141

Navigare nel web in anonimato? Si può

by Andrea L. on 8 February 2010

Security route.jpgDa buon paranoico quale sono non mi stanco mai di ricercare la formula perfetta per la navigazione anonima. Spesso e volentieri chi mi conosce mi ha sentito dire che la sicurezza è come un’asta che separa il livello di necessità dall’ottimo raggiungibile. Lo scopo di chi fa security awareness è, o dovrebbe essere, quello di alzare quest’asta sempre più in alto, per se e per chi viene “consapevolizzato”. (Certo il limite è asintotico verso l’ottimo ma c’è tempo e margine di manovra ndA)

E’ evidente che il cammino verso il Santo Graal dell’anonimato è lungo e irto di insidie, ma oggi tentiamo di aggiungere e far chiarezza su dei tasselli importanti.

Dividiamo, astraendolo, il nostro passeggiare per il web su quattro livelli (dal più basso):

  • La strada – Il mezzo di trasmissione/comunicazione che utilizziamo per navigare (Strada asfaltata, strada brecciata, ADSL casalinga, WiFi, Cellulare…)
  • La rete stradale – L’insieme delle strade percorribili (Autostrade, Superstrade, Ferrovie, Telecom, Libero, Fastweb, Interbusiness e/o connessioni di tipo WAN)
  • Il mezzo di locomozione – Gli strumenti che utilizziamo per spostarci (scarpe/gambe, macchina, treno, browser, posta elettronica, social network)
  • Noi – Colui/colei che si sposta portando con se il proprio corpo, il proprio cervello e le proprie informazioni

La strada

Inutile che vi dica quanto sia importante la scelta della strada migliore per raggiungere una destinazione, vi faccio un esempio: “Siete in montagna, siete dei perfetti neofiti delle Alpi/Appennini, dovete arrivare sulla vetta del massiccio di turno ed avete tre possibilità:

  1. scalare la parete di roccia,
  2. percorrere il vecchio sentiero non più mantenuto dalla forestale,
  3. scegliere il sentiero consigliato: largo, con viste panoramiche e pieno di persone che potrebbero nel caso darvi una mano

Intuitivamente la maggior parte di voi avrà scelto l’opzione 3 (almeno lo spero) allora mi sapete spiegare perché per la vostra rete casalinga nel buon 50% dei casi utilizza protocolli insicuri che permettono ogni genere di nefandezze? :)

Io una risposta ce l’ho: “Il concetto di sicurezza informatica è contro-intuivo rispetto al concetto di semplicità” e me ne assumo in parte anche la colpa.

Consigli

  • Al neofita della montagna: la tua strada è (tautologicamente) tua, è privata, la paghi, ed hai tutto il diritto/dovere di mantenerla sicura, quindi per favore non disabilitate i protocolli di sicurezza anzi scegli i più appropriati ( ho sentito dire WPA2?) e con password che non siano “pippo, pluto, password, 12345, 123456, il vostro nome o quant’altro” ok?
  • All’esperto/smanettone di turno: “Ok sei figo e conosci tutte quelle sigle incomprensibili ai comuni mortali, procedure per il recovery dei router di mezzo mondo, mangi bash ed espelli binary ok…” Sei in un ghetto! Il tuo mondo è piccolissimo! Dismetti i panni del guru e comincia a fare un pò di proselitismo, ti manderanno a quel paese? SI (testato sulla mia pelle) ma non demordere i risultati in termini di soddisfazione, e non, arrivano.

La rete stradale

Qui il discorso è un pò differente vediamo di esemplificare. Devi andare a Roma che fai? Usi le ferrovie? Vai in autostrada? Passi per le vie secondarie?

La scelta si fa meno tecnica e più procedurale. Tutte le strade portano a Roma (cit.) quindi la questione si sposta sul:

  • A che ora devo essere a destinazione?
  • Qual’è la strada meno trafficata?
  • Dove ci sono meno velox? (questa è tutta personale ndA)
  • Quale costa di meno (velox esclusi)?

