Programmazione, hacking e sicurezza informatica!
Articoli con tag Hack
Far funzionare Siri con un radio termostato
01 mese fa
Un hacker ha alterato il proprio assistente vocale Siri, sul proprio iPhone, per interagire con la temperatura del termostato di casa. Questo apre la via ad un nuovo modo di utilizzare Siri in casa!
Pete è il nome con cui l’hacker si fa chiamare, ha tweetato la cosa online e pubblicato un video che lo mostra in azione.
L’hack funziona utilizzando un server proxy per Siri, che gli consente la connessione con altri dispositivi, senza aver il telefono necessariamente jailbrekkato.
Il funzionamento è sorprendente, Siri riesce a rilevare correttamente la temperatura attuale segnata e a modificarla sul termostato.
La cosa funziona solo con Siri che sfrutta algoritmi di riconoscimento vocali all’avanguardia. Non è possibile attualmente portare questa tecnologia fuori dai devices apple poichè essi sono strettamente interconnessi con i server apple dedicati, e si identificano con essi attraverso un codice univoco ad ogni iphone 4s. E’ possibile inoltre che chiunque provi a condividere il proprio codice identificativo per forzare l’accesso da altri dispositivi finisca su una blacklist, con restrizione perenne al servizio Siri.
Il video menzionato sopra è proposto qua in calce all’articolo, buona visione:
Vulnerabilità XSS trovata su Twitter da un 15enne
01 mese fa
Un 15enne ha scoperto pochi giorni fa una vulnerabilità di tipo XSS (Cross site scripting) su Twitter. Il link alla vulnerabilità è questo:
https://dev.twitter.com/docs/follow-button#%3Cimg%20src=%22%3Cimg%20src=search%22/onerror=alert%28%22Xss-Found-By-Belmin%28~!White!~%29%22%29//%22%3E
Il bug è stato prontamente fixato, quindi non è più utilizzabile.
Oltre al bug su facebook, lo stesso utente assicura di aver trovato un’altra XSS su Facebook, e gli sono stati offerti 700 dollari da Facebook, come ricompensa.
Attacco ClickJacking: Cosa devi sapere
12 mesi fa
Scritto da Rocco Musolino
in Hacking
L’ultimna novità in ambito Spam, per i proprietari di un account su facebook ha lasciato parecchi dubbi. Facebook ha ingaggiato gli uomini migliori per capire di cosa si trattasse.
Secondo una dichiarazione ufficiale, varie statistiche fatte sugli utenti, ha portato alla luce la tecnica più comunemente usata dagli hacker, per fare dello spam!
Il Clickjacking. Una sorta di script maligno propagatosi a livelli sorprendenti, in un arco di tempo cortissimo.
Il funzionamento di questo script è relativamente molto semplice. Prende il sopravvento su una pagina web, mascherandone il contenuto con una pagina nuova, ma rendendo i controlli sotto ancora attivi! Questo dunque, all’insaputa dell’utente, fa in modo che clikkando A, in realtà si clikki B. Ad una funzione apparente, se ne associa un’altra, a nostra insaputa (ma siamo stati noi stessi ad attivarla!).
Spesso gli utenti non si accorgo di ciò che in realtà sta succedendo, sono ignari. Più raramente gli utenti se ne accorgono invece.
Ci sono dunque, alcune cose che bisogna conoscere sul clickjacking per evitare che questa minaccia e capirne lo scopo:
1) Il Clickjacking è possibile quando un sito web è integrato con altro proveniente dall’esterno (un caso classico potrebbe essere una semplice pagina di facebook, o un’applicazione, che si integrano a facebook). Questi script malevoli stanno sotto il nostro mouse, nella pagina o in un link. E spesso ce ne accorgiamo perchè clikkando qualcosa di apparentemente normale, ci si apre una nuova finestra di navigazione, o peggio ancora inizia il download di eseguibili a noi sconosciuti.
2) E’ un codice maligno che gira virtualmente su un sito web senza che il proprietario possa effettivamente accorgersene o abbia la possibilità di fermarlo. E’ un tipo di attacco che le grandi compagnie con molte pagine e contenuti conoscono bene.
3) Il clickjacking è studiato per carpire quante più informazioni personali possibili.
