TOR. Attenzione a chi usa vers, 45 ESR di Mozilla.

E' stata scoperta la presenza di una grave vulnerabilita' nel browser Mozilla Firefox che potrebbe consentire l'esecuzione di codice dannoso sul sistema degli utenti e "deanonimizzare" coloro che utilizzano la rete Tor.
Com'e' noto, infatti, il pacchetto Tor Browser e' basato proprio su Firefox e, in particolare, sulla versione 45 ESR del browser web di Mozilla: Navigazione anonima, ecco come fare.

Il codice malevolo appare molto simile a quello che fu utilizzato dai consulenti e dagli agenti dell'FBI, nel 2013, per risalire all'identita' di alcuni criminali collegati alla rete Tor durante la visita di specifici siti web.

La falla appena scoperta - e rapidamente confermata da uno dei cofondatori del progetto Tor - sembra sfruttare un bug di tipo heap overflow. Il codice exploit mette in atto un attacco di tipo buffer overflow sul contenuto della memoria del sistema, nell'area dati heap.
Quest'ultima, a differenza dello stack, e' la porzione di memoria allocata dinamicamente dalle applicazioni in esecuzione e tipicamente contiene dati dei programmi utente.Facendo leva su codice JavaScript, il codice malevolo - realizzato appositamente per le versioni di Firefox per sistemi Windows - riesce addirittura a porre in essere delle chiamate dirette verso la libreria kernel32.dll e a eseguire operazioni arbitrarie sulla macchina dell'utente-vittima.

L'attacco e' astuto e ben congegnato tanto che funziona con tutte le più recenti versioni di Firefox: dalla release 41 fino alla 50 (Tor Browser usa, al momento, Firefox 45 ESR).

Mozilla ha fatto sapere di essere gia' al lavoro per risolvere la pericolosa lacuna di sicurezza che non puo' tuttavia essere sfruttata se JavaScript risulta disattivato (il pacchetto Tor Browser - grazie all'estensione NoScript direttamente supportata - consente di ridurre al minimo il caricamento di codice JavaScript).

Il perche' del NO.

Indipendentemente dalla ics fatta sul NO per la votazione  forse non vi ricordate come sono fatto vero?
Bene allora ve lo ripeto il mio NO e ci sta’ pure una canzone di Shakira.
No se puede vivir con tanto veneno,
La esperanza che me dio tu amor
No me la dio mas nadie,
Te lo juro, no miento,
No se puede dedicar el alma
a acumular intentos
pesa mas la rabia que el cemento.
Io sono nato cosi’ con questa genetica predisposizione al NO.
Non so’ perche’ ma al consenso preferisco il dissenso.
Il NO mi piace. anche il gesto che lo accompagna.
Scuotere la testa di qua e di la’, soprattutto quando esco dall’acqua di Casalbrodetto col polipo attaccato al braccio, mi da’ tanta soddisfazione e mi fa’ godere australmente come un selvaggio.
E poi mi piace pronunciarlo, il NO. Perche’ li’ in mezzo, tra le pieghe di quella sillaba natale opps..era nasale, ci sta’ dentro un sacco di roba e ti riempie la bocca.
Il rifiuto per esempio. 
Il nossignore. 
Il levatelo dalla testa. 
Che non e’ mica roba da buttare via perche’ il rifiuto e’ sempre differenziato.
C’e’ NO e NO, insomma. 
E la maggior parte del NO e’ riciclabile. 
Da una raccolta paziente di rifiuti possono nascere nuove cose. 
Insoliti modi di pensare, per esempio. 
Strade diverse da percorrere. 
Persone nuove da conoscere, capire, amare.
Il NO e’ anche dissenso. 
Pensiero difforme. 
Che spesso si fa’ conflitto.
Ma anche dibattito costruttivo, almeno cosi’ la penso io e mi basta poi voi pensatela come volete.. chissenefutte, non mi scalfirete piu’ di tanto.
Mi fanno paura le coppie che non litigano mai. 
Bisticciare, credetemi, e’ sano senza venire alle mani naturalmente, usando forse il coltello, ma NO.. 
Sono convinto che alzando la voce e caricando i toni si crei dell’energia propulsiva che fa’ andare avanti la coppia. e poi vuoi mettere il piacere di fare la pace? 
Chi non litiga non sa’ cosa si perde. 
C’e’ anche il NO purissimo della disobbedienza. 
Quello bello dei bambini che dicono NO per puro spirito di contraddizione. 
Poi ci sono i NO che ti vengono fuori perche’ sei incazzato…
Guarda, oggi ti dico di NO perche’ c’e’ vento e sono con le palle in giostra. 
Ma se me lo chiedi domani puo’ essere che ti dica di si’. Soprattutto se c’e’ il sole….
E anche i NO della sincerita’. Quelli che si usano per dire le cose come stanno…Vengo anch’io?… NO tu NO. ..Vengo anch’io?.. NO tu NO… E perche’?.. Perche’ NO. 
Perche’ mi stai sul culo, guarda, non ti reggo, preferisco dirti le cose come stanno invece di fingere benevolenza. Vacci con chi cazzo vuoi a vedere le bestie feroci. Non con me, io mi basto.
E’ che il NO da’ liberta’ e rifiuti le prediche.

