Il taccuino di Armando Leotta Rotating Header Image

luglio, 2010:

Shop3 e le strane scelte di (in)sicurezza

lug 31st, 2010
by ArMyZ.
1 comment

Nei corsi di informatica di base,  nei seminari e nella vita lavorativa di tutti i giorni, mi ritrovo a spiegare l’importanza dell’autenticazioni, della scelta di password sufficientemente robuste e di come sia sempre più potenzialmente pericoloso il furto d’identità online.

Se ci pensiamo, solo una password ci separa da n servizi, vedi google ad esempio.

Regola numero 1: non veicolare la password su canali insicuri.

Regola numero 2: se è necessario veicolarla, MAI nella stessa comunicazione sia login che password (vedi banca: pin in una spedizione e carta bancomat rigorosamente in un’altra).

Bene. Oggi l‘inefficienza di 3 Italia H3G mi ha costretto a creare un account su shoptre.it per poter fare online una ricarica urgente (la venticinquesima, appunto) ed è riuscita a fregarsene di entrambe le suddette regole in un unico processo. Spettacolo.

Registro l’utenza, mi arriva un codice sul cellulare 3 indicato in fase di registrazione. Ok. Il link di attivazione cioè dove inserire il codice arrivato via sms mi perviene per mail:

Mail con link di attivazione

Bene, estrema attenzione: multicanalità che permette di verificare sia la bontà del cellulare che quella dell’indirizzo di posta.

Inserisco il codice, accettato. Mi chiede di scegliere una password, riscriverla per verifica. Fatto.

Adesso la fiera dell’assurdo.

Mi arriva sia per sms che per mail una comunicazione dove c’è scritto ecco il tuo login, ecco la relativa password.

Allucinante. Ecco la mail oscurata di, ahem, alcune parti.

Cliccare per ingrandire e godere del parser di google adv

Come si evince dando un’occhiata alla colonna destra dei link sponsorizzati, l’algoritmo di google adwords ed il parser delle nostre mail funziona perfettamente, i processi di sicurezza di H3G decisamente meno.

#FAIL

P.S.: anche il pagamento con carta di credito Mastercard (con SecureCode) ha avuto problemi: si pianta con firefox e funziona perfettamente con Safari.

3 italia, scegli 3 ricaricabile e lo strano modo di contare fino a 24 (o 25) mesi di comodato

lug 31st, 2010
by ArMyZ.
8 comments

Scegli 3, ricaricabile: data contratto 26 luglio 2008. Sono 24 mesi (24 ricariche) di ricariche garantite (nel nostro caso di  € 30). Il contratto è visibile sul sito tre.

Contestualmente all’attivazione del contratto veniamo obbligati a versare la prima ricarica da €30. Ok, poco male: finiamo di pagare prima per poi mantenere l’apparato in comodato gratuito.

Telefonata al servizio clienti per la conferma di non avere l’obbligo di ricarica a partire dal mese di luglio.

Risponde Texas: “Salve, ci sono problemi con i sistemi. Secondo me effettuare anche la ricarica a luglio, l’ultima ma non posso confermarlo perchè non apro la sua scheda”.

Da luglio 2008 a giugno 2010 compresi quanti mesi sono?

Richiamo, risponde sempre Texas: “Guardi, deve effettuare solo l’ultima e se non mi crede può anche controllare il contratto”.

Premesso che risposte del genere non sono da customer service, da luglio 2008 a luglio 2010 COMPRESI sarebbero 25, 25 ricariche mentre da contratto sono 24.

Abbiamo la fortuna di avere un canale su friendfeed dove le persone dietro @3italia  sono sempre state competenti e disponibili.

Se ne parla qui e prontamente @3italia prende in carico a cuore  la problematica e ci avvisa di avere chiesto dei chiarimenti in merito e chie ci avrebbe fatto sapere qualcosa.

Oggi è il 31 luglio e ancora non sappiamo nulla. Che fai? Per 30 € fai la ricarica e buonanotte. Prima riproviamo al 133.