4) Soltanto browser che non fanno utilizzo di interfaccia grafica sono immuni a questo tipo di attacco. Quindi VERAMENTE pochi.
5) Il clickjacking può sottrarre anche numeri di previdenza sociale, numeri di carta di credito e credenziali bancarie.
6) Lo script malevolo può funzionare senza la consapevolezza che l’utente lo sappia, ed installare svariati software dannosi per il nostro PC. Virus, adware, trojan e qualsiasi sorta di malware.
7) Un nuovo script per il clickjacking è stato recentemente scoperto. Esso può essere utilizzato per spiare nella webcam degli utenti, e attivare persino il microfono. Il tutto attraverso il software adobe flash. Infatti anch’esso è vulnerabile se permette al clickjacking ti attivare webcam e microfono. Mentre l’utente naviga ignaro sulla pagina, lo script per il clickjacking, se ne sta buono, in attesa che l’utente schiacci ignaro il bottone trasparente per dare l’autorizzazione ad usare attraverso adobe flash, la sua webcam e il suo microfono. E poi nulla impedisce di salvare lo stream di dati che si stabilisce fra la webcam dell’utente e il server.
Qui di seguito alcune truffe basate sul clickjacking, che hanno veramente spopolato, sul famoso social network in blu:
Non sono molti i suggerimenti disponibili, su come combattere il clickjacking. Molte compagnie di sicurezza informatica ci stanno lavorando su.
Gli unici suggerimenti che arrivano per neutralizzare il clickjacking, che in alcuni casi possono risultare efficaci, sono quelli di installare l’add-on NoScript per Firefox (e permettere solo a siti fidati di eseguire contenuti attivi).
Oppure l’alternativa più drastica, è quella di disattivare Javascript sul vostro browser, con tutti i lati negativi che comporta nel renderizzare le pagine di ultima generazione. (Quasi sicuramente dovreste rinunciare a visitare tutti i siti più popolari, che costituiscono ormai il cuore del traffico internet, e che fanno cospicuo uso di Javascript).
Iphone – Siri utilizzato come telecomando TV.
02 mesi fa
Un hacker di nome Tood Treece, ha realizzato un piccolo hack, che vede protagonista il sistema di riconoscimento vocale per Iphone, Siri.
Tood ha utilizzato l’assistente vocale per cambiare canale TV, in salotto. Un telecomando, quello del futuro, controllato con la nostra voce.
Per permettere il corretto funzionamento del sistema, è necessario introdurre dell’hardware nuovo. In particolare per questo progetto è stato utilizzato:
- Arduino
- WiFly shield
- antenna per lo shield
- Led infrarosso 950nm
- Ricevitore infrarosso.
Lato software sono state impiegate due librerie realizzate appositamente per il bootloader di arduino:
- IR Remote Library
- IR decode (sketch)
Inoltre in questo progetto viene utilizzato Siri Proxy, per inviare comandi ad un Arduino connesso in rete locale, attraverso socket TCP.
Siri risponde a domande del tipo, “Siri, can you change the channel to the History channel?” e risponde dicendo cosa state attualmente guardando in tv e se si vuole confermare il comando vocale.
Ci è piaciuta particolarmente la risposta di Siri, data dopo aver scoperto che Piers Morgan stasera è su CNN. “Do you really want to watch this crap?” 
Dopo che l’iphone invia il comando alla nostra board, attraverso appunto il protocollo di trasmissione tcp. Vengono richieste informazioni aggiuntive sul canale che abbiamo scelto, direttamente da un sito “guida TV”. Una sorta di televideo online.
Qua sotto, potete osservare un video dell’ottimo lavoro svolto:
Il codice usato nella realizzazione del progetto potete trovarlo, sulla pagina github dello sviluppatore.
Steam Hacked, sottratte informazioni su carte di credito.
02 mesi fa
La vicenda ricorda molto gli attacchi hacker a Sony.
Questa settimana, Gabe Newell, cofondatore di Valve Corporation, annuncia che il network di gioco Steam, è stato vittima di un attacco telematico. Tutto ha preso piede dai loro forum, defacciati. Questo ha messo a rischio le informazioni personali degli utenti, tra cui i numeri di carta di credito usata dagli utenti per gli acquisti online. I Forum sono stati defacciati. L’attacco è cessato questa domenica. Valve sta attualmente indagano e informando chiunque abbia informazioni personali su Steam di tenere sotto controllo le attività della propria carta di credito per possibili attività fraudolente.
