Il team di BackBox ha appena rilasciato la versione 3.05 del famoso sistema operativo dedicato al Penetration Testing, in questa nuova versione troviamo diverse miglioramenti e la predisposizione all’architettura ARM.

Il Changelog:

• System improvements
• Upstream components
• Bug corrections
• Performance boost
• Improved update menu
• Improved Wi-Fi dirvers (compat-wireless v.3.8 aircrack patched)
• New and updated hacking tools
• Full support to Kernel 3.5 and 3.8 (install with apt-get/synaptic)
• Predisposition to ARM architecture (new armhf.iso coming soon)

Potete eseguire il download attraverso i seguenti link in base alla versione che preferite (i386 o amd64):

BackBox Linux 3.05 – i386

Release: 22.05.2013
Name: backbox-3.05-i386.iso
Size: 1,5 GB
MD5: df470273494022bd11b288a601cf9e04

Mirror #1 – Mirror #2 – Mirror #3 – Torrent

BackBox Linux 3.05 – amd64

Release: 22.05.2013
Name: backbox-3.05-amd64.iso
Size: 1,5 GB
MD5: ccef6c27aa3755a68cce94173786ab0e

Mirror #1 – Mirror #2 – Mirror #3 – Torrent

L'articolo Disponibile BackBox 3.05 sembra essere il primo su Over Security.

L’Osservatorio NFC & Mobile Payment della School of Management del Politecnico di Milano ha scritto un interessante approfondimento per fare chiarezza su alcuni aspetti riguardanti la sicurezza della tecnologia NFC.

Sempre più spesso online si trovano articoli o post che mettono fortemente in dubbio la sicurezza del Mobile Payment tramite tecnologia NFC, rilanciando notizie e spunti provenienti dall’estero e presentando in modo acritico ipotetici scenari di furto delle credenziali di pagamento che saranno scambiate via Mobile NFC.
Come Osservatorio NFC & Payment della School of Management del Politecnico di Milano abbiamo lavorato su questi e altri temi da oltre 4 anni, in stretta cooperazione con i colleghi del Dipartimento di Elettronica, Informazione e Bioingegneria del Politecnico di Milano; vogliamo dunque dare il nostro punto di vista e fare chiarezza sui “falsi miti” che leggiamo troppo spesso, affinché siano veicolati i messaggi corretti che possano porre ogni utente nella migliore condizione di conoscere questi nascenti servizi.
In primis definiamo cosa è il Mobile Proximity Payment tramite NFC: è un servizio di disposizione di pagamento attivato avvicinando un telefono cellulare dotato di tecnologia NFC ad un POS contactless. Al telefono cellulare deve essere associato uno strumento di pagamento elettronico (ovvero una carta di credito o di debito o una carta prepagata) legato ai circuiti di pagamento comunemente utilizzati (Mastercard o Visa). Le credenziali di pagamento sono memorizzate in un “posto sicuro”, il cosiddetto Secure Element, dunque un hardware fisicamente separato (che può trovarsi nel telefono o sulla SIM) a cui possono accedere solo applicazioni certificate e dotate di specifici privilegi.
Dal punto di vista del mercato, a fine 2012 in Italia abbiamo stimato ci siano 2,5 milioni di utenti (meno del 5% degli utenti che in Italia hanno un telefonino) con un telefonino dotato di tecnologia NFC e circa 30.000 POS contactless attivi (meno del 2,5% del totale dei POS attivi in Italia): questi numeri cresceranno, secondo le nostre previsioni, in modo esplosivo nei prossimi anni, creando quella infrastruttura (lato domanda e lato offerta di servizi) indispensabile per portare alla piena circolarità questa nuova generazione di strumenti di pagamento.

Proviamo ora a dare qualche risposta, volutamente semplificata, ai dubbi che più volte sono stati sollevati.

