** Cracker ricattano la Visa chiedendo 10 milioni di sterline ** [ZEUS News - http://zeusnews.n3.net - 19 gennaio 2000] E' del 16 gennaio la notizia apparsa sul "The Sunday Times" che racconta di come un gruppo di pirati informatici stia ricattando la Visa a suon di milioni di sterline. Secondo fonti autorevoli, alcuni crackers si sarebbero introdotti nei sistemi informatici di circa docici note aziende e avrebbero sottratto importanti e preziosi documenti dai computers violati, chiedendo poi ingenti somme di denaro. L'attacco alla Visa, dicono gli esperti di Scotland Yard, e' stato maestralmente orchestrato da persone estremanete capaci: "Il gruppo sta usando tecniche molto sofisticate", ha affermato un investigatore incaricato delle indagini, "e quasi sicuramente agisce su commissione o comunque dietro il pagamento di denaro da parte di altri." Gia', perche' l'ultimo attacco e' solo un altro capitolo di una serie iniziata circa alla meta' del giugno dello scorso anno, secondo quanto racconta Russ Yarrow, un portavoce della Visa, nel quale sarebbero stati sottratti i sorgenti di alcuni codici chiave in grado di mettere in ginocchio l'intero sistema di protezione. In seguito a questo incidente sono state avvertite Sotland Yard e l'FBI, che stanno ora lavorando insieme per individuare gli hacker responsabili. E' quindi arrivata, la scorsa settimana, la richiesta di denaro: ben 10 milioni di sterline, una cifra, anche se esorbitante, da non mettere a confronto con le perdite che subirebbe la Visa se per anche un solo giorno il suo sistema andasse in crash, cosa che minacciano di far accadere i cyber delinquenti. La caccia e' aperta per individuare i responsabili, dato che questo e', secondo gli esperti, uno dei piu' gravi incidenti mai registrati per quanto riguarda la sicurezza di sistemi informatici. Per individuare i responsabili sono state messe sotto controllo caselle e-mail e linee telefoniche dei piu' noti hackers britannici e scozzesi, ma per ora senza risultati rilevanti, a parte il fermo per interrogatorio di James Grant, uno scozzese di vent'anni esperto in informatica. Dopo il sequestro di tutto il suo materiale informatico, Grant e' stato sottoposto ad un interrogatorio che pero' non ha dato nulla di nuovo su cui lavorare agli investigatori. Per ora, la pista seguita dagli inquirenti rigurda gli attacchi e relativi ricatti, cui sono state vittima negli ultimi mesi parecchie grandi ed importanti aziende, tra le quali la Virgin, attacata nei giorni scorsi. I maggiori responsabili di note aziende cercando di evitare allarmismi, affermando che "i sistemi di protezione ci sono e sono validi. Sono stati installati firewall su firewall per aumentare la sicurezza, che e' stata incrementata di moltissimo negli ultimi tempi.", ma anche loro non nascondono la preoccupazioni per gli ultimi avvenimenti. Gli investigatori pensano che la concorrenza aggressiva e sleale sia, per ora, l'ipotesi piu' accreditata per giustificare le azioni criminose. Denis Caffarel -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** La Microsoft si difende ** [ZEUS News - http://zeusnews.n3.net - 19 gennaio 2000] Sono attese per oggi, mercoledì 19, le conclusioni degli avvocati della Microsoft relative al processo per l'accusa di abuso di potere dominante contro Netscape. Le conclusioni della difesa concludono un iter giudiziario stravolto dal giudice federale Jackson: solitamente le conclusioni vengono presentate da accusa, difesa e giudice, in sequenza; durante questo processo invece è stato il giudice a palesare per primo le proprie intenzioni, seguito dagli avvocati accusatori e ora dalla Microsoft. La Microsoft dovrebbe sottolineare, per difendersi, l'importanza di nuovi concorrenti come la AOL-Time Warner e Linux; inoltre dovrebbe richiamare un singolare precedente giudiziario, la sentenza che oppose Terry Gilliam dei Monty Python al canale televisivo ABC. Infatti, per contestare l'accusa di aver obbligato i produttori di computer a non modificare la schermata iniziale dei pc, verrà invocato il diritto di tutela delle opere d'ingegno, proprio come fece Terry Gilliam per impedire alla ABC di trasmettere suoi sketch tagliati e modificati. Queste conclusioni sono tornate ad avere grande rilevanza, dato che un eventuale accordo extragiudiziale, tramite la mediazione del giudice Posner, è sempre più improbabile. La richiesta del Dipartimento di Giustizia di smembrare la Microsoft è stata infatti finora respinta. Ma alcuni hanno visto la mossa di Gates come un principio di smobilitazione: in caso di divisione sarebbe sua intenzione rimanere nella compagnia responsabile del software, più remunerativa e