Risponde Colorado (…) e svela l’arcano:

“la prima ricarica, quella fatta contestualmente all’attivazione (30 Euro che il negoziante mi ha fatto obbligatoriamente ricaricare) non viene conteggiata per il comodato” – “in base a quale principio?” – “beh,  è sempre stato così, quindi deve farne una a luglio 2010 per completare le 24″

Beh, io la ricarica di luglio l’ho appena effettuata (ecco il post sulle condizioni di disponibilità e sicurezza del processo di registrazione e pagamento del sito shop3.it) perchè sono le 21 e non ho avuto riscontri nemmeno da @3italia quindi preferisco trovarmi 30 euro in più di credito telefonico che un addebito di 30 euro senza un centesimo di credito telefonico.

Chi l’ha detto che la prima ricarica è obbligatoria?

Chi ha detto che non conta ai fini del conteggio dei primi 24 mesi?

Dov’è scritto?

Qualcuno mi aiuti a contare o a leggere: io vedo solo l’ennesimo

#FAIL


Attendendo il BlackHat USA 2010 e il DEFCON 18

lug 27th, 2010
by ArMyZ.
No comments yet

BlackHat USA 2010

Anche quest’anno si attendono con estremo interesse i contenuti della BlackHat Conference del 28 e 29 luglio al Caesars Palace e del DEF CON 18 entrambi a Las Vegas.

Le agende sono molto fitte (qui i briefing & topics del BlackHat e qui l’agenda del DEF CON 18).

I molti i nomi conosciuti e gli argomenti trattati mi fanno invidiare chi riuscirà ad andarci di persona.

Ad ogni modo, tanto interesse e preoccupazione desta la nuova vulnerabilità del WPA2, il cosiddetto hole 196, presentato anche al DEFCON del 31 luglio, vulnerabilità annunciata ben più grave della precedente al TKIP.

Non mancheranno argomenti ed autori di primissimo rilievo come Moxie MarlinspikeChanging Threats To Privacy:

DEF CON 18

From TIA To Google” (vi ricorderete il caso della chiave privata di PayPal), Mikko Hypponen “You will be billed $90,000 for this call“, Jeremiah Grossman “Breaking Browsers: Hacking Auto-Complete“, Tavis Ormandy & Julien Tinnes “There’s a party at Ring0 (and you’re invited)” (vedi questo e questo), Dan Kaminsky “Black Ops Of Fundamental Defense: Web Edition” (ricorderete questo e questo).

Non mancano gli italiani come Iozzo (ricorderete questo), Claudio Criscione, Marco Bonetti e altri.

Tanti gli argomenti interessati, troppi per elencarli tutti.

I miei alert? Su Wi-fi (WPA2), privacy, vulnerabilità su browser, botnet, mobile botnet e tor.

Prepariamoci ad una valanga di 0-day e di patch.

Stay tuned.

Soluzione antispam open per Joomla (e non solo)

lug 26th, 2010
by ArMyZ.
10 comments

Joomla è un CMS open che non ha bisogno di presentazioni. Attualmente è stata appena rilasciata la versione 1.5.20 e continua a presentare una limitazione by design: le registrazioni al portale possono essere abilitate o disabilitate, abilitate con spedizione di link di attivazione o senza necessità di conferma. Nativamente però non offre la possibilità di un controllo sulla bontà della mail specificata nel modulo di registrazione né di consentire agli amministratori di sistema di moderare le nuove iscrizioni.

Oltre ad installare suite molto avanzate come jomsocial o Community Builder, poter contare su un workflow che consentisse queste verifiche non è cosa banale.

Dopo l’ultimo attacco di spambot (si sono registrati in centinaia, hanno confermato l’iscrizione e persino pubblicato il loro messaggio di spam sul forum) ho deciso di approfondire.

(continua…)

L’italia che vorrei: pensieri ad alta voce in verdana 10

lug 23rd, 2010
by ArMyZ.
8 comments

Contestatore, insolente, irriverente ed eccessivamente critico.

Sintesi consolidata di un carattere severo, esigente e razionale.

E la maturità ha accentuato questi aspetti ed approcci pur riconoscendo al “non prendersi troppo sul serio” il ruolo di indispensabile personale salvavita.

Non so quanto di voi si riconoscano in certe idee, auspici ed esigenze.

Personalmente vorrei un’Italia laica, sul serio e non solo sulla carta.