 
Non si puo’ morire dentro, aspettare di diventare tutti verdi come Hulk fino a farsi scoppiare i bottoni della camicia.
Con il NO, poi, iniziano fatti importanti dopo le dimissioni. 
Il NOnostante, per esempio che ti fa tirare avanti e chiudere un occhio. 
Il NOumeno, che e’ l’essenza delle cose. 
Il NOcciolato con l'olio di palma che leva le malinconie e fa crescere i brufoli e la pancia.
La NOvita’ che da’ gusto alla vita.
Il NO profit che da’ senza pretendere.
Il NOn ti scordar di me della nostalgia.
Il NOn essere dell’essere.

Finita cosi’ con un bel NO al sessanta per cento di maggioranza. 
Punto. Stop e palla al centro.
Ora sapete che faccio? Do’ retta alla stirpe del mio cognome e mi autocombustioNO alla faccia del contabilizzatore termovalvoloso.

Io voto NO.

Domenica 4 dicembre 2016 andremo a votare SI o NO per la riforma di circa 40 articoli componenti la Carta Costituzionale .

10 anni fa nel 2006 ci fu il Secondo Referendum Nazionale su iniziativa del centro-destra inerente ad una vasta modifica costituzionale e la maggioranza fu per il NO.(38,71% e 61,29%).

Il Primo fu nel 2001 per il Titolo V e la maggioranza fu per il SI al 64,2%.

Perche' e per cosa voteremo?

Condivido con Giorgio La Malfa e Massimo Andolfi che:

La nostra Costituzione e' fatta in due parti separate..

la Prima parte con valori da non toccare..

la Seconda parte riguarda la macchina dello stato che deve essere aggiornata secondo i i tempi in cui viviamo.

La Prima parte indicherebbe le destinazioni

la Seconda il veicolo che dovrebbe portare gli italiani verso di esse.

Le destinazioni sono la lotta di Liberazione da cui e' nata la Costituzione e dovrebbe essere intoccabile, sul veicolo si potrebbe intervenire senza correre rischi.. ma qui e' il dilemma e si rischia di sbagliare perche' nulla sancisce la distinzione tra queste due parti.

Per 70 anni tre elementi hanno protetto la carta..

- L'equilibrio tra i poteri dello stato.

- L'utilizzo dell'art 138 per operare revisioni di singoli aspetti della costituzione non per una riforma di essa e cioe' esercitando un potere costituito e non costituente che spetta al popolo.

- Il rigetto, infine, dell'idea che la maggioranza politica di turno (che e' sempre una minoranza del paese) possa alterare la nostra democrazia.

Il voto che ci e' richiesto contrasta con i criteri citati ed apre un gruppo di modifiche costituzionali destinato ad essere aperto per anni.

