Open and Distributed DNS (ODDNS) è una nuova risorsa per la risoluzione dei nomi a dominio ideata da un programmatore francese, per aggirare la censura dei siti. È basata su BIND, un prodotto open source, e scritta in PHP: compatibile con tutti i sistemi operativi, richiede delle competenze avanzate e predilige l’utilizzo di Linux.
Indubbiamente, dal punto di vista tecnico una soluzione del genere è limitata a quanti conoscono bene l’amministrazione delle reti. ODDNS ha un lato-server, dedicato alla propagazione del Domain Name System (DNS), e un lato-client per la risoluzione degli indirizzi: l’installazione di base del sistema li dovrebbe prevedere entrambi.
Se il meccanismo di funzionamento è complesso e la piattaforma in sé non è del tutto originale, ODDNS è comunque un’intuizione che potrebbe avere delle conseguenze “rivoluzionarie”. Il presupposto è sottrarre la gestione dei DNS ai provider, restituendone l’amministrazione agli utenti: il sistema potrebbe creare una rete anarchica.
Continua a leggere: ODDNS: una soluzione contro la censura, dalla Francia, grazie a BIND
La Defense Advanced Research Projects Agency (DARPA), ovvero l’agenzia per lo sviluppo di nuovi equipaggiamenti militari degli Stati Uniti, ha avviato un ambizioso progetto di crowdsouring sul web che dovrebbe aiutare a ridurre il ciclo di produzione degli armamenti: un processo che richiederebbe ca. 10~20 anni, ad appena 2~4 anni.
Il Pentagono ha commissionato la realizzazione d’una piattaforma open source per la gestione distribuita dei progetti di ricerca. La DARPA pubblicherà dei bandi di concorso per invitare professionisti e società a realizzare nuovi prototipi, che saranno valutati da General Electrics (GE) e Massachusetts Institute of Technology (MIT).
Il portale, vehicleforge.mil, sarà dedicato all’ideazione di veicoli corazzati o carri armati: utilizzerà wiki e forum di discussione per coinvolgere i collaboratori esterni alla DARPA. Inoltre, sarà distribuito il codice sorgente della tecnologia impiegata nella piattaforma perché possa essere applicato ad altri ambiti di ricerca.
Via | The New York Times
Bender di Futurama a sorpresa ha vinto le elezioni come Direttore del Consiglio Scolastico di Washington DC, trionfando su avversari tosti (ed altrettanto inquietanti) quali Skynet da Terminator. Si trattava solo di un gioco, ma purtroppo per il sistema di votazioni elettroniche creato per gestire le elezioni vere, che si sarebbero dovute tenere di lì a poco, è stata anche un’accurata simulazione della realtà da cui tutti hanno imparato. Quando un sistema non è sicuro, gli hacker hanno la meglio in quattro e quattr’otto - E generalmente la vittoria è totale.
Questa volta si trattava di “hacker buoni”, come amano definirli la stampa e le autorità. E’ successo tutto nel ormai lontano 2010, ma i particolari sono venuti alla luce solo a febbraio 2012, quando il professor Alex Halderman dell’Unversità del Michigan ha pubblicato il suo rapporto su una specie di concorso indetto dal comitato elettorale di Washington DC: un nuovo sistema di voto elettronico doveva essere messo in funzione, e tutti (pubblico ed esperti) erano invitati a provare a violarlo.
Il professore non si è certo tirato indietro: “Era un’opportunità troppo meravigliosa per lasciarsela scappare. Quante volte nella vita ti capita di hackerare un network governativo senza rischiare di finire in gattabuia?”. Assieme ad un team di studenti dottorandi, quindi, si è messo a dare la caccia alle falle. In realtà non ci è neppure voluto molto.
Continua a leggere: Vincono gli "hacker": Bender eletto direttore scolastico a Washington DC
Durante il mese di agosto del 2011, in congiunzione con la visita del papa a Madrid in occasione della Giornata Mondiale della Gioventù, Anonymous ha portato a termine senza successo un vero e proprio assedio informatico alle risorse del Vaticano.
Se ne è parlato davvero poco, proprio in virtù della scarsa trazione generata da questi attacchi e della sostanziale sconfitta di Anonymous su tutta la linea. Dal canto loro, le autorità ecclesiastiche hanno preferito tacere e far passare la faccenda sotto silenzio, ritenendo qualsiasi pubblicità negativa per i propri interessi. Il New York Times, tuttavia, ha pubblicato un articolo che dettaglia come l’intera cronotabella dell’attacco sia stata accuratamente monitorata da Imperva, un’agenzia di sicurezza informatica sotto contratto della Santa Sede. Imperva ha pubblicato il rapporto omettendo il nome del proprio datore di lavoro, ma è piuttosto facile capire che è proprio l’attacco al Vaticano quello spiegato con cura certosina.