gestibile, lasciando a Ballmer la compagnia detentrice dei sistemi operativi. Le conclusioni degli avvocati difensore della Microsoft verranno pubblicate, come tutto il materiale del processo, sul sito del dipartimento di Giustizia americano (http://www.usdoj.gov/atr/cases/ms_index.htm). Edoardo Dezani -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** Quando 56 bit non bastano ** [ZEUS News - http://zeusnews.n3.net - 19 gennaio 2000] Una ditta francese, la Fontenay-aux-Roses, aveva lanciato la sfida, e Distributed.net e' riuscita un'altra volta nell'impresa: in soli due mesi migliaia di partecipanti, sparsi nei cinque continenti, sono riusciti a craccare la chiave di crittografia a 56 bit sviluppata dalla ditta francese e dalla CS Communications & Sistems. Gli oltre 38mila partecipando, distribuendosi il lavoro e andando per tentativi, hanno provato il 98% delle possibili combinazioni, sino a centrare quella esatta, aggiudicandosi i 10.000 Euro posti in palio dalla CSC. Su quali principi si basano le sfide di Distributed Computing Technologies, la compagnia che possiede il sito Distributed.net? Bisogna considerare che generalmente i computer, per il 99% del tempo in cui sono accesi, rimangono praticamente fermi e non eseguono calcoli; Distributed.net sfrutta questo dato di fatto, proponendo a chiunque lo desideri di scaricare dal loro sito un programma che, nei tempi morti, prova le combinazioni assegnate e successivamente invia i risultati al server centrale. Il lavoro di calcolo viene cosi' suddiviso tra le migliaia di partecipanti, che peraltro non rinunciano all'utilizzo normale del loro computer, dedicando alla "sfida" solo i tempi morti di elaborazione. L'idea di migliaia di computer in tutto il mondo che lavorano tutti a un unico scopo, come se fossero un organismo vivente, potrebbe attirare la fantasia di piu' di uno scrittore di fantascienza... e invece Distributed.net opera gia' da diversi anni. Ora che anche questa chiave a 56 bit e' stato craccata, Distributed.net tornera' alla sfida principale, quella contro la chiave a 64 bit RC5-64, competizione a cui hanno gia' aderito, in due anni, oltre 225.000 partecipanti. Dario "Zeus" Meoli -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** Pretty Good Party e Windows 2000 ** [ZEUS News - http://zeusnews.n3.net - 19 gennaio 2000] Prosegue fino a domani il meeting californiano sulla crittografia "RSA Data Security Conference" (http://www.rsaconference.com/) di cui vi avevo dato notizia qualche giorno fa. Tra le iniziative previste, da segnalare il Pretty Good Party, con la partecipazione di Phil Zimmermann, autore di PGP. Momento clue del Party: l'esportazione di PGP dagli Stati Uniti attraverso un messaggio e-mail, operazione per la prima volta legale grazie all'introduzione delle nuove leggi sull'esportazione di software di crittografia. Anche Microsoft ha approfittato della RSA Conference per annunciare che Windows 2000 sara' il primo prodotto ad essere esportato pur facendo uso di crittografia robusta. Il nuovo sistema operativo, che sara' sugli scaffali dei negozi a partire dal 17 febbraio, sara' infatti dotato di crittografia a 128 bit, che dovrebbe renderlo "il sistema operativo piu' sicuro che Microsoft abbia mai avuto". Grazie alle nuove leggi, anche gli utenti al di fuori degli Usa potranno beneficiarne. Dario "Zeus" Meoli -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** Nuova società telefonica, tratterà anche ADSL ** [ZEUS News - http://zeusnews.n3.net - 19 gennaio 2000] A fine aprile Cable & Wireless, una delle più grandi ditte mondiali di telecomunicazioni, entrerà sul mercato italiano dei servizi telefonici vocali. L'offerta di C&W sara' riservata alle aziende: non si dedicherà, almeno per il momento, all'utenza domestica. La ditta inglese, che opera già in Austria, Belgio, Francia, Spagna e Svizzera, ha inoltre acquisito due grandi Internet Provider italiani (Unidata di Roma e Ds Logics di Bologna) e intende proporre la tecnologia ADSL per Internet. Alessandro "Sax" Sacco -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** Nomi di dominio validi per 10 anni ** [ZEUS News - http://zeusnews.n3.net - 19 gennaio 2000] Mentre in Italia regna il caos, con un'unica linea fax attiva per 4 ore al giorno, atta a ricevere le richieste di registrazione di domini .it, negli Stati Uniti Network Solutions e Register.com hanno annunciato che i contratti per la registrazione dei domini (.com, .org e .net) potranno essere estesi anche a due, cinque o addirittura dieci anni. Chiaramente questo cambiamento da un lato permette all'utente di restare tranquillo per un ragionevole numero di anni, dall'altro