Ora veniamo al parallelo informatico con i punti di cui sopra (anche un pò paradossale ma tentate di seguire):

  • “La strada che sto per scegliere è la più veloce in assoluto, ma il carburante costa il doppio lungo il tragitto…”
  • “Questa è la meno trafficata ma chissà se mi fanno entrare, visto che sono LORO a scegliere chi entra e chi no e poi? Non ci sono mica tutte le uscite!!! Se volessi prendere la metro Settebagni?”
  • “Ah questa strada è veramente poco trafficata, ma se per errore superi il limite…a Roma non ci arrivi di sicuro”
  • per riparafrasare un vecchio spot “Velocità senza risparmio o risparmio senza velocità?”

Oggettivamente non esiste l’ottimo, ma si può sempre scegliere: prendereste mai una strada che seppur veloce e a “basso costo” non vi permette di scegliere a quale casello uscire, dove fare benzina e che per di più vi controlla ad ogni metro bastonandovi di sanzioni e segnalando la cosa alla polizia stradale?”

Ovviamente no! Ma la maggior parte ha un contratto con Telecom, molti si mettono in casa la Vodafone station ed altri si affidano a gestori che fanno esplicita manifestazione di bloccare determinati tipi di traffico/servizi/contenuti.

Consiglio

Prima di scegliere un gestore telefonico leggetevi il contratto e date un’occhiata alle clausole scritte in piccolo, o ancora meglio cercate quegli ISP che fanno esplicita menzione alla questione Net Neutrality rispettandola e non calpestandola e se proprio siete curiosi controllate cosa fa del vostro traffico il vostro attuale gestore - http://www.eff.org/testyourisp

Il mezzo di locomozione

Sulle questioni di anonimato il mezzo ha la sua importanza, i criminali hanno tutto da insegnarci in merito :) . Le targhe contraffatte e/o le macchine rubate la fanno da padrone in quelle attività di dubbia natura che fanno dell’anonimato un punto di forza.

biggest truck.jpgAbbiamo scelto la strada migliore, abbiamo scelto la rete più congeniale alle nostre esigenze e poi per passare inosservati utilizziamo un trasporto massi da cava? C’è effettivamente qualcosa che non va è evidente no?

Allora perché quando navighiamo su internet siamo leggiadri come un elefante in una cristalleria?

  • Alzi la mano chi di voi cancella i cookie
  • Resti con la mano alzata chi elimina cronologia ed affini
  • Di questi, chi lo fa ad ogni singola sessione di navigazione?

… meno di 1 su 1000! Ci scommetterei!

Fate un piccolo esperimento sulla vostra pelle. Andate su Panopticlick clickate su “Test Me” e sbalorditevi di quante e quali informazioni inconsapevolmente il vostro browser sta comunicando ai gestori di un sito, riuscirei a vedere addirittura quali codec avete installato sulla macchina. Mancano Nome e Cognome ma per quello semmai sono i cookie. Tutta questione di entropia.

Consiglio

Se avete un browser che ha l’opzione “Privacy Mode” (Firefox) o della “Navigazione in incognito” (Chrome) beh utilizzatela

Noi

La questione è più sociale che altro, e soprattutto rientriamo nei concetti di consapevolezza di cui all’inizio dell’articolo. In merito un pò di tempo fa ho scritto una breve ed astratta descrizione del funzionamento di Facebook che voglio citare:

… è un network, un grafo fittissimo di relazioni composto da:
Nodi

  • Le Persone – Ogni nodo è composto da tutte le informazioni che minuziosamente abbiamo compilato sul nostro profilo, dalle applicazioni con cui ci bombardano, dalle foto, dai commenti, dai messaggi
  • Le Community – Mettono in relazione le persone su interessi specifici (Le community sono tematiche ovviamente). Veri e propri Super Nodi di concentrazione d’informazione

Archi

Sono le relazioni con gli altri elementi (Nodi). Ogni Arco uscente dal nostro piccolo profilo punta innegabilmente verso un altro nodo, portando con se informazioni sul

  • Tipo di relazione (amicizia, random friendship…)
  • Peso della relazione basato sul numero di interazioni con il nodo (messaggi, applicazioni scambiate/usate ecc…
  • … whatever…

E la cosa subdola in tutto questo è che siamo noi ad inserire tutte queste informazioni.

Consiglio
Siate consapevoli delle informazioni che divulgate su voi stessi. Non sto predicando l’austerità voglio solo che siate coscienti delle informazioni che rendete disponibili e alla portata di tutti.