 
Un malintenzionato dotato di un’antenna direttiva con un alto guadagno, un amplificatore di segnale e un ricevitore di qualità è in grado di intercettare i dati di pagamento NFC in un raggio di 10 metri?
Considerando la frequenza e la potenza operativa dello standard NFC, la distanza massima che consente di effettuare l’eavesdropping (termine tecnico di intercettazione dei segnali radio e decodifica dei dati trasmessi) è di 10m (con l’ausilio di antenne direttive con alto guadagno, amplificatore di segnale, ecc.) solo se entrambi i dispositivi NFC funzionano in modalità attiva, ovvero trasmettono dati (come nel caso del pairing effettuato attraverso l’NFC tra due dispositivi). Nel caso in cui uno dei dispositivi NFC funzioni in modalità passiva (ovvero si ponga in ascolto della comunicazione iniziata da un altro dispositivo, e risponda di conseguenza), la distanza massima che consente l’eavesdropping crolla a 1m.
Questo punto è essenziale, dal momento che nei pagamenti NFC, solo il POS lavora in modalità attiva, mentre il dispositivo mobile lavora in modalità card-emulation, che corrisponde ad una modalità di comunicazione passiva. In altri termini, il telefono opera come una qualsiasi carta di pagamento contactless (a fine 2012, ne circolavano in Italia circa 2 milioni) e risponde con la sola energia raccolta dalla comunicazione del dispositivo interrogante (il POS).
Un malintenzionato potrebbe dunque “origliare” i dati veicolati dal POS fino a 10m, ma i dati veicolati dal telefonino NFC possono essere colti solo fino ad un massimo di 1m. Quindi, per poter ascoltare l’intera “conversazione” tra i due dispositivi, cosa necessaria per carpire le credenziali scambiate, dovrebbe posizionare il suo sistema di eavesdropping (ingombrante e visibilissimo, per
via delle antenne ad alto guadagno) a meno di 1m dal POS, situazione del tutto inverosimile in un scenario reale. Questa precisazione, indispensabile per una reale comprensione dello scenario di attacco, è regolarmente omessa dalla descrizione data nei media.
Si stanno diffondendo soluzioni come “NFCproxy” che consentono di intercettare i segnali radio; i pagamenti NFC sono davvero al sicuro da attacchi con queste soluzioni?
Facciamo una premessa: un altro possibile scenario di attacco è quello cosiddetto di tipo Man in The Middle, in cui un hacker che si interpone nella conversazione tra un client e un server, inganna il server facendo da “passaparola” delle informazioni trasmesse dal client e nel frattempo carpendo l’informazione di interesse.
E’ stato ampiamente dimostrato che questi attacchi sono impraticabili nel caso di pagamenti NFC, grazie alle scelte tecniche e protocollari fatte dai progettisti della soluzione. Un attacco di questo tipo funziona infatti solo se si soddisfano contemporaneamente i seguenti requisiti:

• Il dispositivo “malintenzionato” dovrebbe essere posto tra il POS e il telefonino NFC, assicurandosi che il POS e il telefonino non riescano a comunicare direttamente, altrimenti si accorgerebbero dalla presenza di un terzo che “ripete la conversazione”. Dal momento che la tecnologia NFC ha una distanza massima di funzionamento di pochi cm (basti pensare all’esperienza comune, ad esempio alle tessere del trasporto pubblico urbano) è impensabile che si interponga fisicamente un dispositivo maligno tra i due, senza che esso sia visto;
• Il dispositivo maligno, in ogni caso, dovrebbe rispondere al POS in modo tempestivo in modo che la transazione non vada in timeout, e al tempo stesso schermare la comunicazione diretta telefono – POS. Già la prima di queste due condizioni è poco realizzabile, dal momento che se i dati vengono veicolati attraverso un link wireless (WiFi), come nel caso di NFCProxy, i tempi di risposta del dispositivo maligno sarebbero incompatibili con i tempi di risposta imposti dal protocollo, che sono tenuti strettissimi proprio per avere la certezza che la comunicazione sia interamente avvenuta attraverso il canale NFC, che è un canale di prossimità (come dice l’acronimo stesso, Near Field Communication).

