Telepass Mobile
Maggio 9, 2008 at 1:16 pm | In mobile | No CommentsTags: autostrade, mvno, telepass, wind
Avevo ricevuto i dettagli in anteprima, con la promessa di non divulgarli prima che l’offerta fosse di pubblico dominio, ma visto che sono stati pubblicati sul sito 155.it, posso farlo anche io:
E’ stata lanciata l’offerta di Telepass Mobile. Si tratta di un operatore virtuale di rete mobile, powered by Wind.
Di seguito un’anteprima della SIM in distribuzione presso i Punto Blu:
[Per questa aspetto che l'offerta sia disponibile]
L’offerta iniziale prevede un costo di 10€cent/min con scatto alla risposta di 12€cent.
La speranza è che in seguito vengano offerti servizi a valore aggiunto legati alla viabilità e al pedaggio.
Telepass Mobile si aggiunge così alla lista degli operatori virtuali italiani:
* Auchan (Wind)
* BT Mobile (Vodafone)
* CoopVoce (TIM)
* Conad INSIM (Vodafone)
* Daily Telecom Mobile (Vodafone)
* Fastweb (3)
* Poste Mobile (Vodafone)
* Tiscali (TIM)
* UNOMobile (Vodafone)
License Plate SQL Injection
Maggio 6, 2008 at 11:50 am | In sicurezza | No CommentsTags: ANPR, security, SQL Injection
Articolo molto divertente (anche se un po’ da nerd) quello pubblicato su http://www.areino.com/hackeando/
che presenta la foto di una targa che potrebbe causare un attacco di SQL Injection verso un sistema di riconoscimento automatico delle targhe.
In realtà si presentano almeno un paio di problemi:
1) controllo della sintassi (la targa contiene caratteri non validi ed è una stringa non ammissibile per l’Italia)
2) la contraffazione della targa in Italia è un reato penalmente perseguibile
Per ovviare al punto 2 c’è un’alternativa: è assolutamente legale attaccare sul retro dell’auto (o su altra area inquadrata dalla telecamera) un adesivo rettangolare su sfondo bianco molto simile alla targa.
Per il punto 1 la situazione è più complicata, perché se il riconoscitore fa una validazione sintattica (ad esempio i riconoscitori che conosco personalmente lo fanno), la targa viene scartata e passa al riconoscimento manuale dell’operatore, che magari inserisce la stringa affetta da SQL Injection… 
Fatti i redditi tuoi
Maggio 1, 2008 at 7:15 pm | In privacy | 2 CommentsTags: agenzia delle entrate, garante della privacy, privacy, redditi
L’Agenzia delle Entrate ieri ha messo on line tutti i redditi dichiarati dai cittadini italiani nel 2005.
Immediatamente sono seguite le polemiche ed i dibattiti su molti blog italiani, in particolare sul blog di Beppe Grillo, che si è sentito attaccato per aver dichiarato 4.272.591€ d’imponibile.
Sul suo blog si legge:
I rapimenti di persone saranno facilitati, il pizzo potrà essere proporzionato al reddito dichiarato. La criminalità organizzata non dovrà più indagare, presumere. Potrà andare a colpo sicuro collegandosi al sito dell’agenzia delle entrate.
Concordo con Antonio Vergata: “Le infuocate polemiche sulla vicenda sono il naturale corollario in una nazione con alto tasso di evasione fiscale.” [http://antoniovergara.wordpress.com/2008/05/01/redditi-on-line/]
L’Agenzia si difende dichiarando in un comunicato che:
Gli elenchi sono stati resi pubblici ai sensi dell’articolo 69 del Dpr 600 del 1973 e dell’articolo 66 bis del Dpr 633 del 1972.
In realtà il sito è stato per molto tempo inaccessibile a causa dell’elevato numero di accessi ed alla fine, su richiesta del Garante per la protezione dei dati personali, è stata sospesa la disponibilità degli elenchi.
Anche se la legge non vieta la pubblicazione di tali dati (in passato sono stati spesso pubblicati sui giornali), sicuramente pone seri interrogativi sulla tutela della privacy.
Ma è davvero utile offrire uno strumento di trasparenza nelle mani degli utenti?
Non sarebbe più utile offrire degli strumenti più potenti nelle mani degli ispettori per permettere loro dei controlli più efficaci?
I 10 tentacoli del calamaro
Aprile 15, 2008 at 2:11 pm | In Internet, sicurezza | No CommentsTags: Domenico Viggiani, security, sikurezza.org, Squid, transparent proxy
E’ partito tutto da un post del 2 Apr 2008 di Domenico Viggiani sulla mailing list di sikurezza.org.
