Ancora OpenSSL

Nel giro di un paio di mesi sono state individuate importanti vulnerabilità su OpenSSL:
ad aprile Heartbleed ha aperto le danze, svelando in modo piuttosto brusco i problemi dovuti all'esclusiva forma di volontarietà con cui sono gestiti alcuni dei pacchetti, senza dubbio definibili pilastri di internet e del suo utilizzo in modo sicuro.
Sull'onda di questa presa di coscienza sono aumentate le attività di analisi del codice di OpenSSL e frutto di questo lavoro è la scoperta di alcune altre vulnerabilità.

Mi soffermerei sulla CVE-2014-0224, la vulnerabilità con maggiore criticità dell'ultima tornata che consente di eseguire un attacco di tipo Man in the Middle.

La vulnerabilità consente, grazie all’invio di un pacchetto di handshake confezionato appositamente, di far utilizzare al client ed al server algoritmi crittografici deboli, ponendo le basi per l'attacco Man In The Middle e consentire quindi l’intercettazione e la modifica del traffico tra client e server.

La vulnerabilità è stata individuata da Masashi Kikuchi, che ha pubblicato una FAQ sulla vulnerabilità e racconta la storia di come ha scoperto la vulnerabilità

di seguito alcuni link utili per comprendere, gestire e verificare la vulnerabilità.

di Masashi Kikuchi

Descrizione della CCS Injection Vulnerability 

Come Ho scoperto la Vulnerabilità CCS Injection

tools di verifica 

dev.ssllabs.com ( ancora sperimentale )

programmi realizzati da Ramon de C Valle per la verifica del server e del client ( negli esiti sono stati riscontrati dei falsi positivi ) 

tool di verifica in perl
aggiornamento

tool di verifica in go realizzato da iSEC Partners

bye ;)

iZettle vs Square, i nuovi personal POS

Il mercato dei pagamenti con carta di credito personali si sta ravvivando, dopo il dominio (almeno sui media) di Square, la startup che all’ultimo giro di finanziamenti ha raggiunto una valutazione da 1 miliardo di dollari, si affaccia sul mercato internazionale la svedese iZettle che proprio oggi esce dalla beta ed avvia la commercializzazione. Le due aziende sono, a mio avviso, destinate a dettare legge ognuna nel proprio continente, iZettle affronta il mercato delle carte con chip, che sono la stragrande maggioranza in Europa mentre Square è dedicata alle carte in uso negli Stati Uniti ovvero quelle esclusivamente con banda magnetica.
Probabilmente nel prossimo futuro vi sarà una adozione della tecnologia con chip (EMV) anche negli States e Square avrà tutto il tempo di organizzarsi.
I business model non si differenziano molto, i device sono gratuiti, entrambe applicano una fee del 2,75% rispetto al costo della transazione a cui però iZettle aggiunge un importo fisso di circa 16 centesimi di Euro.

 bye ;)

CrunchBase Information

iZettle

Information provided by CrunchBase

CrunchBase Information

Square

Information provided by CrunchBase

the CA Crackdown

Il 2011 è stato l’anno delle compromissioni alle CA.
Ichsun, è questo il nome dell’hacker che ha violato due Root CA Comodo a Marzo e DigiNotar a metà luglio,
Ieri è stata pubblicata la rivendicazione dell’attacco alla CA olandese DigiNotar (una società Vasco ) tramite un messaggio postato su pastebin (1) insieme ad altri messaggi del precedente attacco a Comodo (2)

Nella rivendicazione c’è un riferimento politico molto forte, riguarda la strage di Srebenica ed il ruolo dei caschi blu olandesi in quel terribile luglio del ’95, quindi una rivalsa verso il governo olandese…ma molto più probabilmente Ichsun (aka ComodoHacker) è il braccio di un’operazione che ha lo scopo di porre in essere una vasta rete di intercettazione delle comunicazioni digitali.
Viene naturale presumere che un’azione del genere venga messa in atto da un governo piuttosto che da un singolo (visualizzazione delle richieste di verifica del certificato ).

Resta di fatto che penetrare in una Certification Authority non è comunque un’attività di poco conto, anzi è un’operazione che richiede notevoli conoscenze tecniche, è necessario essere in grado di superare i molteplici livelli di sicurezza.

I dettagli dell’attacco, “MOST sophisticated hack of the year” come lo auto definisce, non sono però svelati da Ichsun, anche se racconta qualche piccolo dettaglio ma tiene anche a precisare che in questo momento è in altre CA.

A mio avviso questa intrusione cambia (e di molto) le regole del gioco, ponendo a serio rischio uno dei pilastri della sicurezza delle comunicazioni su internet

Alcune fonti / link approfondimento:
Diginotar Investigation Report
https://blog.torproject.org/blog/diginotar-damage-disclosure (contiene link a lista dei certificati fraudolenti emessi da diginotar)
twitter di Mikko Hypponen

bye
;)

Square - un nuovo sistema di pagamento mobile

Stamane ho letto degli interessantissimi post ( 1,2,3 ) relativi a Square, un nuovo sistema di pagamento mobile, nato con lo scopo di sostituire gli attuali POS per il pagamento con carta di credito e tutta catena di processo collegata.

L'idea è di Jim McKelvey e di Jack Dorsey (uno dei fondatori di twitter), sembra votata al successo visto che ancora prima del lancio gode di una valutazione di 40 Milioni di dollari.

Il servizio si basa sull'utilizzo di un iPhone o iPod Touch, integrati con un lettore di banda magnetica, la ricevuta di pagamento è inviata direttamente alla casella di posta del pagatore, sembra di facile utilizzo ed il video realizzato e pubblicato da uno dei redattori di TechCrunch lo dimostra.

Io la trovo una bella idea, soprattutto perchè rende il pagamento con carta accessibile veramente a tutti e ovunque ( vi sia campo ;) ).

bye

;)

CrunchBase Information

Square

Information provided by CrunchBase

Il Sesso al tempo del Web 2.0

Stamane mi sono balzate agli occhi due siti molto curiosi, li ritengo interessanti proprio perchè in questi giorni è stato decretato il sorpasso, in termini di traffico generato, da parte dei network sociali sui siti porno e di sesso in generale.

Il primo sito è bedpost un tracker delle attività sessuali, in cui è possibile, una volta conclusa l'attività ;), di postare i dati dell'amplesso sotto forma di tag, i partner etc. "in modo da poter avere una storia della tua vita sessuale su cui riflettere".

il secondo sito l'ho trovato sul corriere.it e parla del social network AshleyMadison specializzato in infedeltà coniugale.

Anche se gli esempi che ho portato non sono proprio i migliori, emerge sempre di più il vero scopo e uso del web 2.0 come strumento di supporto alla vita.

p.s. è solo un'interessante nota di colore

;) ciao

  

aggiornamento:

non solo il sesso a scopo ricreativo, ma anche quello più biblicamente a scopo riproduttivo ha i suoi siti..Go28Days aiuta le donne a tracciare il periodo di fertilità, ma se non lo trovate proprio adatto potete scegliere ...

;) ciao

Facebook vs Google - La battaglia delle piattaforme sociali

É di questi giorni l'annuncio ufficiale da parte di Google del via a OpenSocial, l'alternativa alla piattaforma F8 messa a disposizione da Facebook per lo sviluppo di applicazioni per la piattaforma.
OpenSocial dovrà consentire a Google e a chi vi aderirà, di poter condividere la metodologia per lo sviluppo delle applicazioni, ad oggi i partner di Google sono Friendster, hi5, Hyves, imeem, LinkedIn, MySpace, Ning, Oracle, orkut, Plaxo, Salesforce.com, Six Apart, Tianji, Viadeo e XING (una lista completa è raggiungibile qui).
Una delle prerogative di OpenSocial è che il set di API si basa esclusivamente su tag HTML e JavaScript, a differenza di F8 che utilizza un proprio markup language. Google e Facebook adottano due scuole di pensiero contrapposte, Facebook è una piattaforma completa ma chiusa (forse un limite ma anche un punto di forza), Google interpreta un modello aperto che potrà garantire agli sviluppatori di "applicazioni sociali" di poter avere una diffusione trasversale alle applicazioni di Social Network.
Intanto per chi volesse fare qualche esperimento su orkut è predisposta una sandbox per il testing delle applicazioni.
Per approfondire la tematica:
OpenSocial Home
OpenSocial Blog
OpenSocial Guida allo Sviluppo.

ciao ;)

Should I Stay or Should I go

Sabato scorso si è tenuto a Roma, presso la John Cabot University, il VentureCamp (ideato e organizzato da Fabio Masetti - Ottimo Lavoro)
Ho passato una piacevole ma soprattutto istruttiva giornata, illuminata dalla volontà di condividere un messaggio corale "Nulla è Impossibile".
Sono rimasto molto colpito dalle storie di Fabrizio Capobianco di Funanbol e Gianluca Dettori (creatore di Vitaminic ed oggi di dpixel con la vocazione all'early stage funding), inoltre sono stati molto "educativi" i consigli di Giacomo Marini sul come presentarsi ad un VC.
Questa giornata mi ha offerto ben più di uno spunto di riflessione, ma la cosa che più delle altre a cui dedico la mia attenzione è se effettivamente sia necessario per un imprenditore dover andare negli Stati Uniti o in UK per creare e far crescere la propria StartUp.
Pare di si, anche se esistono delle soluzioni ibride ed intelligenti, come quella di Fabrizio Capobianco che ha il quartier generale nella Silicon Valley e gli ingegneri in Italia (pare che i nostri ingegneri abbiano il miglior rapporto qualità/prezzo).
L'interessante analisi di Richard C. Boly (Partnership for Growth) sulle motivazioni dell'assenza del Venture Capital in Italia, che vanno dalla legislazione poco favorevole alle aziende alla difficile soluzione di uscita dell'investimento. Ma...c'è sempre un ma, anche se ai più era sfuggito ;) anche in Italia qualcosa si sta muovendo, Luigi Amati di Meta Group ha portato la testimonianza di qualche iniziativa interessante, come del resto le testimonianze di First Generation Network (Dettori, Palombi, Rossi) più incentrate sulle loro esperienze ed i possibili contributi che possono dare ai nuovi imprenditori.

Ecco qualche indirizzo (spero) interessante
AIFI Associazione Italiana del Private Equity e Venture Capital
Italian Business Angel Network, European Business Angel Network
360CapitalPartners
Polo del Venture Capital
Appuntamenti
European Venture Contest
Le WEB3

e giusto per unirmi al coro "SI...PUO'...FARE" ! !
;) ciao