Dopo l’attacco i forum di Steam sono stati chiusi, e rimarrano tali fino ai prossimi accertamenti sulla sicurezza. Questo è il comunicato ufficiale apparso sui forum Steam:
Incerte le vulnerabilità che hanno permesso agli hackers l’attacco.
I 3 metodi per rubare un account Facebook!
12 mesi fa
Molte persone vorrebbero hackare un account di facebook per trovarne svariate informazioni. Siccome il nostro blog si focalizza sugli hacks, sulle truffe online e la programmazione, questo può sembrare un argomento piuttosto scottante.
Online abbiamo letto di molte guide simili per Myspace, hotmail etc. Ci sono molti siti truffa online che svolgono il lavoro per voi in cambio di denaro, o fantomatici “tools da hacker” per permettervi di farlo con 2 o al massimo 3 click tutto questo è altamente sconsigliato.
Questo articolo vi comunica realmente gli unici modi per hackerare una password di facebook e vedere le sue normali attività 
Ci sono esattamente 3 metodi, ed 2 di questi sono totalmente gratuiti.
Spy Software
(Software di norma a pagamento, alcuni dei quali molto efficaci per questo tipo di attività)
Un software spia, è sostanzialmente uno strumento che può essere usato per spiare una qualsiasi attività della vittima infetta, sul suo pc. Controllare quali sono i siti che visita, catturare la sua password di facebook (e anche di molti altri siti). Un software spia è comunque lontano dall’essere il miglior modo per hackerare la password facebook di qualcuno.
Ci sono molte aziende che vendono software spia, il problema spesso è che per leggere sono obbligati a segnalare con qualche notifica, che il computer è attualmente monitorato da un’altra persona.
Il che andrebbe benissimo per usi più comuni e non da “furbetto”. Ciò di cui veramente si ha bisogno dunque, è una soluzione INVISIBILE e REMOTA. Software fatti bene, con queste caratteristiche, se ne trovano veramente pochi.
Se invece noi viviamo con la persona che vogliamo hackerare, e bene, non abbiamo bisogno di una soluzione REMOTA. Se abbiamo accesso fisico al computer della vittima, ci basterà usare un’altra categoria di tools leggeri e gratuiti (la nirsoft fa da padrona in questo settore 
), che in tempo reale potranno estrapolare dal sistema, ogni informazione di cui abbiamo bisogno.
Phishing
(gratuito, ma più difficile da attuare)
Se passate su facebook tanto tempo, avrete sicuramente visto qualche volta, un vostro amico pubblicare strani link in bacheca (sulla sua o in quella di altri amici). Questo succede quando i vostri amici cadono vittima di qualche attacco, e gli spammers iniziano a propagandare questi siti “trappola” per poter mettere in rete un maggior numero di pesci (voi!) da vendere al mercato
Il Phishing è un processo atto a convincere qualcuno ad inserire le proprie credenziali d’accesso su un sito che è GRAFICAMENTE la copia di facebook. Questo è la dinamica con cui si svolge un attacco di questo tipo:
Social Engineering
Kevin Mitnick è stato il pionere di quest’arte… L’arte del persuadere e del raggiro è qualcosa che difficilmente si impara, bisogna avere una spiccata personalità e una certa dote innata.
Questo terzo modo, è il più banale all’apparenza, ma senz’altro uno dei più difficili da portare a compimento, con un tasso di successo legato a quanto davvero riusciamo a risultare convincenti (cosa c’è di più facile che impersonare un ingegnere facebook che chiede per motivi tecnici una determinata password?).
Fake Mail o una chiamata telefonica spesso possono fare miracoli.
- Conclusioni -
L’enorme vantaggio di un software spia sugli altri metodi è che invece di ottenere soltanto la password di facebook, è possibile ottenerla di molti altri siti.
Il Phishing resta comunque il metodo più diffuso per hackare account di facebook. E’ solitamente utilizzato su grande scala e non su bersagli specifici, questo aumenta le probabilità di successo e di conseguenza il numero di vittime. Il successo è stabilito in gran parte dal buon senso dell’utente e da quanto “credibile” risulta la vostra esca. Aprite gli occhi in rete e usate il buon senso!
Commenti