Olimpo Informatico

[Ospite]

con IE e googletoolbar (popup blocker) funziona tutto e niente hacking.

[Daniela]

Mi pare un'informazione molto utile ma di difficile comprensione per chi, come me, non sia molto addentro alle questioni informatiche; ad esempio non so cosa Javascript......

[Luca]

Almeno per Banca Intesa, ma penso anche per gli altri istituti, la pagina iniziale attraverso la quale si inseriscono questi codici è accessibile anche attraverso https (quindi con il controllo che la pagina che stiamo visitando sia proprio quella della banca). Probabilmente non risolve il problema, ma perché rischiare ulteriormente facendo inserire dati così sensibili a partire da una pagina non protetta?

[Danny]

...a leggere chi dice che si potrebbe spedire un milione di email, e poi blah blah blah... ma fatelo, SE ne siete capaci !!! Il punto INVECE e' che chi parla lo fa in quanto sa *benissimo* di non essere in grado di farla franca, nel caso si metta ad organizzare una roba del genere. Almeno uno abbia l'onesta' mentale di ammetterlo ed eviti di fare esempi del cazzo in cui non si fa altro che metter paura alla gente senza peraltro spiegare i motivi per cui certe cose possono accadere, e quindi INFORMARE in maniera chiara e semplice onde evitare che scenari del genere abbiano a verificarsi.

[Paolo Attivissimo]

scusami ma non si capisce quello che intendi dire.

Ciao da Paolo.

[stefano]

io ho provato col mio firefox 10 e resiste.

[Daniele]

In Firefox per Windows, dopo aver provato la dimostrazione di Secunia, ho voluto fare un "right-click" invece un "left-click" allo Step 2. Ebbene, in questo modo il trucco non funziona: appare infatti la pagina di Citibank in una nuova scheda (e non in una nuova FINESTRA), così che quando si fa clic sull'immagine si apre il pop-up di Citibank.
Sono molto arrugginito di HTML e JavaScript, ma credo che abbia a che fare con l'evento di apertura finestra...?
Insomma, se si vuol navigare in siti sicuri E non sicuri, basta non usare IE, che non ha le schede...

[leofelix]

dunque premesso che utilizzo quasi esclusivamente sistemi win2k e xp pro, non disdegnando sistemi MacOs e alcune distro linux e che in tutte le mie "macchine" di default il navigatore é firefox 1.0 e che sono qui su suggerimento dell'amico "felino" Paolo Attivissimo.
Avrei due segnalazioni..
una é per chi usa sistemi windows2k e XP (home e pro anche senza quella suola del SP2) e consiste in un programmino freeware non spyware che evita sia a quella suola dell'IE anche aggiornatissimo sia al firefox (anche in versioni precedenti) di non visualizzare nemmeno per isbaglio siti "fasulli"
si trova qui:
http://www.corestreet.com/spoofstick/
e con questo il problema delò copsiddetto "phishnig" é parzialmente risolto.
Inoltre avendo eseguito diverse prove ne sono uscito sempre indenne, sia perché ho imposto al firefox di non far modificare il navigatore dagli Java Script sia perché saggiamente come antivirus + firewall utlizzo la versione gratuita in licenza di prova per un anno dell'e TRUST ez Armor 2005 r3 che suggerirei a tutti di installare (il firewall é quasi eguale allo zonealarm pro 5.1, l'antivirus é una versione aggiornatissima dell'ex gratuito "inoculateIT" se qualcuno lo ricorda, vet engine 11.7 e ez antivirus versione 6.4 ovvero la 7.0 rc3 ufficiale) entro e non oltre (che cacchio significherà " e non oltre" non chiedetemelo :-) il 1/2/2005 da
http://www.my-etrust.com/microsoft/
una volta compilato il form otterrete via e-mail il numero di serie per registrare il prodotto e il link da dove scaricare il file di setup di poco piu' di 12.5 MB. Compatibile da win98 e seguenti tranne che per sistemi "server" (ovvero win2k server e win2003, con la 2k pro va benissimo:-) e anche col "pacco 2" per XP.
64 RAM minimo per sistemi win98/ME e 128 RAM per sistemi win2k/XP home e pro.
Grazie el firewall incluso nel pacchetto é possibile bloccare temporaneamente script e java script, embedded object e non solo...Insomma si può navigare serenamente teoricamente anche con quel pacco di IE in ambuente windows....
Per le recensioni del firewall invito a leggere quella di Paolo Attivissimo sul suo sito www.attivissimo.net o anche su questo sito http://www.sicurezzainrete.com/ZoneAlarm_5.1.011_1.htm.
Per la recensione del programma ahime' temo dovrete accontentarVi della mia con nick Centurio su questa pagina http://www.ciao.it/eTrust_EZ_Armor_2005_Lite_Edition__Opinione_536568
anche se si riferisce a una versione leggermente "obsoleta" rispetto a quella che uso attualmente.
Scusate non é mia intenzione pubblicizzare alcuno, solo dare delle dritte sulla sicurezza.
Ah.. non ci provate nemmeno a spammarmi ehehe...:)
L'e-mail é esistente, se posso aiutare ben volentieri, se qualcuno tenta anche "anonimamente" a intasare la casella che ho indicato sappia che ci impego pochi secondi a tracciarlo e a denunciarlo presso il garante della privacy.. non vuole essere una minaccia eh?
rispettosamente saluto.