Viggiani allega uno screenshot di Firefox con il classico “Access Denied” di Squid in risposta ad una richiesta per “http://login.yahoo.com/config/login?”. La pagina riporta l’indirizzo email del cache administrator e l’azienda per cui lavora, che apparentemente non ha nessuna relazione con il pc in questione.
La mia prima sensazione è che qualcuno avesse riutilizzato un file di configurazione di Squid senza cambiare i riferimenti dell’admin e non ho prestato particolare attenzione al thread.
Col passare dei giorni si arriva ad ipotesi più interessanti e meno banali, fino ad ipotizzare la teoria del dirottamento del traffico, operato via dns, verso una catena di transparent proxy http, e nel mezzo ci starebbero i “cattivi” in ascolto.
Il 14 Apr arriva un ulteriore messaggio di Viggiani, che nel frattempo ha contattato l’admin indicato nel messaggio d’errore, che ha spiegato la situazione con “problemi di routing che portavano addirittura sul loro proxy”.
Oltre ad essere tecnicamente poco chiara, mi sembra molto grave che le connessioni enterprise di un’azienda (acquistate da Telecom e Albacom) finiscano su server di terze parti senza alcun motivo.
In natura il calamaro ha 10 tentacoli, dove porteranno in questo caso???
Google Alert ed il filtro anti-spam di Gmail
Aprile 5, 2008 at 6:37 pm | In spam | 3 CommentsTags: email, gmail, google, google alert, spam
Gmail ha rilevato come spam anche un messaggio inviato dalla stessa Google sotto forma di Google Alert!!!
Effettivamente il servizio si prestava per essere sfruttato dagli spammer, perché la stessa email di conferma per l’attivazione dell’agente di ricerca, conteneva il testo da ricercare.
Recentemente hanno modificato il servizio e adesso i termini di ricerca vengono “troncati” e con loro un eventuale messaggio di spam.
36hoursdeveloping
Aprile 4, 2008 at 2:27 pm | In eventi, mobile, software | 2 CommentsTags: 36hoursdeveloping, apple, eventi, extreme programming, iphone, nerd, pisa, reality, software, sviluppo
Leggo da Punto Informatico e con piacere pubblico la notizia su “36hoursdeveloping”, un reality show nel quale 4 nerd saranno impegnati nello sviluppo di una applicazione per il cellulare iPhone di Apple. Il tutto in una maratona di 36 ore dalle 9 di sabato mattina fino alle 20 di domenica.
Che cosa faranno? Ancora non si sa…
“Siamo indecisi se rilasciare tutto con una licenza open source oppure se tenerlo, rifinirlo e magari provare a commercializzarlo. Decideremo alla fine, a seconda di come andrà” dichiarano i 4 studenti di Informatica dell’Università di Pisa (Leonardo Fiorini, Luca Bartoletti, Stefano Aru e Antonio Malara).
Unico appunto: diversamente da quanto dichiarano loro, non si tratta di Extreme Programming. In passato ho lavorato per un’azienda di Pisa che seguiva un modello di sviluppo abbastanza vicino all’XP e non ha niente a che vedere con quello che faranno loro.
Dal sito extremeprogramming.org
“No Overtime
Working overtime sucks the spirit and motivation out of a team. Projects that require overtime to be finished on time will be late no matter what you do. Instead use a release planning meeting to change the project scope or timing. Increasing resources by adding more people is also a bad idea when a project is running late. “
Per chi fosse interessato, sarà disponibile lo streaming dell’intera maratona direttamente sul sito dell’evento.
Chi, invece, volesse vedere qualcosa di più divertente:
The Big Bang Theory è una sitcom americana che racconta le disavventure di due giovani nerd (fisici) che vivono accanto a una bellissima ragazza
The IT Crowd è una sitcom inglese che racconta le vicende lavorative di due nerd (informatici) che lavorano nell’IT department di un’azienda londinese
e del loro responsabile, una donna con nessuna competenza informatica.
D-Link DNS-323
Aprile 3, 2008 at 3:04 pm | In hardware | No CommentsTags: d-link, debian, dns-323, nas, raid 1, white box
Ieri mi è arrivato il D-Link DNS-323. Si tratta di un NAS low-end, che ho acquistato per poter condividere i dati su tutti i pc e garantire la ridondanza degli stessi grazie al raid-1.