Chi ci garantisce l'intoccabilita' della prima parte, una volta che cambieremo questi 40 articoli?

Vuol dire che se cambieremo questi 40 articoli la porta sara' aperta e chi arrivera' al governo potra' fare tutto cio' che vuole, alla faccia della Costituzione del 48.

Spero di non rivivere gli orrori del nazismo ed e' per quello che votero' NO.

Black December.

I vari Black Friday,Cyber Mondey se ne sono andati ma ci rimangono le feste Natalizie, ovvero il classico Black December e con queste pure le preoccupazioni delle pre-feste e quindi saro' ripetitivo con i miei consigli forti di quattro anni piu 14 lustri e son sempre quelli di barricarvi in casa per evitare la follia prenatalizia. 

Ma siamo realistici.. non si puo’. 

Azz.. teoricamente dovreste stabilire con amici e parenti di non fare regali a nessun over 10 vi pare? 

Solo che poi ad attenervi alla consegna, di fronte ai regali altrui vi sentireste meschini come merde stantie. 

Vi imponete di evitare le cene d’auguri? 

Ringraziate se non ne avrete due di fila e una di cotone. 
Percio’, non mi resta che consigliarvi come affrontare l'inevitabile. 
Allora..

Cominciamo con le Cene.

Tre i drammi:

1. rimbambimento da locale sovraffollato;

2. indigestioni;

3. chili di troppo.

I rimedi potrebbero essere:

1. bere un bicchierozzo di Corvo di Salaparuta corretto grappa prima di uscire.. rende piu’ sopportabili le urla dei pargoli e le partite di tombola coi pirillini inter parentisterio.

2. pranzare a patate bollite col contorno di patate cotte sottocenere.

3. fare sport come per prepararsi alle Olimpiadi… oltre a dimagrire, alla cena arriverete in un’ovatta di dolce sopore che vi aiutera’ a superare il dramma N°1.

Passiamo allo Shopping.

Due i problemi fondamentali:

1. scelta dei regali.

2. sopravvivenza nella calca di acquirenti.

La soluzione per la prima e' quella di dimenticare l'esistenza del Regalo Perfetto. 
Per trovarlo  avreste dovuto mettervi all'opera ad agosto, quindi comprate qualunque cosa carina vi risparmi una lunga ricerca e se questo vi facesse sentire in colpa, pensate ai regali di Natale che avete ricevuto voi.. quanti vi hanno sbalordito per bruttezza? 
Quanti (confessate) ne avete riciclati o messi in cantina? 
Suvvia considerate i vari fattori o fattrici...

Atmosfera. Luminarie, festoni, neve finta, canzoncine, pubblicita’ di profumi e pandori e gli agghiaccianti Babbi Natale appesi ai balconi.. ce n'e’ abbastanza perche’ anche l'adulto piu’ bonario nutra, almeno a momenti, un odio acuminato per il Natale.

Che fare quando, se si incontrasse il Babbo Natale vero, lo si strozzerebbe con goduria infinita dopo averlo violentato. 
C'e’ chi si iscrive a un gruppo su Facebook e opera uno strangolamento virtuale. 
C'e’ chi emigra in luoghi esotici e denatalizzati. 
C'e’ chi, diffidando del mondo virtuale e non potendosi permettere i luoghi esotici, si rassegna.. dicendo.. coraggio che dura poco.

E poi dai..il pandoro in fondo e’ buono. 

E ai bambini il Natale piace - e ciascuno di noi conosce almeno un bambino a cui brillano gli occhi davanti ai pacchetti sotto l'albero addobbato..

non e’ poi cosi’ male, guardarlo e sapere che la sua

felicita’ dipende anche dal regalo che ci e’ costato tanto sforzo comprargli… 
ma ripeto, la festa deve essere sino ai 10 oltre diventa un mercato e un festival del consumismo e sinceramente potremmo davvero farne a meno..forza che il meglio e' passati...dai ancora 32 giorni e poi sara’ un ricordo e un altro Natale se ne sara’ ito.
Il mio regalo per voi cybernauti e' lo studio rimorchiatore che Stefano ha fatto in prima persona sul web

PIN crackato.

