Archivio per febbraio 2008

Anonymous Remailer, inviare e-mail anonime.

Gli Anonymous Remailer o Remailer Anonimi, sono dei server di posta che consentono di scambiare messaggi e-mail senza che si possa scoprire il mittente originale, permettendo così di comunicare liberamente senza ritorsione alcuna, purtroppo ci sono ancora paesi che non consentono la libertà di espressione, un esempio la Cina.

Questi server non tengono log di nessun genere, non memorizzano IP e permettono di cambiare l’header del messaggio con un altro header falso.

Molti remailer prendono carico solo le mail criptate in PGP, quindi per poterli utilizzare bisogna avere la chiave pubblica del remailer, di solito è possibile reperirla scrivendo una mail vuota con oggetto “remailer-key”.

Se vogliamo inviare una mail a tizio@provider.it, usando un remailer, dobbiamo far precedere il tutto da un’intestazione come questa:

****************************************************

::
Anon-To: tizio@provider.it

Il messaggio… bla bla bla…

*****************************************************
Ricordatevi una riga vuota e i due punti all’inizio, la riga Anon-To contiene il destinatario finale del messaggio e-mail, adesso si deve criptare il tutto con la remailer-key.

Il messaggio crittato deve a sua volta avere un intestazione come questa:

***************************************************************

From: linus@tolvalds.com
To: anon@remailer.org
::
Encrypted: PGP

****************************************************************

La prima riga è il falso mittente della mail, la seconda è l’indirizzo del remailer anonimo, ricordatevi i due punti e la digitura Encrypted: PGP.

Il risultato finale dovrebbe essere simile a questo:

****************************************************************

From: linus@tolvalds.com
To: anon@remailer.org
::
Encrypted: PGP

-----BEGIN PGP MESSAGE-----
Version: 3.0.1i

cSHT4zCbQmtlbzGFM9T0jSD7QVvEzaPcUlBSSWHQclbnR9YWJNp5BFSLdR9s
owE1jMsNwjAUBH3gZMk9PClnUoBPUANpwElW2OBPZD8H0gd1UCP2gduuNDNfj
-----END PGP MESSAGE-----

****************************************************************

Non appena il remailer riceverà la vostra mail la decritterà e la invierà a destinazione, oppure è possibile inviare la mail ad un altro remailer, ricordando di crittarla con la sua chiave pubblica, concatenando più remailer si ha una maggiore sicurezza.

Tuttavia i remailer non sono affidabili al 100%, è possibile che un messaggio venga perso, quindi è consigliabile spedirne più copie.

Vi segnalo portale italiano, www.autistici.org, che oltre al remailer anonimo, offre tanti servizi, utilissimi per la privacy:

  • Account e-mail anonimi tipo tuonome@autistici.org ecc…( non analizzano la posta ai fini di pubblicità, diversamente da gmail.com)
  • Mailing-list anonime
  • Spazio Web e Piattaforme Blog

Il tutto gratuitamente, senza fini di lucro, il progetto vive di sole donazioni da parte degli utenti, quindi una donazione conviene sempre farla!

Policy del Network Autistici – Inventati

Annunci

GPG, e-mail al sicuro con la crittografia militare Open Source

GnuPG (Gnu Privacy Guard) o anche GPG è un software Open Source, compatibile con il famoso sistema di crittografia PGP, è sviluppato dalla Free Software Foundation.

Compatibile con tutti i sistemi operativi e con molti programmi OpenSource, il livello di robustezza raggiunto è tale, che nemmeno i “potenti” servizi segreti Americani sono riusciti a decrifrarlo.

E’ possibile utilizzarlo per crittare le nostre mail utilizzando il comunissimo client Thunderbird, tramite un plug-in scritto ad hoc, dal nome EnigMail.

Tutto questo è dovuto per il crescente bisogno di comunicare in modo sicuro e semplice, senza che terzi, possano reperire le nostre informazioni confidenziali scambiate.

GnuPG permette di nascondere, dietro a una serie di simboli e caratteri stampabili, delle informazioni o messaggi decodificabili solo dal destinatario finale e dal suo mittente, quindi anche se il messaggio viene intercettato, non sarà possibile carpirne il contenuto.

