skip to main | skip to sidebar
0 commenti

Falla di Facebook permetteva di rubare gli account: risolta

La raccomandazione di non considerare privata qualunque cosa immessa in un social network ha trovato una dimostrazione molto ingegnosa pochi giorni fa: è infatti emerso che Facebook aveva una falla che consentiva di leggere e vedere tutto il contenuto degli account altrui.

La falla è stata scoperta a luglio 2015 da un ricercatore di sicurezza britannico, noto con il nomignolo finite, che l’ha tenuta segreta e segnalata a Facebook, ricevendo una ricompensa di circa 7500 dollari. Ricompensa meritata, visto che scoprire e sfruttare la falla richiedeva un ingegno davvero notevole e una creatività altrettanto sviluppata.

Finite ha infatti scoperto un modo di iniettare del contenuto creato da lui all’interno delle pagine generate da Facebook e soprattutto di far credere a Facebook che si trattasse di contenuto creato da Facebook e non dal ricercatore di sicurezza: in gergo tecnico, un classico cross-site scripting.

Fin qui nulla di straordinario: quello che merita una lode particolare è il contenuto iniettato da finite, ossia un’immagine. Siccome il testo viene (giustamente) filtrato da Facebook mentre le immagini sono considerati innocue, finite ha creato un’immagine in formato PNG, quindi compressa, che una volta interpretata e scompattata da Facebook diventa testo e specificamente diventa uno script che Facebook interpreta come proprio e quindi esegue senza restrizioni, permettendo di prendere il controllo degli account altrui. Geniale. L’immagine è quella mostrata qui sopra, ma non provate a usarla: Facebook ha chiuso subito la falla.
9 commenti

La vostra prossima suoneria? Createla con le onde gravitazionali

Ieri è stato il grande giorno della scoperta delle onde gravitazionali. Una rivoluzione straordinaria per l’astronomia, che ora ha un canale di esplorazione aggiuntivo oltre alla luce, alle onde radio e ai raggi X già usati dai rispettivi tipi di telescopio per sondare il cosmo. Ma a qualcuno è venuta spontanea la solita, inevitabile domanda: in pratica, questa scoperta cosa cambia?

La risposta seria è che è raro che la ricerca di punta porti a risultati pratici immediati, ma lo fa quasi sempre a lungo termine. Per esempio, i raggi X sembravano una bizzarria fino a quando ci si è resi conto che potevano essere usati per la medicina e la chirurgia. Le reazioni nucleari sembravano inutili curiosità fino a quando una bomba atomica ha distrutto la città di Hiroshima. E così via.

Ma la risposta meno seria è che stavolta c'è davvero un risultato pratico subito pronto: la suoneria più cool dell'universo. Ieri, infatti, è stata presentata la conversione in suono dell’onda gravitazionale captata. Eccola:


È un suono inquietante e suggestivo, specialmente se si considera la sua origine straordinaria: due lontanissimi buchi neri, corpi celesti alla cui gravità non sfugge neppure la luce, ciascuno trenta volte più massiccio del nostro Sole, che si sono scontrati e fusi insieme un miliardo e trecento milioni di anni fa, liberando in un istante cinquanta volte più potenza di tutte le stelle nell’universo osservabile e creando un’onda che corre fra le stelle da oltre un miliardo di anni, piegando lo spazio e il tempo, ossia la struttura stessa dell’universo, al suo passaggio.

Convertite questo video in un file audio e usatelo come suoneria. Così quando vi chiederanno che cos’è, potrete rispondere con disinvoltura che è il suono dello scontro stellare più potente mai registrato, o se preferite di due stelle giganti che s’accoppiano fino a diventare una cosa sola.

Non vi convince? Troppo nerd? È sempre meglio di quel petulante e onnipresente fischiettìo che si usa di solito.
2 commenti

Amazombi!

Avete presente che si dice sempre che bisogna leggere bene e fino in fondo le clausole di ogni contratto che si accetta? E avete presente che non lo fa nessuno, specialmente per i contratti dei servizi su Internet? Amazon ha pensato di approfittare di questa diffusissima cattiva abitudine per nascondere una chicca contrattuale notevole: la clausola anti-zombi.

Non sto scherzando: è realmente presente una clausola che parla di zombi, una sorta di easter egg o di ricompensa per chi si prende la briga di leggere le condizioni di Amazon Web Services almeno fino alla cinquantasettesima clausola compresa.