Ricapitolando

La strada: Siate accorti nell’utilizzare gli strumenti giusti per la navigazione in casa, e dirò di più, configurati nella maniera dovuta (WiFi deve andare a braccetto almeno con WPA2) :)

La rete stradale: Sottoscrivete, quando possibile, contratti con ISP che menzionino e rispettino la Net Neutrality

Mezzo di locomozione: utilizzate un browser che vi consenta di tenere sotto controllo le informazioni (tecniche e non) che inconsapevolmente condividete navigando su internet (Firefox, Chrome)

Noi: Navigate responsabilmente condividendo il giusto :)

Bonus Track: Se siete arrivati fino in fondo meritate un premio! Conoscete TOR? Beh se mi leggete dovreste. Immaginate di non poter fare affidamento in una Rete Stradale che soddisfi le vostre esigenze, che fare? Costruirsene una di sana pianta! Non sto parlando di scavare e stendere cavi ma di astrarre ancora un altro pò… ma torneremo sull’argomento, per ora il progetto mette a disposizione un utilissimo bundle da utilizzare out-of-the-box (immediatamente) ed automatizzare molte delle cose che abbiamo detto fino ad ora.

Buona navigazione … anonima :)

{ 1 comment }

Attivare Windows7 – Disabilitare il WAT con removeWAT

by Andrea L. on 2 February 2010

Parleremo di WAT – Windows Activation Technology, SPP – Software Protection Platform e SLC – Software Licensing Client e di come girare intorno alla questione attivazione almeno fino al prossimo aggiornamento Microsoft.

Abbiamo già parlato in precedenza di come fosse possibile attivare vista o crackare windows7 giocherellando con il bios e le SLIC table di ACPI, ma data l’uscita di Windows 7 (d’ora in avanti Seven o Win7) e data l’attualità dell’argomento (a quanti di voi sono scaduti i 120gg?) ho deciso di dare una profonda occhiata alla questione attivazione.

Su Seven e Windows Server 2K8 R2 il sistema di controllo delle licenze prende per l’appunto il nome di WAT, tale sistema è comprensivo degli ormai famosi (in Vista)  SPP ed SLC rispettivamente l’infrastruttura ed il client che si occupano di gestire le licenze e l’attivazione del sistema operativo (Genuine Windows vi dice niente?).

L’hack, o per meglio dire l’alzata d’ingegno alla base del sistema che vi proporrò sta nell’impedire l’utilizzo di questi due componenti evitando che lo SLUI.exe (Windows Activation Client) possa fare il suo dovere, impedendone di fatto l’esecuzione.

I due comandi che impediscono e restringo le credenziali d’accesso al WAT sono

takeown /F %WINDIR%\System32\sppcomapi.dll
icacls %WINDIR%\System32\sppcomapi.dll /deny *S-1-1-0:F

sppcomapi.dll è la libreria che controlla la maggior parte delle funzionalità SPP, negando l’accesso a tale DLL si annullano molte delle funzionalità ivi contenute, l’attivazione viene disabilitata così come il counter del periodo di prova, il quale continuerà a contare anche quando i giorni saranno oramai scaduti. (ndr LOL!)

Ma non è ancora sufficiente, disattivando i componenti di attivazione continueremo comunque ad avere le notifiche nel systray, il ” not genuine windows” e altre fastidiose notifiche. Non solo, il sistema continuerà a non essere validato dal WGA – Windows Genuine Advantage (dopo tutto ha anche le sue buone ragioni per dirlo) impedendo l’installazione di aggiornamenti non critici e non permettendo di installare il Microsoft Security Essential. (antivirus, antispyware and so on…)

Come evitare questi spiacevoli effetti indesiderati?

Esistono un paio di tool in grado di venire incontro alle nostre esigenze e che automatizzano buona parte (se non tutto) il processo descritto e sono rispettivamente:

Diamo un’occhiata al solo RemoveWAT:

Scritto e sviluppato da Hazar, nononsence, deepxw e geegeex è un crack per Seven che si occupa di rimuovere completamente il WAT – Windows Activation Technologies così che sia possibile validare la propria copia dell’OS anche se piratata. RemoveWAT supporta sia x86 che x64 ed è funzionante per gli os che attualmente utilizzano il nuovo sistema WAT (Win7 e Win2k8 R2).