Dopo una veloce installazione (molto semplice) mi sono accorto di aver acquistato qualcosa di molto più potente, perché con alcune semplici procedure è possibile trasformare la black-box in una white-box ultra personalizzabile, su cui è possibile installare quasi di tutto.
Si può partire con dei binari precompilati (Telnet, bittorrent, httpd, php, svn, …) fino ad installare una porta seriale che permette di aggiornarela flash ed installare Debian.
Sono rimasto anche positivamente impressionato dalla ricca configurabilità di alert di diagnostica.
m-spam
Marzo 31, 2008 at 1:26 pm | In mobile, spam | 1 CommentTags: Agcom, Phishing, sms, spam, Vishing
Finalmente anche io ho ricevuto il mio bel messaggio di spamming via sms:
**********.BIZ
Messaggi urgenti per te.
Chiama da fisso 89-9*-**-*** e segui le info gratuite.
promomotional message
Da:+27******
Non ho provato a contattare il numero, quindi non so dire se si tratta di un semplice tentativo di spillare qualche soldo (a vedere dalla numerazione dovrebbe trattarsi di 15€) oppure qualcosa di più (Phishing/Vishing).
Il mittente è del Sudafrica, ma il numero da contattare è un italianissimo 899. Lo stesso dicasi per il titolare del sito web pubblicizzato.
L’Autorità per le garanzie nelle comunicazioni comunica che “è in corso un’ispezione di funzionari dell’Agcom, supportati dalla Polizia postale, presso un operatore mobile, al fine di verificare origine e modalità di invio degli SMS truffa. All’esito degli accertamenti l’Agcom adotterà i provvedimenti sanzionatori di competenza.”.
Security advisory: Comune di Calcinaia (PI)
Marzo 29, 2008 at 3:41 pm | In security advisory | 3 CommentsTags: calcinaia, comune, foto, privacy, security, security advisory, verbali, vulnerabilita
TITOLO
Il servizio di consultazione delle foto scattate dagli autovelox del Comune di Calcinaia (PI) permette la consultazione di tutte le foto disponibili in archivio senza possedere le credenziali di accesso.
ADVISORY ID
200801
DATA DI RILASCIO
2008-03-30
VERIFY ADVISORY
http://leonardoanceschi.wordpress.com/2008/03/29/security-advisory-comune-di-calcinaia-pi/
CRITICITA’
Alta
LOCATION:
Da remoto
IMPATTO:
Dati personali liberamente accessibili da remoto
SITI COINVOLTI
http://www.comune.calcinaia.pi.it
HALF DISCLOSURE
Il servizio di visualizzazione delle foto scattate dagli autovelox non è adeguatamente sicuro e permette a qualunque utente con un po’ di familiarità con html e xml di visualizzare tutte le foto scattate dagli autovelox.
Il database delle foto è accessibile in chiaro e senza autenticazione direttamente dall’esterno.
La vulnerabilità, individuata da Leonardo Anceschi, esperto di sicurezza informatica, è stata segnalata al Comune di Calcinaia il 30/03/2008, unitamente ai dettagli completi sulla riproducibilità e sulle implementazioni necessarie per risolvere la vulnerabilità.
FULL DISCLOSURE
Fornita a Comune di Calcinaia
PROOF OF CONCEPT
Fornito a Comune di Calcinaia
SOLUZIONI
Fornite a Comune di Calcinaia
TIMEFRAME
2008-03-29: Individuazione della Vulnerabilità
2008-03-30: Segnalazione della vulnerabilità ed invio del FULL DISCLOSURE a Comune di Calcinaia
2008-03-30: Pubblicazione dell’HALF DISCLOSURE sul blog http://leonardoanceschi.wordpress.com
2008-03-31: Rimosso il servizio di consultazione delle foto dal sito del Comune
2008-04-01: Ripristinato (con vulnerabilità) il servizio di consultazione delle foto dal sito del Comune
-
Commenti recenti
IT Security (Google News)- Mobile (GOOGLE NEWS)
- Tutti a caccia dell'Internet mobile giù le tariffe per cellulari e ... - La Repubblica
- MORTA DOPO SOSPENSIONE INSULINA, MOBILE ASCOLTA GENITORI - Agenzia Giornalistica Italia
- Tutti pazzi per il Mobile Gaming - Notizie Interfree
- Nokia WidSets, l'advertising diventa mobile - PMI.it
- Web più mobile con Opera Mini 4.1 - PMI.it
Blog su WordPress.com. | Theme: Pool by Borja Fernandez.
Entries and comments feeds.