Tempi duri quelli del buco dell'ozono, bastano 4 giorni di pioggia e il fiume Po fa casini, gli sfigati near fiumi hanno un metro di acqua in casa, le motobarche Valentino e Valentina strappano gli ormeggi e la Valentina affonda, alla Bizzarria (loco abitativo della Bela Rusina) non ci si puo’ andare causa esondazione del Ceronda e quindi non mi rimane altro che cazzeggiare nel web con sentimento distruttivo e guarda guarda mi ritrovo persona che una decina e passa di anni fa avevo incontrato nel percorso hackeroso quando anziche’ facebucche si viaggiava con ICQ e Mirc.. questi programmi e in special modo nel secondo erano frequentati da lamer (aspiranti Cracker con conoscenze informatiche limitate) il cui scopo era quello di eccellere nello sfidare chi usava tecnologia informatica e il buon ZeroCode al secolo MikeBond ha resistito ed e’ diventato una persona importante con tanto di cattedra all'University di Cambridge..insomma ha cambiato bandiera ed e' diventato un normale.

Mi spiace non aver conservato le nostre battaglie Anche perche' si tratta di una dozzina ed oltre di computer fa..allora ci si picchiava di brutto, abbiamo cominciato facendo aprire il cassetto del CD dell’avversario oppure crackando la pass della posta e del nickname sostituendoci alla persona e facendo danni sui cassettoni che giravano a velocita’ con freni a disco..bei tempi che ricordo con nostalgia e il post seguente lo dedico a ZeroCode o Mike Bond qualdirsivoglia ...questo studio lo abbiamo fatto assieme per il semplice fatto che poi siamo diventati amici in quanto era inutile fracassarci quando mettendo assieme le nostre abilita’ abbiamo constatato la vera unione che ha fatto la forza.... e vi spiego il fatto...

Sui giornali di allora o riviste on line si leggevamo frasi del tipo:

“Nell’ultimo estratto conto della mia banca, ho trovato addebiti di alcune voci di spesa effettuate tramite POS in negozi in cui non sono mai stato.”

“Mi hanno rubato il portafoglio con dentro tessere bancomat, in meno di un’ora avevano gia’ esaurito tutte le possibilita’ di credito (prelievo, acquisti POS, presticasch) ma ovviamente i PIN non erano conservati nel portafoglio.”

“Nei mesi scorsi mi son visto addebitare migliaia di euro in prelievo bancomat effettuati dalla Spagna ma io non ci son mai stato.”

Le banche ovviamente davano la colpa all’incuria dell’utente, considerato che dicevano impossibile che castigatori potessero individuare il codice d’accesso ovvero il PIN.

E qui e’ nato lo studio della prova contraria e la ricerca nel web di uno studio sui PIN e lo abbiamo trovato in Inghilterra dove due coniugi incorsi nel castigaggio dei loro soldini, avevano intentato causa al Diners Citybank incaricando un prof del dipartimento di sicurezza informatica e crittografia del Computer Laboratory dell’Universita’ di Cambridge.

Trattavasi del proff. Anderson che diede l’incarico ad un suo studente di seguire il caso..e lo studente era lo ZeroCode al secolo il mio amico Mike Bond.

Quindi messe da parte le armi per il cazzisterio litigatorio in ICQ e’ partito lo studio sull’IBM 3624 utilizzato dalla CityBank e l’esito finale e’ stato nella dimostrazione citata sopra che con un max di 15 tentativi si riusciva a scoprire il PIN e ancor oggi il rapporto lo troverete qui.

La Banca e’ stata costretta dal giudice a pagare il dovuto e ne e’ nato un post e ancor oggi io non ho carte credito di cui non nutro eccessiva fiducia (le ha mia moglie).

L’intento del post non era e non e' tuttoggi quello di fornire uno strumento per commettere illeciti ma di sensibilizzare e informare su rischi reali della fragilita’ sull’utilizzo della carta bancomat (si parla del 2003) che poteva essere crackata in 15 tentativi max.. le banche ne erano a conoscenza ma la loro unica preoccupazione era che la clientela non lo dovesse sapere.