Questa clausola infatti parla di usi accettabili di un motore per giochi 3D di Amazon e dei suoi materiali e dice che questi materiali “non sono concepiti per l’uso con sistemi critici per la sopravvivenza o la sicurezza, come l’uso nell’azionamento di apparati medici, sistemi di trasporto automatici, veicoli autonomi, aerei o controllo del traffico aereo, impianti nucleari, veicoli spaziali con equipaggio, o uso militare in relazione al combattimento non simulato.” Fin qui sembra una restrizione standard, ma poi la clausola prende una piega decisamente bizzarra: “Tuttavia questa restrizione non si applica al verificarsi (certificato dai Centri per il Controllo delle Patologie degli Stati Uniti o dall’ente ad essi successore) di un’infezione virale ad ampia diffusione, trasmessa mediante morsi o contatto con fluidi corporei, che induca i cadaveri umani a rianimarsi e cercare di consumare carne umana, sangue, cervelli o tessuto nervoso di esseri umani viventi e che probabilmente causerà la caduta della civiltà organizzata”.

In altre parole, Amazon, in un contratto legalmente vincolante, sta parlando seriamente di zombi.

Questo è l'originale:

57.10 Acceptable Use; Safety-Critical Systems. Your use of the Lumberyard Materials must comply with the AWS Acceptable Use Policy. The Lumberyard Materials are not intended for use with life-critical or safety-critical systems, such as use in operation of medical equipment, automated transportation systems, autonomous vehicles, aircraft or air traffic control, nuclear facilities, manned spacecraft, or military use in connection with live combat. However, this restriction will not apply in the event of the occurrence (certified by the United States Centers for Disease Control or successor body) of a widespread viral infection transmitted via bites or contact with bodily fluids that causes human corpses to reanimate and seek to consume living human flesh, blood, brain or nerve tissue and is likely to result in the fall of organized civilization.

Umorismo per avvocati geek. Ringrazio i tanti lettori che mi hanno segnalato questa chicca.
4 commenti

Antibufala: il video antigravità degli OK Go

Il nuovo video degli OK Go, intitolato Upside Down, Inside Out, parte subito dichiarando che “Quello che state per vedere è reale. Lo abbiamo girato in gravità zero, in un vero aereo, in cielo. Non ci sono fili o green screen”. Seguono tre minuti abbondanti di evoluzioni spettacolari e impossibili che fanno davvero sembrare che gli OK Go abbiano annullato la gravità. Molti si stanno chiedendo come possa essere vera l’affermazione del gruppo musicale, noto per i suoi video stracolmi di illusioni ottiche e di effetti ottenuti dal vivo, senza trucchi digitali.  È una bufala?

Non proprio. La tecnica descritta dagli OK Go, ossia usare un aereo per creare un effetto identico all’assenza di peso, è reale e documentata da decenni: la adoperano gli astronauti per allenarsi all’assenza di peso che troveranno nello spazio. Basta lanciare l’aereo su una traiettoria che lo faccia arrampicare in cielo e poi ridurre la spinta dei motori: il velivolo traccia un arco parabolico e poi inizia a cadere, e durante questo periodo di caduta libera a bordo si ha l’effetto dell’assenza di peso (non assenza di gravità: la gravità c'è ancora ed è infatti quella che attira l’aereo verso terra, ma siccome i passeggeri cadono alla stessa velocità con la quale cade l'aereo, gli oggetti e le persone a bordo fluttuano come se non ci fosse gravità).


OK Go - Upside Down & Inside Out
Hello, Dear Ones. Please enjoy our new video for "Upside Down & Inside Out". A million thanks to S7 Airlines. #GravitysJustAHabit
Pubblicato da OK Go su Giovedì 11 febbraio 2016


Fin qui, insomma, il video degli OK Go è realistico, ma c’è un piccolo problema: i periodi di caduta libera ottenibili con gli aerei durano al massimo una ventina di secondi (per non schiantarsi al suolo) e sono seguiti da un periodo nel quale i piloti fanno rialzare l'aereo dalla sua traiettoria diretta verso il suolo, con un’accelerazione che aumenta il peso degli occupanti. Nel video, invece, ci sono circa tre minuti di assenza di peso ininterrotti. Allora c’è un trucco?