Ciò è possibile poichè si usa una cifratura a chiave asimmetrica, cioè mittente e destinatario dispongono di una identica chiave di codifica e un’altra per la decodifica.

Ogni utente dispone di una chiave pubblica e di una chiave privata, la prima può essere diffusa senza alcun problema, serve appunto alla codifica del messaggio; la seconda chiave privata, è protetta da una passphrase (un intera frase), questa chiave viene usata per la decodifica e garantisce dunque che sia solamente il destinatario a leggere le informazioni contenute nel messaggio.

La chiave pubblica può essere inviata tramite posta elettronica oppure può essere inviata a dei KeyServer, dei server “magazzino” usati per scambiarsi la chiave pubblica, senza bisogno di inviarla ogni volta.

Tutto ciò può sembrare astruso e complicato da realizzare, ma è tutto svolto autonomamente dai programmi.

Due consigli: quando generate le chiavi, usate una passphrase abbastanza complicata e scegliete una chiave di grosse dimensioni 4096 bit.

Vulnerabilità: Cross Site Scripting, XSS

Analizziamo un attacco della tipologia “Code Injection“, il Cross Site Scripting o “XSS”.

Con la tecnica XSS, possiamo attaccare sia un portale dinamico che un sito statico, il tutto si basa sull’iniezione di codice che devia il normale comportamento della piattaforma, praticamente bisogna far girare degli Script Malevoli nel sito direttamente dal browser.

Osserviamo un esempio, ecco il codice di una pagina vulnerabile:

<html>
<head>
<title>Sito Vulnerabile Cross Site Scripting "XSS"</title>
<script type="text/javascript">
function prova() {
var ins=prompt("Inserisci un numero...");
return prova;
</script>
</head>
<body>
<script type="text/javascript">
insert=prova();
document.write("Il numero che hai inserito è ",insert);
</script>
</body>
</html>

Questa pagina html, contiene un piccolo JavaScript, il cui compito è quello di stampare a video, il numero che abbiamo precedentemente inserito, ad un utente smaliziato salta subito all’occhio che il codice non ha controlli, inserendo una parola tra due apici “Ciao bello”, il codice della pagina muterà in

document.write("Il numero che hai inserito è ","Ciao Bello");

così facendo abbiamo mutato il valore della variabile, fin qui niente di pericoloso, e se invece inseriamo del codice Javascript esempio:

<script>alert("Questo sito è Vulnerabile!!!")</script>

Facile, il codice sorgente muterà ancora, il risultato sarà la comparsa di una finestrella Alert con scritto “Questo sito è Vulnerabile!!!” .

Bene, per chi conosce il javascript è un gioco da ragazzi far girare qualsiasi script, pensiamo ad un cookie grabber, ovvero il furto dei cookie.

Una vulnerabilità così semplice, che spesso viene ignorata dagli Admin può portare a gravi conseguenze, si può facilmente arrivare anche al pieno controllo del portale.


Feeds RSS web, e-mail e mobile.

Creative Commons License
UnderGround0 World è pubblicato sotto una Licenza Creative Commons.
La riproduzione di tutto o parte dei contenuti di questo sito potranno avvenire solo senza alcun scopo di lucro e dovranno riportare la fonte originaria ed un link a UnderGround0 World o quella degli autori orginari. I trasgressori saranno perseguiti secondo le norme:Art. 173ter e Art. 174ter



Il Gioco Della Vita



DISCLAIMER
Le informazioni da me divulgate sono da ritenersi a puro scopo informativo e di studio. Non mi assumo nessuna responsabilità riguardante l'uso improprio o illecito e di tutti i danni o perdite di guadagni che ne possano derivare.

Contatore Visite

  • 1,054,515 visite




















My blog is worth $923,387.24.
How much is your blog worth?



Berluscounter!

NoCocozza!

febbraio: 2008
L M M G V S D
« Gen   Mag »
 123
45678910
11121314151617
18192021222324
2526272829