Lo studio evidenziava le vulnerabilita’ della carta e soprattutto su tre algoritmi che in 15 tentativi si scioglievano come neve al sole a dispetto dei 5.000 paventati dalle banche a fronte di forza bruta. Il PIN delle carte ATM e delle carte credito,infatti, e’ costituito da 4 cifre. I caratteri previsti sono soltanto numerici ossia 10. (1234567890) Le combinazioni possibili sono quindi 10^4 cioe’ 10.000.

Secondo la Banca, per trovare un PIN valido di un conto corrente sono necessarie almeno meta’ delle combinazioni ossia 5.000 per avere il 50% delle probabilita’ di trovarlo..ammesso di trovarlo.

Ebbene, una verifica sul sistema IBM3624 partiva dall’inserimento della carta nell’apposita fessura del bancomat dove il sistema leggeva sulla striscia magnetica il numero del conto corrente dell’utente.

A differenza di quanto si possa pensare, il Pin non e’ presente sulla striscia..ne’ in chiaro..ne’ cifrato o criptato.. una volta che l’utente inserisce il PIN sulla tastiera numerica i dati vengono inviati all’HSM (Hardware SecuritY Module) che e’ un coprocessore su cui gira una API relativa ai servizi finanziari ed in genere e’ unico per ogni banca.

L’HSM ha una caratteristica di libreria che risponde solamente con un NO o con un SI come il referendum di dicembre.. in particolare quella che si occupa dell’autenticazione e’ la Encripted_Pin_Verify (vedi la jpg sotto)

I tre parametri di ingresso piu’ importanti inviati alla funzione sono:

1. L’Encripted Pin lock che non e’ altro che il PIN inserito dall’utente sul tastierino dello sportello bancomat criptato allo scopo di evitare intercettazioni.
2. Il Pan Data ossia il numero di conto letto sulla carta bancomat.
3. La Decimalisation Table che e’ la tabella di conversione in decimale.

Prima di continuare e’ opportuno che si sappia come viene generato il PIN a quattro cifre di un bancomat ATM.il PIN ha un legame stretto col numero di conto o della carta credito per il semplice fatto che sono le prime quattro cifre esadecimali del conto o della carta criptate con l’algoritmo DES e con una chiave caratteristica di ogni banca.. chiamata appunto Pin Generation Key..facciamo un es..

Prendiamo le prime quattro cifre che costituiranno il PIN, ossia 3F7C.

A questo punto entra in gioco la tabella di conversione decimale che fa in modo che possa esser digitato sul tastierino numerico dello sportello Bancomat.

 Le nostre quattro cifre diventano 3572 ed ecco ottenuto un PIN valido.

In genere a cio’ si aggiunge un valore offset, ossia un numero di massimo a quattro cifre che di base viene impostato 0000 che serve qualora l’utente faccia richiesta di un nuovo PIN.

Dal momento che non e’ possibile che venga cambiato il suo numero di conto ci si limita ad aggiungere un certo valore al PIN originario.

Tale valore viene inviato sempre alla funzione di verifica dell’HSM attraverso il parametro offset_data.

Per la verifica di una richiesta di prelievo, l’HSM segue il procedimento inverso sottraendo dal PIN l’offset dopodiche’ converte il risultato ottenuto con la tabella di conversione decimale fornita assieme alla richiesta e confronta il risultato con le prime quattro cifre criptate del conto corrente.

Nell’es che abbiamo fatto il PIN 3572 darebbe un risultato positivo non soltanto nel caso in cui le prime quattro cifre esadecimali del conto criptato fossero 3F7C ma anche 3F7C o 3572.Insomma in tutti i casi in cui il PIN inserito abbia la corrispondenza con la tabella di conversione.