Una volta clickato sul bottone “Remove WAT” il programma si occuperà di stoppare il servizio SPPSVC e di patchare alcune dll tra cui slwga.dll, sppcomapi.dll e systemcpl.dll, quest’ultima necessaria per eliminare la sezione activation dal pannello di controllo.

Da riga di comando è supportata anche l’opzione /s che sta per “silence” (dicono per OEM, LMAO!)

NB: Una volta scaricata l’applicazione a questo indirizzo non cancellate la cartella, vi sarà indispensabile per effettuare il Restore del WAT.

Buon test :)

Disclaimer: Le informazioni contenute nell’articolo sono da ritenersi a puro scopo informativo/didattico
Warning: Il sottoscritto non si ritiene responsabile per i danni causati da un uso improprio (o non) delle istruzioni riportate di seguito, l’articolo è da intendersi “AS IS”, senza supporto o altro genere d’assistenza (e a che titolo poi? ndr)

Crackare il software è illegale! “E’ come rubare” (cit.)

{ 0 comments }

Twitter – I must follow della sicurezza

by Andrea L. on 1 February 2010

Nel processo di “socializzazione” dell’informazione che sto tentando di portare avanti, una tappa obbligata è quella interagire con uno strumento di informazione diretta, leggete pure Twitter.

Ovviamente il focus è quello dell’ICT nello specifico si parla di security, un mondo che negli ultimi anni non ha brillato per trasparenza nella “catena dell’informazione” sostituendo i valori dell’etica (hacker) e della full disclosure con una visione quasi esclusivamente weberiana, “ma questa è un’altra storia e si dovrà raccontare un’altra volta” (cit.)

Tornando a noi, nell’ottica di decentralizzare e dell’ampia diffusione Twitter è lo strumento che fa al caso nostro, una sorta di fiume di dati (se non filtrati ovviamente) che spesso può tornare molto utile  per avere informazioni “main stream” di prima mano, giusto 2 query d’esempio

http://search.twitter.com/search?q=hacked

Twitter - Hacked.PNG

http://search.twitter.com/search?q=0day

Twitter - 0day.PNG

Al di là delle bimbominkiate (inevitabili) qualche informazione la si trova sempre :)

Non dilungandomi oltremodo mi “permetto” proporvi un pò di fonti sul tema  INFOrmation SECurity spero vi sia utile (tanto quanto lo è per me):

PS: Questa selection è quasi esclusivamente extra-nazionale, se qualcuno ha suggerimenti sono ovviamente bene accetti

{ 0 comments }

Stay Hungry. Stay Foolish.

29 January 2010

Voglio raccontarvi tre storie della mia vita.
Tutto qui, niente di eccezionale: solo tre storie.

La prima storia è su una cosa che io chiamo ‘unire i puntini’ di una vita.
Quand’ero ragazzo, ho abbandonato l’università, il Reed College, dopo il primo semestre. Ho continuato a seguire alcuni corsi informalmente per un altro anno e mezzo, poi me ne sono andato del tutto. Perché l’ho [...]

Prosegui →

Google Friend e Google Translate

28 January 2010

Breve informazione di servizio!
Sono state aggiunte nella sidebar del blog due widget come da oggetto del post, qualora siate forniti di Google account vi invito ad iscrivervi
Google Friend Connect
Non si vince niente e non vi arriva la finanza a casa state tranquilli, non avete niente da perdere. Io di contro partita ci guadagno [...]

Prosegui →

GSM cypher is Gone! Crackato! Kaput!

27 January 2010

Forse è il segreto di pulcinella, ma qualora fosse passato inosservato vi comunico che l’algoritmo di cypher alla base dell’encoding delle comunicazioni GSM è andato a farsi f…friggere!
Don’t Panic?
Parliamone!
Ogni anno alla CCC – Chaos Communication Congress ne succedono delle belle. La 26th edizione (26C3) non è stata da meno regalandoci la chicca di un fantastico [...]

Prosegui →

Ксения Симонова – песочная анимация

26 January 2010

Il dramma della guerra in Ucraina (WWII), visto tramite Kseniya Simonova vincitrice de “Ukraine’s Got Talent”.
Magnifico, struggente…sono senza parole

Prosegui →

← Previous Entries