Una nazione in cui non ci sia l’insegnamento della religione cattolica (o di qualsiasi altra) già nella scuola materna. Anzi, vado oltre. Vorrei un’Italia in cui NON sia consentito a qualsivoglia credo religioso di entrare a fare parte di qualsiasi istituzione pubblica.

Vorrei un’Italia che investa nel suo futuro con progetti strutturali che puntino sul lavoro delle nuove generazioni, già precarie ed indebitate prima ancora di completare gli studi.

Vorrei una classe politica che sia orgogliosa di rappresentare la nazione e che non bruci la nostra bandiera nonostante i ruoli istituzionali ricoperti.

Vorrei vedere cambiamenti sociali ed investimenti avviati anche se comportassero ricadute positive oltre la fine della  legislatura che li ha varati.

Vorrei vedere una classe politica al servizio del cittadino e non delle caste eccellenti da proteggere.

Vorrei una nazione che investa sull’istruzione pubblica come strategia formativa ed equità sociale per le nuove generazioni. Vorrei pertanto non assistere a studenti o insegnanti di serie A e serie B.

Vorrei una nazione in cui gli industriali fanno gli industriali ed i politici fanno i politici.

Vorrei che i modelli veicolati alle nuove generazioni non siano quelli provenienti da tronisti, veline, escort e politica di bassa lega ma da persone che abbiano investito impegno, passione, tempo e risorse nello studio e nel lavoro.

Vorrei che esistesse la certezza della pena.

Vorrei una nazione che pianifichi preventivamente a livello internazionale il flusso migratorio e che si prenda l’onere di agevolare l’integrazione di coloro che giungono nel nostro Paese e abbia altresì la forza di contrastare la clandestinità senza compromessi più o meno velati con la malavita organizzata e con gli imprenditori.

Vorrei che le famiglie potessero contare su un tessuto sociale sereno e aperto tale da facilitare la libertà di espressione dei nostri figli e da accogliere amorevolmente eventuali omosessualità al suo interno.

Vorrei una nazione in cui le multe non siano inserite a budget preventivo.

Vorrei una nazione che investa del rifacimento delle strade piuttosto che in acquisto di autovelox e tutor.

Vorrei una nazione che renda conto pubblicamente ai suoi cittadini di come vengano spesi i soldi pubblici, capitolo per capitolo, obiettivo per obiettivo, appalto per appalto.

Vorrei un’Italia che impari dai suoi errori e dalla sua storia.

Vorrei una PA in cui i cittadini si riconoscano.

Vorrei uno Stato in cui i cittadini non riconoscano un nemico sconosciuto autorizzato a tassare i propri redditi ma un’istituzione da cui pretendere servizi ed esigere sano e fattivo coinvolgimento.

Vorrei una società civile che tenda al futuro forte del proprio passato.

Vorrei una società che rispetti gli anziani e tuteli i bambini.

Vorrei una società in cui non valga la regola del furbetto del quartierino nè la regola del più forte e dei grandi numeri.

Vorrei una società in cui non si confonda il volontariato ed il senso civico con aspetti di carattere religioso.

Vorrei che le amministrazioni locali offrissero dei punti di unione e di contatto per le vecchie e nuove generazioni come spunto di condivisione e arricchimento comune.

Vorrei che lo Stato si riprenda i propri spazi e il proprio ruolo di aggregatore sociale opportunamente ceduto al clero e alle loro strutture.

Vorrei contare su una società democratica e libera dove ognuno possa dire sempre quello che pensa ed il solo fatto di scriverlo non lo equipari ad una testata giornalistica.

Vorrei un’Italia in cui sia chiara e netta la differenza tra la neutralità dello strumento e l’utilizzo che ne viene fatto.

Vorrei affermare di vivere in un Paese in cui non esistano leggi scritte appositamente a beneficio di singoli o potenti lobby.

Vorrei un’Italia in cui sia naturale votare nominativamente il proprio rappresentante politico e che la sua stessa candidatura sia sinonimo di rettitudine morale e fedina penale immacolata.

Vorrei un’Italia che ricordi i suoi morti ed i suoi eroi e non li metta biecamente allo stesso piano dei mafiosi.

Vorrei dire che va tutto bene, poter infondere fiducia ai miei figli e prospettare loro un futuro sereno e giusto senza sentirmi in colpa per aver mentito.

← Earlier Posts