Se un malintenzionato tenesse attivo il proprio ricevitore NFC in posti affollati dove ci si ritrova molto vicini, come in bus, metrò, etc., potrebbe impossessarsi di informazioni di telefoni NFC?
La possibilità di appropriarsi dei dati di una carta di pagamento (il cosiddetto skimming) semplicemente avvicinando un lettore al telefonino è del tutto inverosimile per molti motivi. In primo luogo, l’applicazione di pagamento che ha i privilegi per accedere al SE deve essere attivata dall’utente (come una normale applicazione) e mantiene i diritti di accesso al SE entro un certo time-out, generalmente posto in 60 secondi, trascorsi i quali essa va riattivata con un click. Infine, la piramide di sicurezza prevede che solo transazioni molto piccole (generalmente inferiori a 25€) e per cumulati di spesa molto contenuti (generalmente fino ad un massimo cumulato di 50€) possano avvenire senza l’inserimento di un PIN, così da replicare la praticità d’uso del contante, ma controllando comunque l’accumulo di transazioni. Questi parametri possono anche essere personalizzati dall’utente (in senso più restrittivo) impostando che la propria applicazione richieda un PIN per soglie più basse.
Il complesso di questi elementi porta facilmente a capire come il pagamento via Mobile NFC sia molto sicuro, perché tale sicurezza è costruita attraverso una serie di elementi di controllo che sono radicati nelle scelte hardware, protocollari e applicative che sono state fatte.

 
Se ci sono interferenze/intercettazioni nella rete cellulare è possibile che un malintenzionato possa rubare i dati dello strumento di pagamento di un utente di un servizio di Mobile Payment? E se durante una transazione di Mobile Payment il pagante riceve un Sms o una chiamata è possibile che si generino errori o problemi?
Durante un pagamento NFC, le informazioni vengono scambiate non attraverso la rete cellulare, ma, per l’appunto, attraverso una comunicazione NFC tra il POS e il cellulare, quindi non si possono generare interferenze tra i due canali di comunicazione (quello GSM e quello NFC), mentre il conflitto tra applicazioni (di chiamata o messaging vs. di pagamento) è del tutto inverosimile. Inoltre, il “Single Wire Protocol”, ovvero il protocollo fisico di comunicazione tra la SIM e il cellulare, permette che la SIM possa essere utilizzata contemporaneamente per chiamare (ad esempio conversando con un auricolare bluetooth) e per effettuare un pagamento.

 
È possibile che il telefono cellulare venga clonato?

L’elemento di sicurezza che contiene le credenziali è, come già detto, il Secure Element, ovvero un elemento fisico separato e sicuro. Esiste sempre la possibilità che i dati del SE possano essere estratti, o il SE clonato, così come anche le carte tradizionali con chip possono essere (con difficoltà) clonate. La domanda è: quanto è difficile farlo? Quanto è probabile che ciò avvenga senza che i sistemi di sicurezza che sono parte stessa del protocollo di pagamento (e.g. il PIN) vengano violati? O senza che i servizi di sicurezza accessori avvertano l’utente (ad esempio i servizi di SMS alerting)? Ancora una volta, è evidente a un qualsiasi soggetto che approcci obiettivamente la materia, che un telefonino, essendo un oggetto più intelligente di una carta di plastica, può solo innalzare il livello complessivo di sicurezza; se dunque vi è fiducia nell’utilizzo dei tradizionali sistemi di pagamento, a maggior ragione dovrebbe esservene nel nuovo strumento.

 
È possibile che ad essere compromesso sia il POS di un esercente, generando un pagamento verso terzi senza il consenso di acquirente e venditore?