permette alle societa' di registrazione di incamerare subito anche i soldi degli anni a venire: registrare un nome di dominio per 10 anni costera' dai 300 ai 350 dollari. Dario "Zeus" Meoli -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** Finisce all'asta l'assegno-beffa di Microsoft ** [ZEUS News - http://zeusnews.n3.net - 19 gennaio 2000] Qualche giorno prima della fine dello scorso anno Michael Chaney, un anonimo utente del Tennessee, aveva salvato Microsoft da una clamorosa figuraccia, pagando lui la quota di 35 dollari per il dominio passport.com che in Microsoft avevano clamorosamente dimenticato di rinnovare. In seguito a tale dimenticanza per alcuni giorni milioni di utenti di Hotmail.com, uno dei piu' noti fornitori di caselle email gratuite, non riuscirono a ricevere o a inviare posta. Microsoft si premuro' di ringraziare prontamente il signor Chaney, promettendo il rimborso dei 35 dollari per il dominio scaduto. In effetti l'assegno e' poi arrivato a Chaney, non di 35 dollari ma di "addirittura" 500. Ma anche 500 dollari sono alquanto sproporzionati per il favore che Chaney ha reso a Microsoft. Ultimo capitolo: Chaney ha messo all'asta l'assegno di Microsoft sul noto sito Ebay, sperando di ricavarne qualcosa di piu', e facendo allo stesso tempo ancor piu' cattiva pubblicita' a Microsoft. Dario "Zeus" Meoli -~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~-~- ** Lettere: Telefonini, intercettazioni e privacy ** [ZEUS News - http://zeusnews.n3.net - 19 gennaio 2000] Nella mailing list hackmeeting@kyuzz.org oggi si e' sviluppato un interessante tema su telefonini e privacy. Di seguito gli interventi piu' significativi. ++++++++ Una mia amica ha passato l'ultimo dell'anno a Parigi. Dato che era li' se ne e' andata a visitare il bellissimo e tecnologicissimo nuovo ramo di metropolitana appena inaugurato. Non appena e' salita sulla metro "bip !" le e' arrivato un SMS sul telefonino. L'SMS recitava qualcosa del tipo: "L'azienda della metro di parigi le augura etc.etc. La ringrazia etc.etc." (in italiano). Lei (oltretutto contentissima dell'"accoglienza") giura di non aver dato il proprio numero di cellulare a nessuno. Ora mi chiedo: - come e' possibile tecnicamente ? Il cellulare manda il proprio numero alla cellula ? Tale numero e' dunque intercettabile ? - I francesi si fanno intercettare cosi' ? Nessuno s'incazza ? - In Italia esiste qualcosa del genere ? Potrebbe esistere ? "Claudio Cicali"++++++++ stai riaprendo un thread di un paio di mesi fa. 1. è possibile, anzi, è facile. Dovunque tu sia è possibile stabilire la tua posizione con un approssimazione della decina di metri. 2. il cellulare manda un sacco di roba alla cellula (intesa come stazione base, ripetitore di area etc.), altrimenti come farebbe a raggiungere il telefono chi lo vuole chiamare? 3. i francesi si fanno intercettare così e gli italiani pure. Tutti i sistemi di telefonia cellulare hanno lo stesso identico problema 4. per avere segnale nella galleria della metro, probabilmente hanno installato un ripetitore in ogni stazione della metro... appena ti aggangi a quel ripetitore, lui ti saluta. Seguendo i ripetitori posso tracciare per bene il percorso che stai facendo ;) 5. tutto ciò che hai fatto con il tuo telefono (anche quello di casa, non solo il cellulare) rimane segnato in appositi archivi per almeno 6 mesi. 6. le chiamate GSM sono cifrate solo nei ponti radio. Dentro i ripetitori sono in chiaro e possono essere ascoltate senza problema anche a distanza (basta istruire il ripetitore a forwardare lo stream di bits verso una destinazione secondaria). 7. Anche per chi non ha accesso ai ripetitori, il sistema crittografico del GSM è stato recentemente bucato. L'articolo diceva che con un P133 ci vuole un paio di secondi per decifrare la chiamata. Pensaci su prima di accendere ancora il cellulare. Pioppo ++++++++ Non ha senso parlare di *intercettazione* per un gsm: - la centralina sa sempre dove sei - un esterno dovrebbe violare la centralina o decrittare i segnali verso la centralina (certo, i protocolli del gsm sono stati *bucati* TUTTI e sulla loro debolezza ci si potrebbero fare 1000 thread) Quindi la centralina non ha bisogno di intercettarti perche' e' il tuo cellulare che le dice dove sei. Quindi nel metro di Parigi, evidentemente, una centralina aveva un *nuovo servizio*: alla prima autenticazione manda l'SMS di benvenuto al numero autenticato. Bye Shine ++++++++ Il termine intercettazione l'ho copia-incollato dal messaggio a cui stavo rispondendo. Il senso era evidentemente nel fatto che sanno dove sei (se ti salutano mentre entri nella metro), il che è già un essere intercettati. Pioppo