Author Archives: Matteo Campofiorito

About Matteo Campofiorito

Sono nato a Roma il 4 Luglio 1977 e mi sono laureato in Scienze della comunicazione presso l'Università La Sapienza. Ho collaborato con riviste di informatica, blog e testate ecologiste. Attualmente lavoro come content manager per oneOpenSource.it, GreenStyle.it, blog.html.it, CMS.HTML.it, Sicurezza.HTML.it e Webmarketing.HTML.it. Il mio blog personale è bufferOverflow.it

I dati degli utenti Android e iPhone sono stati intercettati

di Matteo Campofiorito - 1 dicembre 2011 alle 11:57

Tutto inizia con le ricerche dello sviluppatore Trevor Eckhart su un software presente sul suo smartphone Android. Eckhart inizia a sniffare i dati scambiati tra il suo cellulare HTC EVO sia quando è in modalità aereo, sia quando è connesso via Wi-Fi. Con grande sorpresa scopre che un software realizzato da Carrier IQ (il programma si chiama come l’azienda che lo produce), presente di default in Android, si comporta in modo molto simile a un keylogger e a un rootkit, registra i tasti premuti dall’utente, sniffa i dati scambiati anche attraverso connessioni sicure SSL e localizza la posizione geografica dello smartphone.

Per dimostrare le sue scoperte Trevor Eckhart posta un video su YouTube che dà conferma del comportamento sospetto (e scorretto) di Carrier IQ.

Continua »

Tag: , , ,

Hackerata la pagina Facebook di Mark Zuckerberg

di Matteo Campofiorito - 26 gennaio 2011 alle 10:47

Se la pagina fan di Mark Zuckerberg non è sicura, allora come possono sentirsi sicuri gli utenti di Facebook? Questo è il primo pensiero che viene in mente leggendo del “defacement” perpetrato ai danni della pagina fan del numero 1 di Facebook.

Sulla pagina è comparso un messaggio firmato apparentemente da Zuckerberg che recitava:

“Che l’hacking abbia inizio: se Facebook ha bisogno di soldi, invece di andare a chiederli alle banche, perché non far investire gli utenti in Facebook? Perché non trasformare Facebook in un social business come ha suggerito il premio nobel Muhammad Yunus? Che cosa ne pensate? #hackercup2011″

Continua »

Tag: ,

Basta un’immagine per colpire Windows: primo 0day del 2011 per MS

di Matteo Campofiorito - 5 gennaio 2011 alle 15:56

Una thubmnail, un’immagine di dimensioni molto piccole, può causare grossi danni a quasi tutti i sistemi Windows in circolazione. È stata Microsoft stessa a dare notizia di un nuova e pericolosa falla 0day in Windows.

Il bug risiede nel Windows Graphics Rendering Engine e, come detto, colpisce tutti gli OS Windows ad eccezione di Windows 7 32-bit e x64 e Windows Server 2008 R2 per sistemi x64 e Itanium.

Continua »

Tag: ,

OpenBSD contiene una backdoor inserita dall’FBI?

di Matteo Campofiorito - 15 dicembre 2010 alle 11:31

OpenBSD, il sistema operativo sicuro per default, che può vantare solo due vulnerabilità remote da quando esiste (1996), sarebbe stato compromesso con una backdoor da parte dell’FBI. È quanto ha comunicato il suo creatore, Theo de Raadt, rendendo nota una vicenda che non mancherà di suscitare polemiche e preoccupazioni.

De Raadt è stato contattato via mail da un ex sviluppatore di OpenBSD, Gregory Perry, che ha rivelato la sua collaborazione passata con il Federal Bureau of Investigation che si sarebbe servito di Perry per inserire una backdoor nel protocollo IPSEC implementato nel sistema operativo.

Continua »

Tag:

La privacy di chi naviga su YouPorn è a rischio

di Matteo Campofiorito - 3 dicembre 2010 alle 12:57

Anche chi naviga abitualmente su YouPorn ha diritto alla propria privacy ma non devono essere della stessa idea i webmaster del popolare sito di video porno. Secondo una recente ricerca effettuata dalla University of California San Diego, YouPorn adotterebbe pratiche lesive della privacy dei propri utenti.

La ricerca è stata effettuata su 50,000 tra i siti più visitati del Web e ha messo in evidenza come 485 portali adottino tecnologie in grado di avere accesso alla cronologia delle pagine visitate da un utente.