Sfruttando questa vulnerabilita’ possiamo quindi dimostrare che attraverso la manipolazione della tabella di conversione e’ possibile ottenere le quattro cifre costituenti il PIN valido e quindi provando tutte le combinazioni, arrivare al PIN stesso.

Ecco come eseguire la Manipolizzazione delle tabelle di conversione.

Ipotizziamo che il PIN esadecimale sia quello dell’esempio, noi siamo in grado di inviare all’HSM la tabella che desideriamo..nel caso specifico la seguente..

Inviamo come PIN 0000 insieme al numero del conto corrente di cui vogliamo scoprire il vero PIN. 

A questo punto l’HSM dara’ come valido il PIN 0000 soltanto se nel PIN vero sara’ presente il numero 3 o la lettera C che nelle tabelle di conversione standard danno origine sempre al numero 3, oppure rispondera’ con un secco NO se la cifra non e’ presente.

Eccovi la dimostrazione che facendo 10 tentativi con tabelle di conversione opportunamente modificate, e’ possibile conoscere la presenza o meno delle 10 cifre esadecimali all’interno del PIN.

Questo e’ il principio che sta alla base del funzionamento degli algoritmi sopra descritti e capirete il motivo per cui guardo con diffidenza le carte credito dal momento che i castigatori sanno come recuperare il PIN e mi spiace che l’utilizzatore di carta credito non potra’ dimostrare che il PIN non sia stato gelosamente custodito ed e' meglio che io vada alla Bizzarria col mio amico Franco alla faccia delle esondazioni novembrine.(e' ito senza di me causa il post di cui sopra..)

Black Friday.

Americanizziamoci e non facciamoci mancar nulla e venerdi' prossimo sara' il Black Friday o venerdi' nero tradotto in nostrano e quel che non potremo fare sara' il giorno del ringraziamento ma troveremo il modo di festeggiare anche noi il Thanksgiving e per ora noi cybernauti festeggeremo il CyberMonday..insomma un modo come un altro per iniziare lo scannamento del portafoglio natalizio.

Quindi mettiamo in ordine queste ricorrenze al 66,6 % periodico anche nostre..

Thanksgiving Day che e' il quarto giovedi' di Novembre (da noi i tacchini saranno salvi)

Black Friday che e' il venerdi' dopo il Thanksgiving.

Cyber Monday che e' il lunedi' successivo al Black Friday.

La mia curiosita' e' di capire perche' lo chiamano nero sto venerdi' ed ho letto che e' per l'incasinamento del traffico automobilistico e pedonale di gente che corre nei negozi per comprare oggetti superscontati ma se facciamo due calcoli coi commercianti che di questi tempi viaggiano in rosso con la pecunia..vendendo un poco di mercanzia che stava ammuffendo passano momentaneamente in nero e cosi' potranno sovvenzionare Equitalia che di equo ha abbastanza poco e tra non molto cambiera' nome per la serie cambiano i suonatori ma la suonata sara' sempre la stessa.

Buon 25 Novembre duemilaesedici e che l'euro sia con voi.

ps..mi sono alzato presto non per fare il post ma per beccare su Amazon prodotti scontati ma sono sfigato.. vedo sconti del 30% reali anche su macchine tipo la coreana Kia Soul offerta a meno di 19.000 euro con pacchetto manutenzione di 24 mesi, 30.000 km in omaggio e con opzionali tipo cambio automatico a doppia frizione, vernice bycolor, Suv Pack estetico (e che e'?), navigatore satellitare, radio touchscreen, climatizzatore automatico bizona e bla bla bla e pure una serie di cene da Toto' e Peppino di Caselle..ma non vedo offerte buone su computer anche se paragonate ai negozi siamo ad un meno 20% per fare es un desktop HP 20.co11nl all-in display da 19,5 indici processure Apu_Amd quad-core Ram da 6GB HDD da 1 TB a 380 eurini..

naaaaa torno a nanna e domani anzi oggi faro' un ordine alla farmacia Benok con sconti medi del 35% alla faccia del Bisciari che non scala manco un cents..harpagon..quand il y a a' manger pour huit, il y en a bien pour dix.