzione è quella di criptare l’informazione con un robusto algoritmo di cifratura, in questo modo anche se l’immagine viene ispezionata non è possibile risalire al messaggio perchè criptato.

Diversi consigli che posso darvi sono quelli di non usare password brevi o legati alla persona per la codifica, non utilizzare immagini presenti del web in più copie, perchè analizzando l’immagine originale con la vostra il messaggio in essa contenuto si evidenzia da solo e per ultimo ma non per importanza, le informazioni contenute in un immagine possono essere solo 1/8 della dimensione dell’immagine altrimenti si avrebbe un alterazione dei colori molto evidente rendendo vano il nostro camuffamento.

Un software FREEWARE che ci permette di fare steganografia con immagini e anche file audio è S-TOOLS, questo software utilizza il metodo del trascinamento dei file e dei robusti algoritmi per la cifratura delle informazioni.

Scarica la versione 4 da QUI!

Caso Phishing: e-mail “Banca di Roma”

Pubblicato 27, Giugno, 2007 Security Commenti

Il tema di oggi doveva essere un altro, ma l’arrivo di una e-mail truffaldina mi ha spinto a trattare l’argomento Phishing ovvero le truffe online.

Oggi ho ricevuto un mail con mittente: Banca Di Roma e con oggetto: Banca Roma: Assistenza Banca via internet Privati.

La mail in questione l’ho riportata sotto:

portando il cursore del mouse sul link, noteremo che il link porta a http://ibiz.hau.ac.kr/mgyoon/profile/39.html e non al sito della Banca di Roma, così abbiamo scoperto che l’email è un specchietto per le allodole.

Successivamente ho provveduto a segnalare l’email alla Polizia Postale sul sito: http://www.commissariatodips.it

Email ricevuta alle 8,40 del 27/06/07

—————————————————————–

 

Caro membro Banca Di Roma,

Una nuova gamma completa di servizi online e adesso disponibile !Per poter usufruire dei nuovi servizi online Banca Di Roma occorre prima diventare UTENTE VERIFICATO.

https://www.bancaroma.it/verifica_profilo/index.htm

L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicita, provvedera immediatamente ad attivare il suo ” Nome Utente Verificato “.

Verrai informato telefonicamente di tale attivazione.Francamente, Reparto Di Rassegna Di Conti Di Banca Di Roma

Non risponda prego a questo E-mail.

Copyright © 2000 / 2007 Banca di Roma |

—————————————————————-

 

Cosa è il Phishing?

Con il termine Phishing si indicano tutte le tecniche che hanno per obiettivo il furto di dati personali, in particolare i dati di autenticazione come username e password, per procedere successivamente all’accesso delle risorse informatiche a disposizione dell’utente coinvolto.

Si realizza mediante tecniche di “ingegneria sociale”, ovvero raggiri dalle modalità più fantasiose per trarre in inganno l’utente e portarlo a rivelare spontaneamente i propri dati personali.

Il phishing si manifesta nella sua recrudescenza con lo spamming, quando migliaia di email vengono inviate alla ricerca di utenti dei servizi di homebanking da raggirare.

Riportando logo e indicazioni di una banca , la email invita a collegarsi attraverso un link per verificare i propri dati personali.

Spesso scritta in un cattivo italiano, la email contiene un link verso un sito clone di quello originario.

Nelle pagine replica si viene indotti a immettere i propri codici per un presunto controllo.

In realtà i dati vengono copiati e trasmessi ad un indirizzo di posta elettronica del malfattore che sarà così in grado di usarli al nostro posto.

Cosa fare per difendersi?

Come prima cosa è molto utile configurare il proprio client di posta elettronica in modo da ricevere mail in formato solo testo non in formato html, così si vedono meglio eventuali link nascosti e fraudolenti.

E’ opportuno disattivare l’anteprima per le mail ricevute e scaricare le immagini incluse nelle mail solo quando si è certi del destinatario.


Non visitare mai siti dove vi vengono chiesti user e password usando i link presenti nelle mail, ma digitarli a mano nel browser o usare i propri “preferiti”.

Diffidare sempre delle richieste via mail di user e password: le siti web “seri” non lo fanno quasi mai, e se lo fanno includono sempre delle “prove” che si tratta del sito autentico e non di un sito truffa, come ad esempio: la propria data di nascita, le ultime cifre della carta di credito e altre vostre credenziali.

 

Pagina Successiva »

Feeds RSS web, e-mail e mobile.

Creative Commons License
UnderGround0 World by
Parello Giuseppe è pubblicato sotto una Licenza Creative Commons.
La riproduzione di tutto o parte dei contenuti di questo sito potranno avvenire solo senza alcun scopo di lucro e dovranno riportare la fonte originaria ed un link a UnderGround0 World o quella degli autori orginari. I trasgressori saranno perseguiti secondo le norme:Art. 173ter e Art. 174ter

Web Hosting PHP, MYSQL ad un prezzo stracciato! Offerta! 8.99E


Il Gioco Della Vita



DISCLAIMER
Le informazioni da me divulgate sono da ritenersi a puro scopo informativo e di studio. Non mi assumo nessuna responsabilità riguardante l'uso improprio o illecito e di tutti i danni o perdite di guadagni che ne possano derivare.




Contatore Visite

  • 346,720 visite



Tophost Hosting























My blog is worth $923,387.24.
How much is your blog worth?



Berluscounter!

NoCocozza!