Programmazione, hacking e sicurezza informatica!
Articoli con tag facebook
Vulnerabilità XSS trovata su Twitter da un 15enne
01 mese fa
Un 15enne ha scoperto pochi giorni fa una vulnerabilità di tipo XSS (Cross site scripting) su Twitter. Il link alla vulnerabilità è questo:
https://dev.twitter.com/docs/follow-button#%3Cimg%20src=%22%3Cimg%20src=search%22/onerror=alert%28%22Xss-Found-By-Belmin%28~!White!~%29%22%29//%22%3E
Il bug è stato prontamente fixato, quindi non è più utilizzabile.
Oltre al bug su facebook, lo stesso utente assicura di aver trovato un’altra XSS su Facebook, e gli sono stati offerti 700 dollari da Facebook, come ricompensa.
Bug nella privacy di Facebook – Le foto personali di Mark in rete.
02 mesi fa
Scritto da Rocco Musolino
in News
Un bug nel sistema di gestione della Privacy su facebook, ha presumibilmente reso possibile il download di alcune fotografie private, appartenenti al capo esecutivo di Facebook, Marck Zuckemberg.
Circa 14 foto di Mr. Zuckemberg sono comparse in rete con la dicitura “E’ tempo di riparare questi difetti di sicurezza su Facebook“. Questa falla permetteva agli utenti di accedere a foto per loro private. Il colosso di Palo Alto, conferma che si è trattato di una debolezza temporanea, ora corretta.
Questa è la risposta ufficiale che giunge dal sito in blu:
Earlier today, we discovered a bug in one of our reporting flows that allows people to report multiple instances of inappropriate content simultaneously. The bug allowed anyone to view a limited number of another user’s most recently uploaded photos irrespective of the privacy settings for these photos. This was the result of one of our recent code pushes and was live for a limited period of time.
Lo stesso Zuckemberg ha detto che Facebook, protegge le informazioni personali dei propri utenti, meglio di ogni altra compagnia al mondo.
Attacco ClickJacking: Cosa devi sapere
12 mesi fa
Scritto da Rocco Musolino
in Hacking
L’ultimna novità in ambito Spam, per i proprietari di un account su facebook ha lasciato parecchi dubbi. Facebook ha ingaggiato gli uomini migliori per capire di cosa si trattasse.
Secondo una dichiarazione ufficiale, varie statistiche fatte sugli utenti, ha portato alla luce la tecnica più comunemente usata dagli hacker, per fare dello spam!
Il Clickjacking. Una sorta di script maligno propagatosi a livelli sorprendenti, in un arco di tempo cortissimo.
Il funzionamento di questo script è relativamente molto semplice. Prende il sopravvento su una pagina web, mascherandone il contenuto con una pagina nuova, ma rendendo i controlli sotto ancora attivi! Questo dunque, all’insaputa dell’utente, fa in modo che clikkando A, in realtà si clikki B. Ad una funzione apparente, se ne associa un’altra, a nostra insaputa (ma siamo stati noi stessi ad attivarla!).
Spesso gli utenti non si accorgo di ciò che in realtà sta succedendo, sono ignari. Più raramente gli utenti se ne accorgono invece.
Ci sono dunque, alcune cose che bisogna conoscere sul clickjacking per evitare che questa minaccia e capirne lo scopo:
1) Il Clickjacking è possibile quando un sito web è integrato con altro proveniente dall’esterno (un caso classico potrebbe essere una semplice pagina di facebook, o un’applicazione, che si integrano a facebook). Questi script malevoli stanno sotto il nostro mouse, nella pagina o in un link. E spesso ce ne accorgiamo perchè clikkando qualcosa di apparentemente normale, ci si apre una nuova finestra di navigazione, o peggio ancora inizia il download di eseguibili a noi sconosciuti.
2) E’ un codice maligno che gira virtualmente su un sito web senza che il proprietario possa effettivamente accorgersene o abbia la possibilità di fermarlo. E’ un tipo di attacco che le grandi compagnie con molte pagine e contenuti conoscono bene.
3) Il clickjacking è studiato per carpire quante più informazioni personali possibili.
4) Soltanto browser che non fanno utilizzo di interfaccia grafica sono immuni a questo tipo di attacco. Quindi VERAMENTE pochi.
5) Il clickjacking può sottrarre anche numeri di previdenza sociale, numeri di carta di credito e credenziali bancarie.