E’ teoricamente possibile, benché di difficile implementazione, proprio perché i POS per funzionare devono essere allacciati ad un circuito, che li identifica, censisce, ed autorizza ad operare. In ogni caso, ammesso che ciò possa avvenire, il rischio a cui è soggetto l’utente con telefono NFC è ancora una volta pari a quello di un utente che usi uno strumento di pagamento elettronico (bancomat o con carta di credito) tradizionale. La tecnologia NFC non comporta alcun cambiamento, rispetto a questo livello di rischio sottostante.

 
In conclusione il Mobile Proximity Payment ha livelli di sicurezza pari o superiori a quelli degli altri strumenti di pagamenti elettronici Card Present (quindi non pagamenti online) garantiti dai circuiti Visa e Mastercard. Ovviamente la sicurezza assoluta è intrinsecamente irraggiungibile, e potranno sempre verificarsi truffe che riguardano strumenti elettronici di pagamento (che avvengono anche e in misura maggiore utilizzando il contante). Rispetto al contante, la moneta elettronica ha maggiori strumenti di tutela, e le banche o altri soggetti emettitori si assumono spesso in prima persona il rischio di possibili frodi, risarcendo (completamente o quasi) i clienti vittime di frodi.
I dati pubblicati dal Dipartimento del Tesoro nel “Rapporto statistico sulle frodi con le carte di pagamento” mostrano chiaramente che pagare con bancomat, carte di credito e carte prepagate in Italia sta diventando sempre più sicuro: le frodi infatti con carte di pagamento sono in netta diminuzione e nel 2011 si sono registrate 284.339 “transazioni non riconosciute” per un valore di soli 52 milioni di euro, contro le 319.818 registrate nel 2010 corrispondenti a circa 60 milioni di euro di valore. Il tasso di frode per l’Italia nel 2011 (valore del frodato sul totale delle transazioni effettuate) risulta quindi pari a 0,0196% (in diminuzione, rispetto al tasso del 2010), molto inferiore all’analogo valore di UK (0,061%), Francia (0,061%) e Australia (0,051%). Oltre che rispetto al valore, anche rispetto al numero delle transazioni fraudolente il fenomeno risulta in calo, essendo la percentuale di operazioni non riconosciute nel 2011 sul totale delle transazioni effettuate scesa allo 0,0121%, circa il 14% in meno sul 2010, segno che le ultime innovazioni (carte con chip rispetto alla banda magnetica, utilizzo di PIN e ulteriori conferme per acquisti online, servizi di alerting etc.) stanno lavorando efficacemente.
In tutto questo, forse sarebbe bene richiamare l’attenzione generale sulla sensibilità che ogni utente dovrebbe mostrare rispetto all’uso che fa del proprio smartphone, che diventa un crocevia delle nostre relazioni e delle nostre informazioni personali, anche riservate. È esperienza di tutti, in tal senso, come molti utenti continuino ad utilizzare il proprio smartphone senza proteggere con password lo sblocco e l’uscita dalla condizione di stand-by. Forse, accanto agli articoli che paventano il furto delle credenziali di pagamento, sarebbe importante aggiungere un vademecum per l’uso accorto di questo dispositivo, che è altrettanto importante, personale e sensibile, del nostro PC.

 
Osservatorio NFC & Mobile Payment: Giovanni Miragliotta, Valeria Portale
Dipartimento di Elettronica, Informazione e Bioingegneria (DEIB): Antonio Capone, Stefano Zanero

L'articolo NFC – Il Politecnico di Milano ci illustra la sicurezza di questa tecnologia sembra essere il primo su Over Security.