Questo ci dà una possibilità unica: esaminare con attenzione tutte le mosse di Anonymous. L’attacco è cominciato con una metodologia normale per questo conglomerato eterogeneo di “hacktivisti”. Dall’America del Sud e dal Messico sono arrivati degli appelli ad agire, che per effetto virale si sono diffusi attraverso la struttura aperta di Anonymous. Lentamente questi appelli hanno preso la forma di in una “missione collettiva” che è stata definita a furor di popolo Operation Pharisee, ovverosia Operazione Fariseo.
Continua a leggere: L'attacco di Anonymous al Vaticano: cronaca di un insuccesso
Il fatto che Google offra ricompense a chi riesce a bucare i suoi prodotti non è una novità, come saprà chi ha seguito le ultime edizioni del famoso Pwn2Own: proprio in questa competizione Chrome è riuscito a uscire a testa alta di fronte ai numerosi attacchi condotti dai partecipanti.
A quanto pare però Google non è ancora contenta del livello di sicurezza raggiunto dal proprio browser, ed è infatti intenzionata a offrire un totale di 1 milione di $ in ricompense agli hacker che riusciranno a bucare Chrome. Nel dettaglio, l’azienda americana pagherà nel Pwn2Own 2012 20.000$ a chi riuscirà a sfruttare bug esterni in Windows, Flash o driver di dispositivi, violando così la sicurezza del browser. Ma i premi non si fermano qui, visto che 40.000$ andranno a chi invece sfrutterà bug “a metà” tra Chrome e per esempio il sistema operativo, mentre 60.000$ saranno invece la ricompensa di chi riuscirà a bucare il browser sfruttando esclusivamente suoi bug.
Le offerte di Google faranno sicuramente gola agli hacker presenti, per i quali in realtà ci sono già i premi sponsorizzati da HP ai primi tre piazzati nella competizione: nell’ordine, 60.000$, 35.000$ e 15.000$. Ovviamente l’intenzione di Google non è quella di farsi beneficenza, ma tra le righe quella di fare pubblicità alla sicurezza del suo browser, andando contemporaneamente a ottenere test di qualità da esperti specializzati in sicurezza: unica richiesta da parte dell’azienda è quella di ricevere i dettagli della vulnerabilità da parte del suo scopritore.
Via | Forbes.com
Brutto incidente per YouPorn, diventato nel corso del tempo uno dei colossi della pornografia online e per questo dotato di un buon numero di utenti registrati. Proprio 6.400 di questi si sono visti pubblicare le loro password su Pastebin, con tanto di indirizzi email associati, tutto rigorosamente in chiaro.
Oltre alla possibilità per terzi di accedere al sito con un account altrui, il rischio è anche quello di accessi non autorizzati su altre piattaforme più importanti nel caso in cui si usi la stessa password dappertutto. Ma la pubblicazione di questi risultati pone ovviamente anche il problema relativo alla privacy dei possessori degli account violati, che sicuramente non vogliono fare sfoggio su Internet del loro amore per la pornografia.
A quanto pare, il dump degli account sarebbe stato realizzato da un hacker per il momento rimasto anonimo, mentre YouPorn si è affrettato a chiudere il server contenente la falla in grado di permettere tale operazione. Gli account però hanno rapidamente fatto il giro della rete, per cui come spesso avviene in questi casi sarà difficile fare in modo da riparare al problema, se non in minima parte.
Qualcuno si è anche divertito a fare una wordcloud delle password rubate: la trovate qui sopra.
Via | Arstechnica.com
Come abbiamo visto qualche giorno fa, Google è intenzionata a attuare una piccola rivoluzione nella sicurezza di Chrome, affrontando in modo nuovo un argomento piuttosto scottante, che noi utenti tendiamo a prendere per scontato: la gestione delle password.