6) Lo script malevolo può funzionare senza la consapevolezza che l’utente lo sappia, ed installare svariati software dannosi per il nostro PC. Virus, adware, trojan e qualsiasi sorta di malware.
7) Un nuovo script per il clickjacking è stato recentemente scoperto. Esso può essere utilizzato per spiare nella webcam degli utenti, e attivare persino il microfono. Il tutto attraverso il software adobe flash. Infatti anch’esso è vulnerabile se permette al clickjacking ti attivare webcam e microfono. Mentre l’utente naviga ignaro sulla pagina, lo script per il clickjacking, se ne sta buono, in attesa che l’utente schiacci ignaro il bottone trasparente per dare l’autorizzazione ad usare attraverso adobe flash, la sua webcam e il suo microfono. E poi nulla impedisce di salvare lo stream di dati che si stabilisce fra la webcam dell’utente e il server.
Qui di seguito alcune truffe basate sul clickjacking, che hanno veramente spopolato, sul famoso social network in blu:
Non sono molti i suggerimenti disponibili, su come combattere il clickjacking. Molte compagnie di sicurezza informatica ci stanno lavorando su.
Gli unici suggerimenti che arrivano per neutralizzare il clickjacking, che in alcuni casi possono risultare efficaci, sono quelli di installare l’add-on NoScript per Firefox (e permettere solo a siti fidati di eseguire contenuti attivi).
Oppure l’alternativa più drastica, è quella di disattivare Javascript sul vostro browser, con tutti i lati negativi che comporta nel renderizzare le pagine di ultima generazione. (Quasi sicuramente dovreste rinunciare a visitare tutti i siti più popolari, che costituiscono ormai il cuore del traffico internet, e che fanno cospicuo uso di Javascript).
Come trovare l’indirizzo IP su facebook? – Tracciare gli utenti facebook.
02 mesi fa
Ho spesso sentito di gente insultata sul social network, con account fasulli o di amici, ovviamente sottratti ai legittimi proprietari. E ci si chiede sempre come sia possibile risalire alla vera identità della persona (partendo da come ottenere il suo indirizzo ip).
Ovviamente siamo su internet ragazzi, è colpa vostra se aggiungete qualche “random dude” che non conoscete, e contattare lo staff del social network, non darà alcun esito positivo. Dovreste saperlo ormai come funziona la cosa.
In ogni caso.. Questo è un modo di procedere, per ottenere l’indirizzo ip su facebook.
Troviamo l’indirizzo IP dell’utente
(se volessimo fare qualcosa di più articolato, sarebbe sufficente far clikkare l’utente su un’apposita pagina creata da noi, che servirà soltanto al puro scopo di registrare l’IP del visitatore. Ma se questo non rientra nelle tue competenze, continua la lettura).
Per farlo utilizzeremo il comando netstat di Windows. Se volete conoscere l’indirizzo ip di una specifica persona su facebook, o in un qualsiasi altro sistema di chat, c’è solo un modo: Invitarlo in chat, e mantenere la conversazione attiva nel frattempo che si apre il Prompt dei comandi di windows (start>esegui>cmd).
NB. Prima di procedere, assicurati di aver chiuso tutte le altre schede nel tuo browser, e mantenere solo facebook aperto. Se possibile elimina anche tutta la cronologia e la cache dal browser.
Quando il prompt dei comandi è aperto, digita il seguente comando e dai l’invio:
netstat -an
Qua di seguito altri possibili parametri per netstat:
-a Mostra tutte le connessioni e le porte in ascolto.
-e Mostra le statistiche Ethernet. Può essere combinato col parametro -s
-n Mostra in forma numerica gli indirizzi e i numeri di porta.
-s Mostra le statistiche ordinate per protocollo (può essere TCP, UDP o IP)
-r Mostra le tabelle di routing (indirizzamento).
Fatto questo, annotate tutti gli indirizzi IP “sospetti”. La giusta combinazione di parametri ci consentirà di poter isolare l’indirizzo ip che realmente vogliamo ottenere.
Il prossimo passo è:
Tracciamo l’utente utilizzando il suo indirizzo IP
Per farlo utilizzeremo un servizio di IP Tracer. Come questo:
http://www.ip-adress.com/ip_tracer/
Vi basterà incollare nell’apposito field, l’indirizzo IP bersaglio, dopo clikkare il pulsante “Track IP, host or website”. E su una mappa virtuale vi apparirà la possibile provenienza dell’IP. Posizionatevi sulla mappa e clikkate su “click for big ip address location”. Vi permetterà di zoomare sulla mappa. Se non è stato commesso alcun errore, arrivati a questo punto è sufficiente annotare i dettagli sull’ISP e contattarli in merito all’IP che avete. Vi risponderanno.