Poter accedere a tutto lo scibile umano, comunicare e vedere immagini da ogni parte del mondo, avere informazioni e notizie da luoghi e persone a migliaia di chilometri di distanza mai visti ne’ conosciuti e’ un motivo di ricchezza? Ci rende effettivamente piu’ liberi? Oppure il fatto che esista il cosiddetto ‘Big Data’, una massa di informazioni che ci riguarda e che ‘traccia’ la nostra vita online ci rende succubi di un nuovo Grande Fratello? A queste domanda cerca di dare risposta il libro di Gianni Riotta, ‘Il web ci rende liberi?‘ (Passaggi Einaudi, pagg. 160 – Euro 18). Un dotto e originale saggio in cui Riotta fa un’analisi della rivoluzione di internet, mai cosi’ attuale in Italia come al tempo del MoVimento 5 Stelle. Il giornalista e scrittore cita numerosi esperti e filosofi, tra cui David Weinberger di cui illustra la tesi secondo cui il web e’ una sorta di ‘stanza intelligente’ dove “l’essere piu’ intelligente e’ la stanza stessa” (insieme di voci che si uniscono a creare un unicum virtuoso).

Una tesi a cui l’autore contrappone la critica di Jurgen Habermas, il filosofo che ha fondato la dottrina dell’opinione pubblica nelle democrazie di massa, secondo il quale “il web e’ isolamento e rumore di fondo: gli utenti si ritrovano a discutere tra loro in chat room affollate da gente che la pensa allo stesso modo e che non stimola affatto l’intelligenza, ma cava da ciascuno di noi il peggio, rancori, risentimenti, false opinioni radicate per sempre, pur davanti alla contraddizione della realta’”. Sul web le informazioni arrivano in quantita’ enorme, incontrollate e inarrestabili. C’e’ il rischio di venire sopraffatti da questa mole di ‘input’? E come districarsi da questa massa di notizie? La posizione di Riotta, su questo punto, e’ netta e ottimista. Il giornalista cita il fondatore di Twitter, Biz Stone: “Online i contenuti di informazione sono prodotti dall’1% degli utenti, distribuiti dal 9% e consumati dal 90%”. Quindi, spiega l’autore, il giornalismo professionale e’ – e restera’ – anima dell’informazione online. “Il numero di ‘citizens’, cittadini, che accede al lavoro di ‘journalist’ aumenta a dismisura ed e’ un bene – scrive Riotta – ma il ‘journalist citizen’, il professionista, non scomparira’”.

Poi si avventura in una considerazione altamente etica: “l’amore e il rispetto per i contenuti, e la loro evoluzione, salvera’ giornali e giornalisti online – si augura – la volgarita’ e il nichilismo per un pugno di clic, li perdera. Se vedete proliferare gallerie di foto soft porno su siti di informazione, e per il ripetersi di errori passati, l’illusione di un baratto con i pubblicitari”. L’esempio di liberta’ piu’ importante legato al web riguarda la primavera araba. Si e’ enfatizzato molto dell’importanza dei social network nel crollo dei regimi dittatoriali nordafricani. Ma la realta’ analizzata da Riotta e’ diversa. Per questo si rifa’ a Shruti Pandalai, analista dell’Institute for Defence Studies and Analyses (Idsa) di New Delhi che ha studiato i movimenti di protesta del mondo arabo: “I social media, Facebook, Twitter, YouTube, generano i contenuti, che poi la rete tv Al Jazeera mostra, inquadra nel contesto delle notizie e rilancia nel mondo”, spiega l’esperto.
Il web ottiene risonanza grazie alla tv.

Su questa inevitabile sinergia Tv-web viene citato anche il caso di Beppe Grillo, con una critica alla tesi di base del MoVimento 5 Stelle e alla pretesa di convogliare unicamente su internet la protesta.
“Online Grillo sta reinvestendo il patrimonio di fama ottenuta in tv – scrive Riotta – e lo alimenta con trovate brillanti come la nuotata attraverso lo stretto di Messina, rilanciata da YouTube. La convergenza e’ nel suo caso non di massa, come nella Primavera Araba, ma personale, risultando pero’ altrettanto affilata. Finche’ sara’ Grillo al timone del Movimento 5 Stelle andare in tv puo anche non servire”, ma se Grillo lasciasse la guida del movimento, andare in Tv diventerebbe una necessita’ per i nuovi dirigenti.