Il nuovo password manager avrà una filosofia di funzionamento decisamente differente da quanto c’era in precedenza, e sarà molto più di un semplice generatore automatico di password. Quando un utente navigherà su un sito protetto e dovrà crearne una, apparirà il simbolo di una chiave sul campo della parola segreta. Google, cliccandola, ci chiederà se vogliamo creare una password per il sito, e sarà una sequenza di lettere, simboli e numeri che dovremo approvare. Sarà abbastanza lunga da rendere molto complessa la violazione - E come corollario, sarà anche impossibile da memorizzare per noi, date le dimensioni. Per questo sarà Google stesso a ricordarla per noi, usando il nostro account.
Continua a leggere: Google e l'automazione delle password su Chrome: ecco come funzionerà
Un team di ricercatori internazionali ha appena fatto tremare le fondamenta dell’edificio su cui si regge la Grande Rete: c’è una debolezza inattesa e quasi sconosciuta che affligge la generazione di numeri primi che è alla radice del sistema di crittografia asimmetrica, su cui si basa shopping online, banking, sicurezza delle nostre caselle di posta e innumerevoli altri servizi.
La falla coinvolge pochi casi, ma sono un numero quantificabile, e può essere spiegata così: talvolta le sequenze di numeri primi generate dal meccanismo di sicurezza non sono affatto casuali, e possono essere individuate. Si tratta di una parte del lavoro affidata implicitamente ai gestori di grandi siti web, l’utente non è nè responsabile nè in grado di influenzare tale falla.
A quanto pare la falla non era prevedibile ed è di natura ignota. E’ stata però riscontrata utilizzando mezzi che per un matematico sono relativamente banali, applicando l’algoritmo di Euclide per esaminare circa 7 milioni di chiavi pubbliche, e giungendo quindi alla conclusione che quasi 27.000 di esse non offrivano alcuna sicurezza. Il team ha rincarato la dose: Il fatto che la ricerca si basasse su concetti relativamente poco sofisticati potrebbe voler dire che non sono stati i primi ad arrivare a tali conclusioni.
Ma le pessime notizie non finiscono qui: lo stesso problema si è presentato sul lavoro di differenti sviluppatori software, e la causa di esso è totalmente sconosciuta. Ci vorrà sicuramente un gran lavoro per arrivare al fondo della questione, soprattutto se si vuole evitare di perdere la fiducia che il pubblico nutre su un sistema che tutti ormai ritenevamo piuttosto familiare.
Foto | Flickr
Via | New York Times
Twitter ha scelto d’abilitare il protocollo sicuro HTTPS, introdotto circa un anno fa sulla piattaforma, in tutti i profili. Gli utenti potranno comunque scegliere di disabilitarlo – sebbene non sia una decisione opportuna – dalle impostazioni dell’account. Tuttavia, la modifica riguarda esclusivamente l’interfaccia web di Twitter.
Tanto le applicazioni ufficiali, quanto l’interfaccia web riservata ai dispositivi mobili richiedono esplicitamente l’utilizzo di HTTPS senza alcuna possibilità di disabilitare il protocollo sicuro. È probabile che in futuro Twitter scelga d’utilizzare soltanto le connessioni SSL: agli sviluppatori era già stato imposto d’adeguarsi.
Rispetto a Facebook, dove molte applicazioni risiedono in spazi esterni e devono dialogare coi certificati del dominio principale, il passaggio ad HTTPS su Twitter non comporta particolari problemi di compatibilità. Insomma, disattivare il protocollo sicuro non ha senso: su Facebook, invece, alcuni giochi potrebbero non funzionare.
Via | Twitter
Brutta gatta da pelare per Microsoft in India: lo store online dedicato alla nazione asiatica sarebbe stato infatti violato dal gruppo hacker di nazionalità cinese conosciuto col nome Evil Shadow Team, che avrebbe anche pubblicato via Internet la prova sconcertante della presenza di password in chiaro all’interno del database del sito www.microsoftstore.co.in, messo poi offline dall’azienda di Redmond.
Come appena detto, alla notizia già di per sé allarmante riguardante la violazione dei sistemi di proprietà di una delle aziende informatiche più famose al mondo, si unisce la sorpresa per quelli che sarebbero i dati di login confermati dallo screenshot che vedete qui sopra, con user id e password praticamente alla mercé degli hacker.
Dato che non vedo motivi per cui qualcuno che legge questo blog debba avere un account sullo store di Microsoft in India, il consiglio di cambiare password stavolta è superfluo: sicuramente sarà cosa buona e giusta però tenere le antenne ben dritte verso eventuali sviluppi della faccenda che possano coinvolgere anche altri siti web della piattaforma Microsoft.
Via | Theverge.com
Seguici
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