Ebbene sì: il video è stato realizzato in spezzoni brevi che poi sono stati uniti in fase di montaggio, come sottolinea su Facebook persino la NASA. Secondo la spiegazione pubblicata sul sito ufficiale degli OK Go, si tratta di una ripresa singola di 45 minuti, che include otto periodi consecutivi di assenza di peso di circa 21 secondi intervallati da alcuni minuti di condizioni normali: questi minuti sono stati tolti dal video e gli stacchi non si vedono grazie a un piccolo ritocco digitale di morphing. Se li volete scovare senza troppa fatica, sono a 0:46, 1:06, 1:27, 1:48, 2:09, 2:30 e 2:50.

Le riprese si sono svolte su un grande aereo apposito del Centro di Addestramento per Cosmonauti vicino a Mosca, all’interno del quale è stata costruita una finta fusoliera d’aereo di linea, ben più lavabile dei normali interni di un velivolo. Geniale e divertente.


Fonti aggiuntive: Nofilmschool, S7 Airlines, Buzzfeed, Redbull.com.
4 commenti

Mini-centrale idroelettrica francese comandabile da chiunque via Internet

Collegare i dispositivi a Internet, in modo da poterli comandare da lontano, è sicuramente molto utile. Ma bisogna collegarli come si deve, pensando alla sicurezza, altrimenti ci si ritrova con situazioni come questa, scovata in Francia dal motore di ricerca Shodan: una mini-centrale idroelettrica che è stata collegata a Internet così maldestramente che chiunque può prenderne il controllo da lontano, come ho visto fare in queste ore, con conseguenze facilmente immaginabili.



Vediamo quali errori sono stati commessi, così possiamo imparare come non si configura l’Internet delle Cose.

1. Non si deve contare su un indirizzo IP “segreto”. Molti utenti (e amministratori di dispositivi) pensano ancora che un indirizzo IP, se non viene divulgato, sia un fattore di sicurezza perché se nessuno conosce l'indirizzo di un dato dispositivo quel dispositivo è introvabile. Non è così: motori di ricerca appositi, come Shodan, permettono di cercare dispositivi in base al loro tipo e alla loro posizione geografica. Sapendo qual è la marca e il modello del dispositivo e dove si trova, scoprire il suo indirizzo IP di controllo è banale. Vale anche il contrario: per esempio, secondo Utrace.de risulta che la centrale idroelettrica mostrata qui sopra (di cui non pubblico l’indirizzo IP per ovvie ragioni) è situata dalle parti di Tolosa, in Francia. Altri indizi suggeriscono più precisamente la località di Aiguillon.

2. Non si deve abilitare una connessione remota aperta a tutti e senza password. La centrale idroelettrica in questione è accessibile via Internet a chiunque sappia il suo indirizzo IP e usi una normale applicazione di gestione remota come VNC. Non viene neppure richiesta una password di accesso alla connessione VNC: ci si collega e basta. Ciliegina sulla torta, la connessione non è cifrata contro eventuali intercettazioni. Ciliegina sulla ciliegina, la centrale fa collegare chiunque ne digiti l'indirizzo IP anche in un normale browser.

3. Non si devono memorizzare sul computer remoto i nomi degli utenti e le password di accesso. Chi avvia una sessione VNC con il computer che gestisce la centrale idroelettrica di questo esempio non deve neppure tentare di indovinare i nomi degli utenti autorizzati, perché sono stati memorizzati nel browser del computer remoto. Insieme alle password. Così ho visto utenti accedere ai controlli della centrale e alla configurazione degli utenti semplicemente cliccando nella casella del nome utente e lasciando che il completamento automatico proponesse il nome dell’utente e poi la sua password.

4. Non si devono usare password stupidamente evidenti. Nel caso della centrale, ho visto che i visitatori hanno scoperto che almeno un account ha la password uguale al nome utente.


Sono rimasto alcune ore a osservare l’andirivieni dei visitatori sulla connessione di controllo remoto e ho visto fare di tutto, compreso cliccare sui comandi della centrale. Mi sono ovviamente posto il problema di come avvisare il responsabile della centrale, ma nelle scorribande dei visitatori non ho visto alcuna informazione di contatto, per cui ho inviato una mail alle aziende citate nelle schermate di configurazione della centrale. Ho inoltre creato sul desktop del computer remoto un file di stampa di nome "ATTENTION VOUS ETES ACCESSIBLES PAR INTERNET". Speriamo in bene.
Articoli precedenti