Leofelix

[leofelix]

conosco il "deepnet" e devo dire che altro non é che un via di mezzo tra IE e firefox. Onestamente mi sembra un "pacco non da poco", offre anche la possibilità di usare una sorta di programma PEER to PEER (spyware) incluso che ho disinstallato di corsa.
Inoltre sono attivi i controlli Active X che a qualcuno potranno anche sembrare utili (mi basta quel pacco di IE per questo.. groan) a me francamente no....tranne quando devo eseguire "Windowsupdate"
De gustibus ovviamente.
Aloah
Leofelix ovvero quel rompsiscatole di prima:-)

[Danny]

Ciao Paolo, quello che intendo dire e' che tecniche come quelle descritte sono certamente tecnicamente fattibili, ma a me personalmente fa ridere quando arriva il tipo di turno a prospettare scenari del genere, dando la sensazione di voler rappresentare uno scenario inquietante che cosi' poi inquietante non e'. Cosi' com'e' vero che esiste la patente per chi decida di guidare una macchina sulle strade della rete stradale, cosi' *dovrebbe* esserci un insieme di regole anche per chi decida di guidare il proprio pc nella rete Internet piuttosto che in altre reti. Se uno "clicca selvaggiamente" su un link posto su un sito di dubbia provenienza, lo considero un po' come affrontare una curva ad una velocita' eccessiva "che tanto giro lo sterzo e la macchina *deve* tener la strada". Tutto qui, il discorso. Non si puo' pretendere di costruire il programma a prova di imbecille, di certo si puo' invece informare che "quella e' una curva pericolosa, fate attenzione che potreste uscire di strada". Ecco. Ma nel momento in cui mi arriva uno a prospettarmi un invio di un milione di email etc etc, francamente mi fa venir da ridere. Chi e' capace di fare quelle cose non lo va a dire, lo fa e basta. Chi invece lo dice sui forum per me ha lo stesso valore di uno che dice "e se domattina venisse il terremoto, crollerebbe tutto".

[Paolo Attivissimo]

> a me personalmente fa ridere quando arriva il tipo di turno a prospettare scenari del genere, dando la sensazione di voler rappresentare uno scenario inquietante che cosi' poi inquietante non e'.

Lo scenario del mass mailing è perfettamente plausibile. Le tecniche descritte sono quelle attualmente usate dagli spammer. Moltissimi utenti accettano ancora (e talvolta pretendono!) l'e-mail in HTML e hanno client di posta che interpretano l'HTML, Javascript eccetera. Quindi e' perfettamente possibile fare quello che descriveva il lettore. Anzi, a giudicare dallo spam che ricevo io, e' probabile che venga gia' fatto.


>Cosi' com'e' vero che esiste la patente per chi decida di guidare una macchina sulle strade della rete stradale, cosi' *dovrebbe* esserci un insieme di regole anche per chi decida di guidare il proprio pc nella rete Internet piuttosto che in altre reti.

Su questo sono d'accordo, ho anche scritto un libro e una serie di regole in un miniposter proprio per questo; ma il fatto e' che per ora queste regole non sono obbligatorie ne' e' obbligatorio studiarle. Per cui l'utente va messo in guardia in qualche modo: e uno di questi modi e' dato da articoli come questo.

> Se uno "clicca selvaggiamente" su un link posto su un sito di dubbia provenienza,

Forse a te sembra facile identificare un sito di dubbia provenienza. Ma i truffatori sono abili e realizzano siti-trappola molto rassicuranti e realistici. E' facile essere ingannati, anche perche' non ci si aspetta che un link, ovunque si trovi, possa essere cosi' pericoloso.

>Tutto qui, il discorso. Non si puo' pretendere di costruire il programma a prova di imbecille, di certo si puo' invece informare che "quella e' una curva pericolosa, fate attenzione che potreste uscire di strada".

In questo caso specifico non sono d'accordo. Non e' ammissibile che un sito possa iniettare il proprio contenuto nel contesto di un altro sito. Sarebbe come trovarsi con un film porno su Canale 5 perche' la sera prima stavi guardando il Playboy Channel.

Ciao da Paolo.

[Danny]

non ero in disaccordo sui contenuti, ero in disaccordo sul modo di proporli (mi riferisco non al tuo articolo, che ritengo intelligente e ben divulgato, ma questa non e' certamente una novita' ;) Ciao, Danny.

[fabrizio]

ciao riguardo a questo articolo ho notato che se nella pagina di city bank spostiamo l'intera finestra da un'altra parte, in maniera da spostare la zona del link in un'altra area dello schermo, la falla non esiste.
Non servira' a niente ma perche' rischiare
defau at tiscali

[Mikizo]

Ho provato il test con Firefox 1.0 e con il popup blocker attivo.
Ma naturalmente in questo modo non è possibile essere ingannati, perchè per aprire un popup devo dare l'autorizzazione, e per darla devo per forza accorgermi ( a meno di non stare davvero dormendo) di quale scheda (o finestra) la sta richiedendo, per cui non posso essere portato in alcun modo a credere che il popup appartenga ad un sito piuttosto che ad un'altro.
Giusto? ;)

ciao Paolo e grazie come sempre!

[Domenico]

Egr. Sig. Paolo
Non riesco a leggere i 33 commenti fin'ora giunti in merito a questo articolo e può darsi che il mio discorso sia già stato fatto, ma vorrei chiederLe, dato che nel sito di Secunia sono molto sintetici:

Quando si entra in un sito di una banca si entra in un sito più riservato della giungla pubblica di Internet ovvero in siti https... entrando nei quali una procedura automatica chiude prima e ostacola contemporaneamente l'apertura di altre pagine. Ne Lei e ne Secunia parlate di questo. Allora Le chiedo: la vulnerabilità riguarda anche questi rapporti cliente banca via https... o riguarda solo quei casi in cui si digitano password di carte di credito e simili IN PAGINE NORMALI HTTPWWW... ???

Grazie