Fonte | Agi

L'articolo [Libro] Il web ci rende liberi? sembra essere il primo su Over Security.

EmotiCODE è un nuovo progetto di Simone Margaritelli, un portale in cui ogni sviluppatore può pubblicare la propria porzione di codice sorgente ma soprattutto cercare porzioni di codice da altri programmatori.

Cooperare è la parole chiave di EmotiCODE grazie alla possibilità di pubblicare e ricercare codice ogni utente può collaborare per migliorare o correggere la programmazione.

Il concetto principale alla base EmotiCODE è “as a developer i own a lot to people publishing source codes, snippets and guides on the internet, the less i can do is do my best to help the internet back“, quindi incoraggiare la gente a registrarsi (il processo è piuttosto semplice) e pubblicare ogni bit di codice che hanno, usano o trovano su internet, perché anche il più piccolo codice di tre righe potrebbe risolvere i problemi di qualcun altro durante lo sviluppo di un progetto … non si sa mai

Personalmente ho iniziato a pubblicare codice dallo scorso Marzo 2013, ora tocca a voi!

Potete accedere e registrarvi al portale tramite il sito internet ufficiale: www.emoticode.net

L'articolo EmotiCODE – Aggregatore di codice sorgente sembra essere il primo su Over Security.

Uscendo dal mondo dell’IT Security voglio presentarvi un mio recente progetto, Over Monitor è una Web App che permette ad un amministratore di sistema di controllare lo stato del proprio server Linux attraverso il proprio Smartphone. In mobilità non è facile monitorare velocemente le risorse disponibili sul proprio server poiché non sempre si ha a disposizione un Computer o anche se l’avessimo non è affatto immediato, Over Monitor vuole proprio colmare questa lacuna e permette di controllare la memoria disponibile, il Load Average e tanto altro attraverso il proprio Browser Mobile.

La prima beta è nata lo scorso 17 Aprile 2013 e basava la propria grafica sul framework iWebKit, successivamente per superare i limiti di compatibilità con tutte le piattaforme mobile ho implementato la grafica grazie al framework jQuery Mobile che nell’ultima beta rilasciata oggi (versione 0.8) vede una perfetta integrazione con tutti i dispositivi mobile.

Over Monitor vi permetterà di controllare:

• Versione del Sistema Operativo;
• Versione del Kernel;
• Versione e Caratteristiche della CPU;
• Uptime del server;
• Load Average (1minuto, 5 minuti e 10 minuti);
• Memoria Disponibile, Usate e Totale;
• Utilizzo dei dischi;
• Traffico di rete generato in Upload e Download.

Inoltre vengono generati giornalmente due grafici sull’utilizzo delle Memoria e del Load Average così da poter monitorare costantemente l’uso delle risorse.

Over Monitor è perfettamente compatibile con Smartphone Android, iOS, Windows Phone (versioni 7.5 e 8) e BlackBerry. È possibile visualizzare lo script anche  su Tablet e PC ma a causa di dimensioni diverse graficamente potrete trovare delle imprecisioni.

Over Monitor è Open Source e disponibile su Source Forge, l’utilizzo è veramente semplice: basterà scaricare l’archivio e caricare il contenuto della cartella “upload” nel vostro server dove più preferite. Accedendo al percorso che avete creato potete accedere ad Over Monitor.

I grafici vengono generati sfruttando le vostre visite, ma per avere un grafico temporale più completo vi consiglio di aggiungere un crontab, all’interno del file README trovate tutte le indicazioni.

Vi ricordo che Over Monitor è in fase Beta e potrebbero verificarsi degli errori, in tal caso vi chiedere cortesemente di segnalarmeli. La vostra collaborazione è fondamentale per lo sviluppo del software!

Infine voglio ringraziare Simone Margaritelli (evilsocket) per il supporto nella stesura del codice di recupero informazioni.

L'articolo Over Monitor – Controlla lo stato del tuo server dallo Smartphone sembra essere il primo su Over Security.