I 3 metodi per rubare un account Facebook!
12 mesi fa
Molte persone vorrebbero hackare un account di facebook per trovarne svariate informazioni. Siccome il nostro blog si focalizza sugli hacks, sulle truffe online e la programmazione, questo può sembrare un argomento piuttosto scottante.
Online abbiamo letto di molte guide simili per Myspace, hotmail etc. Ci sono molti siti truffa online che svolgono il lavoro per voi in cambio di denaro, o fantomatici “tools da hacker” per permettervi di farlo con 2 o al massimo 3 click 
tutto questo è altamente sconsigliato.
Questo articolo vi comunica realmente gli unici modi per hackerare una password di facebook e vedere le sue normali attività 
Ci sono esattamente 3 metodi, ed 2 di questi sono totalmente gratuiti.
Spy Software
(Software di norma a pagamento, alcuni dei quali molto efficaci per questo tipo di attività)
Un software spia, è sostanzialmente uno strumento che può essere usato per spiare una qualsiasi attività della vittima infetta, sul suo pc. Controllare quali sono i siti che visita, catturare la sua password di facebook (e anche di molti altri siti). Un software spia è comunque lontano dall’essere il miglior modo per hackerare la password facebook di qualcuno.
Ci sono molte aziende che vendono software spia, il problema spesso è che per leggere sono obbligati a segnalare con qualche notifica, che il computer è attualmente monitorato da un’altra persona.
Il che andrebbe benissimo per usi più comuni e non da “furbetto”. Ciò di cui veramente si ha bisogno dunque, è una soluzione INVISIBILE e REMOTA. Software fatti bene, con queste caratteristiche, se ne trovano veramente pochi.
Se invece noi viviamo con la persona che vogliamo hackerare, e bene, non abbiamo bisogno di una soluzione REMOTA. Se abbiamo accesso fisico al computer della vittima, ci basterà usare un’altra categoria di tools leggeri e gratuiti (la nirsoft fa da padrona in questo settore 
), che in tempo reale potranno estrapolare dal sistema, ogni informazione di cui abbiamo bisogno.
Phishing
(gratuito, ma più difficile da attuare)
Se passate su facebook tanto tempo, avrete sicuramente visto qualche volta, un vostro amico pubblicare strani link in bacheca (sulla sua o in quella di altri amici). Questo succede quando i vostri amici cadono vittima di qualche attacco, e gli spammers iniziano a propagandare questi siti “trappola” per poter mettere in rete un maggior numero di pesci (voi!) da vendere al mercato
Il Phishing è un processo atto a convincere qualcuno ad inserire le proprie credenziali d’accesso su un sito che è GRAFICAMENTE la copia di facebook. Questo è la dinamica con cui si svolge un attacco di questo tipo:
Social Engineering
Kevin Mitnick è stato il pionere di quest’arte… L’arte del persuadere e del raggiro è qualcosa che difficilmente si impara, bisogna avere una spiccata personalità e una certa dote innata.
Questo terzo modo, è il più banale all’apparenza, ma senz’altro uno dei più difficili da portare a compimento, con un tasso di successo legato a quanto davvero riusciamo a risultare convincenti (cosa c’è di più facile che impersonare un ingegnere facebook che chiede per motivi tecnici una determinata password?).
Fake Mail o una chiamata telefonica spesso possono fare miracoli.
- Conclusioni -
L’enorme vantaggio di un software spia sugli altri metodi è che invece di ottenere soltanto la password di facebook, è possibile ottenerla di molti altri siti.
Il Phishing resta comunque il metodo più diffuso per hackare account di facebook. E’ solitamente utilizzato su grande scala e non su bersagli specifici, questo aumenta le probabilità di successo e di conseguenza il numero di vittime. Il successo è stabilito in gran parte dal buon senso dell’utente e da quanto “credibile” risulta la vostra esca. Aprite gli occhi in rete e usate il buon senso!
Video del Facebook Notifier.
04 mesi fa
Tempo fa vi abbiamo mostrato il Facebook Notifier. Oggi lo riproponiamo finalmente in video!
Video in alta qualità
Eccovi anche due nuove foto:
Il client in Python è stato aggiornato in data 06/09/2011 ed è reperibile sulla pagina del Facebook Notifier.
Commenti