Continua »

Tag: ,

Falla 0-day in Internet Explorer: solo IE 9 è immune

di Matteo Campofiorito - 4 novembre 2010 alle 12:08

Ancora una volta Internet Explorer viene utilizzato per colpire da remoto Windows e ottenere il controllo del sistema operativo. A rivelarlo è Symantec che ha descritto dettagliatamente una nuova falla del browser sfruttata da malintenzionati per infettare i sistemi vittima e avere piena gestione da remoto.

Nei giorni scorsi ci sarebbe stato un invio massiccio di email indirizzate verso alcuni dipendenti di grosse aziende. All’interno dei messaggi di posta sarebbe stato inserito un link verso un server contenente una pagina Web ospitante l’exploit, in grado di colpire indifferentemente IE 6, 7 e 8. Solo l’ultimo nato di Redmond, IE 9, risulta immune all’exploit.

Continua »

Tag:

Rilasciato AVG Anti-Virus Free 2011

di Matteo Campofiorito - 28 settembre 2010 alle 11:35

Più veloce in fase di installazione e scansione, più efficace grazie al cloud computing e attento alle minacce provenienti dai social network. Così è stato presentato il nuovo AVG Anti-Virus Free 2011, già scaricabile da Download.HTML.it.

Molto interessante il nuovo sistema smart scanning che permette di avere scansioni 3 volte più veloci minimizzando inoltre i rallentamenti del sistema operativo. Questo vuol dire un guadagno notevole in termini di usabilità del nuovo antivirus gratis di AVG.

Continua »

Tag: ,

Grave falla XSS in Twitter, basta passare il mouse su un link per essere colpiti (AGGIORNATO)

di Matteo Campofiorito - 21 settembre 2010 alle 15:02

AGGIORNAMENTO ore 15:57: Twitter ha comunicato attraverso il proprio account Safety di aver corretto la falla XSS.

È in corso un attacco nei confronti di Twitter basato su del codice JavaScript inserito nei tweet di ignari utenti. Basta semplicemente essere loggati a Twitter e passare con il mouse su del codice JavaScript (“onmouseover”)per effettuare migliaia di retweet ai propri follower.

Si tratta di un XSS ben congegnato che permette il propagarsi del codice JavaScript in modo virale da account ad account in modo simile a quanto avviene nei worm.

Ecco cosa fare per evitare di essere vittima del codice JavaScript:

Continua »

Tag: ,

Microsoft: patch straordinaria per correggere la vulnerabilità nei .lnk

di Matteo Campofiorito - 2 agosto 2010 alle 10:43

Microsoft ha deciso di fare uno strappo alla regola rilasciando oggi una patch straordinaria che va a correggere la vulnerabilità riscontrata nella gestione dei file .lnk.

La decisione di rilasciare urgentemente la correzione, in anticipo rispetto al patch tuesday, è dovuta al fatto che nelle ultime settimane si sono intensificate virus, trojan e rootkit che sfruttando la vulnerabilità stavano mettendo in serio rischio i sistemi operativi degli utenti Windows.

Continua »

Tag:

Google è davvero attenta alla sicurezza degli utenti?

di Matteo Campofiorito - 2 luglio 2010 alle 09:00

Si pensa a Google come a una società attenta alla sicurezza dei servizi e delle applicazioni fornite. Ma non sembrerebbe proprio così, almeno a giudicare da quanto ci è stato raccontato da Emanuele Gentili in una lunga chiacchierata. Il ricercatore di sicurezza italiano negli scorsi mesi ha intrattenuto un fitto scambio di email con il Security Team di Google, segnalando moltissime vulnerabilità in servizi come Google Docs, iGoogle e addirittura Google.com.

Per i servizi citati si parla di PDF infetti caricati e utilizzati come vettore per eseguire da remoto exploit su una macchina vittima, widget fraudolenti, open redirect e XSS.

Non solo i servizi più popolari sono stati il bersaglio di Gentili, anche su Chrome e Google Earthemgent” (questo il nick su Twitter del ricercatore) ha individuato seri bachi di sicurezza. Fin qui sarebbe tutto da considerarsi “normale”, è nella natura dei software avere bug, anche seri. Non proprio “normali”, soprattutto trattandosi di Google, le risposte ricevute a seguito della segnalazione di security bug.

Continua »

Tag: