Roma – San Francisco sembra essere il posto migliore dove parcheggiare la propria auto ingannando i circa 23mila parcometri che fanno da cornice alle vie della città. Lo ha detto Joe Grand di Grand Idea Studio , alla conferenza Black Hat tenutasi la scorsa settimana a Las Vegas.
Ciò che rende smart i parcometri urbani è la possibilità pagare con carte elettroniche direttamente dal dispositivo. Tuttavia è stata proprio questa caratteristica ad essere sfruttata dagli hacker: “È bastato prendere una qualsiasi smart card – ha spiegato Grand – ed impostarla affinché mantenga la propria liquidità fissa a 999,99 dollari”.
Sarebbe stato sufficiente collegare un oscilloscopio ad un parcometro qualsiasi per scoprirne il funzionamento. Una volta analizzato cosa accadeva utilizzando una vera carta prepagata, Grand ha realizzato e poi perfezionato un software capace di emularla.
Grand ha proseguito precisando di non aver mai sfruttato questa vulnerabilità e spiegando di non averne fatto parola alle autorità cittadine per paura che queste potessero imporgli il silenzio , come successe l’anno scorso ad alcuni studenti del MIT che volevano illustrare una circostanza molto simile. ( G.P. )
leggi i 31 commenti
-
AfGfCxfqZXb
http://crestor2014.gdn/#2141 crestor, -
PnszupubfX
http://buyamoxicillinonline.gq/#7616 amoxicillin, -
lWHzsZrdQsie
http://lipitor-generic.tk/#8937 lipitor, -
PlugComputers .... alternativa al cloud?
La Marvell sta per commercializzare i plug computer, computer a basso consumo, basati su linux e proXXXXXre arm, grossi come un caricabatteria, senza tastiera nè monitor (in pratica, ci si collega ad essi come ci si collega ad un modem/router)Sono proposti come alternativa agli home server.Potrebbero essere interessanti... se ci installo sopra qualcosa tipo EyeOs potrei avere tutti i vantaggi del cloud computing senza rinunciare alla privacy o al controllo dei miei dati (che rimarrebbero su un hard disk o una chiave collegata all' apparecchio, e che potrei rimuovere fisicamente). Magari lo collego via wifi con dei netbook (con installato gOs, o ChromeOs, o qualche altro sistema instant-on), ed uso il desktop remoto di eyeos (dove tengo anche bookmark, documenti e tutto il resto). Ci collego la stampante (così ne ho solo una che può servire diversi terminali), posso avere l' acXXXXX anche da fuori casa (mi basta l' IP e la password) e sono a posto.Tutto questo mantenendo il completo controllo dei miei dati, usando solo software libero, senza abbonamento o pubblicità, e senza dipendere da una connessione a internet che potrebbe anche non funzionare.Da vedere cosa conviene fare (nulla vieta di usare entrambi i sistemi) -
Mah e' come raccontare le cose a un amic
e ti fidi che non le vada a dire in giro....... tutto si basa sulla fiducia ma non saprai mai il 100% che sara' cosi' -
Fidarsi?
Io non mi fiderei a mettere dati sensibili sul server di google, anche se consideriamo le buone intenzioni dell'azienda, rischi di blackout o di cracker che possano danneggiare file non mi fa stare tranquillissimo. Poi certo ci sono anche le note positive. Ad es. la possibilità utilizzare software pesantissimi per i nostri pc attraverso i server di google; mi immagino già la possibilità di giocare a Pes 2011 con un Eeepc grazie a browser come Chrome. Quindi che ben venga tale sistema per agevolare Pc un po datati, ma sicuramente il mio file di testo o il mio database rimarranno nel mio Pc e magari anche in una pennetta USB e non nei server Google-
Re: Fidarsi?
Ma i file vengono COPIATI non TRASFERITI sui server di google. Se c'è un blackout, una perdita di dati o quant'altro, i tuoi documenti restano sul computer.
-
-
Opera lo fa già
Da tempo Opera, con Opera link, fa gran parte delle cose scritte nell'articolo.-
Re: Opera lo fa già
gne gne gne gne(fosse vero, peraltro)
-
-
cioè, quindi...
qualsiasi cosa io faccia, qualsiasi password io memorizzi, ecc col mio browser viene automaticamente COPIATA sui server google?? azz però...io non voglio fare il paranoico, ma ci vorrà un bel po' di attenzione nell'uso di questo OS/browser. a questo punto preferisco i benefici di compatibilità hardware del kernel Linux che potrebbero scaturire dalla sua adozione "massiccia" (rispetto alla quota attuale :p) grazie a chrome OS...speriamo in bene (newbie)-
Re: cioè, quindi...
Già, perchè Google potrebbe ricattarti se sull'agenda vede che hai un'amante.Ammesso e non conXXXXX che puoi mettere o no dati sensibili sul server, la password di norma viene criptata e tutto il contenuto è inaccessibile agli amministratori. Stiamo parlando di Google, non di un sito cinese... E di certo mi fido di memorizzare il mio numero di carta di credito (se ce ne fosse bisogno, ma dubito) nell'account Google quanto in quello PlayStationNetwork o Paypal.Potrebbe anche esserci un attacco, è vero, ma non certo i programmatori di Mountain View sono come gli addetti alla sicurezza di qualche banca e certamente, se è possibile, sarà difficile.-
Re: cioè, quindi...
- Scritto da: Francesco_Holy87
Già, perchè Google potrebbe ricattarti se
sull'agenda vede che hai
un'amante.
Ammesso e non conXXXXX che puoi mettere o no dati
sensibili sul server, la password di norma viene
criptata e tutto il contenuto è inaccessibile
agli amministratori. Stiamo parlando di Google,
non di un sito cinese... E di certo mi fido di
memorizzare il mio numero di carta di credito (se
ce ne fosse bisogno, ma dubito) nell'account
Google quanto in quello PlayStationNetwork o
Paypal.
Potrebbe anche esserci un attacco, è vero, ma non
certo i programmatori di Mountain View sono come
gli addetti alla sicurezza di qualche banca e
certamente, se è possibile, sarà
difficile.Finalmente un realista non paranoico della privacy. E' ovvio che tutti i dati saranno cifrati... inoltre Google se ne f**** altamente di cosa metti tu in agenda.Per il rischio di hacking... considerando le palle tetraedriche dei loro ingegneri è più probabile una fuga dall'interno che un acXXXXX esterno :)-
Re: cioè, quindi...
- Scritto da: Matteo
- Scritto da: Francesco_Holy87
Già, perchè Google potrebbe ricattarti se
sull'agenda vede che hai
un'amante.
Ammesso e non conXXXXX che puoi mettere o no
dati
sensibili sul server, la password di norma viene
criptata e tutto il contenuto è inaccessibile
agli amministratori. Stiamo parlando di Google,
non di un sito cinese... certo... proprio di google che in cina (come altrove) fa arrestare la gente...
E di certo mi fido di
memorizzare il mio numero di carta di credito
(se
ce ne fosse bisogno, ma dubito) nell'account
Google quanto in quello PlayStationNetwork o
Paypal.non preoccuparti... basta che lo digiti... e il tuo numero di carta, come QUALSIASI altro dato che digiterai, sarà archiviato sui bei serverini di google, usato per profilarti meglio, per tracciarti meglio, per incrociare meglio il tuo profilo con quelli altrui e costruire e aggiornare l'intera rete delle tue relazioni...
Potrebbe anche esserci un attacco, è vero, ma
non
certo i programmatori di Mountain View sono come
gli addetti alla sicurezza di qualche banca e
certamente, se è possibile, sarà
difficile.si certo... a Mountan View sono tutti geni pazzeschi intrisi di competenze estreme e di onestà sopecchiata sin dalla nascita...
Finalmente un realista non paranoico della
privacy. E' ovvio che tutti i dati saranno
cifrati... se anche fosse... stai pur tranquillo che le chiavi le tiene mister g...
inoltre Google se ne f**** altamente
di cosa metti tu in
agenda.non credo proprio... google ci fa i miliardi sul fatto di sapere cosa tu metti in agenda, cosa scrivi nelle email, a chi le scrivi, quali siti visiti, con chi chatti, ecc...
Per il rischio di hacking... considerando le
palle tetraedriche dei loro ingegneri è più
probabile una fuga dall'interno che un acXXXXX
esterno
:)perché l'uso "improprio" dei tuoi dati dall'interno di google dovrebbe andare bene mentre quello dall'esterno invece no???guarda che GIA' ORA google passa i TUOI dati, le tue email, ecc. ecc. all'esterno, ad altre società, a governi tirannici, ecc... o pensi che i miliardi che guadagnano gli cadano in testa dal cielo???-
Re: cioè, quindi...
Sì, gli stessi governi che lanciano scie chimiche dagli aerei militari travestiti da aerei di linea, che falsificano gli atterraggi lunari, che riempiono di esplosivi i grattacieli e che comunicano con gli alieni e ci tengono tutti segreti... Bla, bla, bla. -
Re: cioè, quindi...
ti pare così tanto strano che un'azienda privata trasmetta informazioni sensibili a terzi?! suppongo tu non sia informato sullo scandalo telecom-sismi quindi.non oso immaginare una collaborazione google-cia... -
Re: cioè, quindi...
senza offesa...ma sono proprio le persone che ragionano come te che permettono a queste società di fare miliardi (e fin qui, nulla di male) vendendo i tuoi dati (e fin qui, vabbè...ce lo aspettiamo anche) sensibili (e qui non mi sta più tanto bene...) a chiunque paghi più degli altri per averli. e tutto ciò senza che alcuno alzi un dito in difesa della privacy.e poi, credi veramente che le persone che lavorano a google appartengono ad una razza aliena immune agli errori, alle tentazioni di fare soldi spifferando qualche chiave di decrittaggio in giro, ecc...?? io sarò super-scettico, infatti a pensar male si fa peccato, ma ci si azzecca quasi sempre... -
Re: cioè, quindi...
Nessuno ti vieta di evitare di mettere i numeri di carta di credito o di cellulare in qualche doc di google.A volte mi chiedo: che intendete per dati sensibili? Pensate davvero che si fanno milioni vedendo che alle 15.30 devi incontrarti col signor Rossi? Davvero credi che un'azienda che ha faticato per anni per conquistarsi la fiducia degli utenti possa permettersi di vendere dati personali del genere ad altre società? Davvero credi che un singolo uomo (o un piccolo gruppo) che sia tentato dal guadagno facile e faccia parte del googleplex possa entrare placido placido nei server e trovare i dati che gli servono, trasparenti senza nessuna protezione e codifica, e attingere alle sue fonti sparse nei suoi migliaia di server senza che nessuno se ne accorga? Io credo che se volessero prendere i tuoi dati, ci sono modi più semplici.Se non ti fidi di dare dati personali, non usare carte di credito, perchè potrebbero clonarle. Non usare il cellulare, perchè potrebbero prendersi il tuo numero. Cancellati dalle Pagine Bianche, non iscriverti su nessun sito, perchè potrebbero prendere l'email e la password. Maschera il tuo IP e vivi sicuro nella tua botte di ferro.Io intanto sincronizzo i miei contatti, e non mi faccio problemi di nessun tipo, ho altre cose a cui pensare. Non sto dando il mio numero di carta di credito a una frode postale.
-
-
Re: cioè, quindi...
- Scritto da: Matteo[...]
E' ovvio che tutti i dati saranno
cifrati...Te lo hanno messo per iscritto? e pensi che serva a qualcosa?Se un dato deve essere utilizzato (come un numero di carta di credito) di solito non viene cifrato. E comunque è una cifratura, come tutte le cifrature si può rompere, basta trovare la chiave. Una chiave per milioni di carte di credito...
inoltre Google se ne f**** altamente
di cosa metti tu in agenda.Non ci giurerei. I bookmarks e gli appuntamenti di milioni di persone: un dato commercialmente molto, molto appetibile.
Per il rischio di hacking... considerando le
palle tetraedriche dei loro ingegneri è più
probabile una fuga dall'interno che un acXXXXX
esterno
:)E ti par poco? 80% dei data leakage viene da ex-dipendenti. Questo ti fa sentire più sicuro? a me no.Io non uso alcun servizio del genere prima di aver letto le clausole in piccolo.E non userò mai nessun servizio che non sia *basato in Europa*. Paypal ed Amazon hanno sedi Europee e sono sottoposti alla legislazione Europea per il trattamento dei dati personali. In USA hanno una legislazione MOLTO più permissiva.Cordiali saluti-
Re: cioè, quindi...
Se un dato deve essere utilizzato (come un numero
di carta di credito) di solito non viene cifrato.
E comunque è una cifratura, come tutte le
cifrature si può rompere, basta trovare la
chiave. Una chiave per milioni di carte di
credito...al di la' del fatto se sara' implementato o meno:1 la decifratura puo' avvenire on-the-fly (all'occasione), senza che venga memorizzato (su disco) in forma non cifrata2 neanche i bambini svegli utilizzano la stessa chiave per cifrare milioni di dati: hai la stessa password per la mail e per l'user del computer? io no, figurati Google.
Non ci giurerei. I bookmarks e gli appuntamenti
di milioni di persone: un dato commercialmente
molto, molto
appetibile.boh,il dato di una singola persona non conta nulla, e' il dato in forma aggregata che potrebbe essere utilizzato. se Google vende il mio appuntamento (i dati relativi a), stai certo che dura 5 minuti. non perche' sia buono o cosa, non sarebbe vantaggioso dal punto di vista economico, ricevendo cause a go-go.
E ti par poco? 80% dei data leakage viene da
ex-dipendenti. Questo ti fa sentire più sicuro? a
me
no.nelle aziende serie, e Google pare esserlo, si ha acXXXXX ai dati in maniera molto strutturata(con determinati controlli, determinate autorizzazioni, determinate possibilita', per es. di accedere solo a determinate porzioni di dati), cosa che limita enormemente la possibilita' che i dipendenti possano far danni. Considera poi che in moltissimi altri contesti dai la fiducia automaticamente a certi soggetti. se faccio il biglietto in stazione alle macchinette automatiche, faccio un atto di fiducia verso il programmatore che ha costruito il sw per trenitalia, dando per scontato che non si mandi via mail il pin dopo avermi clonato la scheda. Se non sei pronto in un'atto di fiducia del genere, avrai una vita ben scomoda.tutto dipende da quanto strategici sono i dati che hai.
Io non uso alcun servizio del genere prima di
aver letto le clausole in
piccolo.giusto.ovviamente, il tutto imho. -
Re: cioè, quindi...
- Scritto da: pippuz[...]
al di la' del fatto se sara' implementato o meno:
1 la decifratura puo' avvenire on-the-fly
(all'occasione), senza che venga memorizzato (su
disco) in forma non cifrata
2 neanche i bambini svegli utilizzano la stessa
chiave per cifrare milioni di dati: hai la
stessa password per la mail e per l'user del
computer? io no, figurati Google.Beh ovviamente il discorso è complesso. Ma posso dirti che indicativamente, dove si utilizzano sistemi di cifratura in contesti più grandi del tuo PC, si usano moduli HSM. Il modulo HSM è uno solo, anche se le chiavi generate sono migliaia o milioni, l'acXXXXX all'HSM rende possibile di per sé l'acXXXXX a tutti i dati.
Non ci giurerei. I bookmarks e gli appuntamenti
di milioni di persone: un dato commercialmente
molto, molto
appetibile.
boh,il dato di una singola persona non conta
nulla, e' il dato in forma aggregata che potrebbe
essere utilizzato.Per l'appunto :-)[...]
nelle aziende serie, e Google pare esserlo, si ha
acXXXXX ai dati in maniera molto strutturata(con
determinati controlli, determinate
autorizzazioni, determinate possibilita',Guarda, questo forse avviene nelle banche, ma in aziende dove la produttività deve essere molto alta - e in Google deve essere la più alta del pianeta - certe cose tendono a venire meno. Sono solo complicazioni burocratiche quando la priorità assoluta è un brevissimo time to market.Non voglio dire che non implementino tutto ciò che è loro richiesto dalla legge (in quanto americani per lo minimo i controlli Sarbane Oxeley), ma per il resto giurerei un braccio sul fatto che non investano un centesimo più del minimo necessario per la protezione dei dati personali.Io lavoro nel mondo della security ICT, e ti posso assicurare che ne ho viste. Ti faccio il primo esempio scemo che mi viene in mente - te ne potrei fare a dozzine di simili...Io francamente ce li vedo fare i loro load-test in pre-produzione del loro ultimissimo gadget con i dati personali degli utenti copiati all'uopo dalla produzione... costa troppo creare dati fittizi e poi non sarebbero test reali... tanto più facile copiare dalla produzione, ma chi se ne frega se la pre-produzione ha livelli di sicurezza estremamente più bassi della produzione... come dire, il load-test se lo lancia l'ingegnere dal suo portatile dallo Star Bucks...Saresti sorpreso dalla candida innocenza che arriva al limite di stoltaggine da parte di altrimenti brillantissimi ingegneri... purtroppo la sicurezza ICT non è materia di insegnamento universitario, sai!Cordiali saluti
-
-
-
Re: cioè, quindi...
- Scritto da: Francesco_Holy87
la password di norma viene criptata e tutto il contenuto è inaccessibile
agli amministratori. Vero.Ma c'è un MA. Immaginati la registrazione a $sitoqualsiasi. Il tuo browser/sistema salva la tua password criptata su goolechiamiamolocomecepare. Il problema è che se cambi postazione (e questo dovrebbe essere l'obbiettivo di fondo di tutto il trabiccolo) e fai acXXXXX $sitoqualsiasi, la password non puo' essere mandata criptata ma deve essere decriptata.. e qui casca l'asino. Se la password deve tornarti indietro decriptata.. chiunque ha l'acXXXXX al sistema goolechiamiamolocomecepare puo' decriptare i tuoi dati. Si si ora direte che le password di $sitoqualsiasi viaggiano criptate dal client al server... ma il client DEVE AVERE una password da criptare, e DEVE ESSERE una password in chiaro.. non sicuramente quella criptata sul server di goolechiamiamolocomecepare.-
Re: cioè, quindi...
[...]non usare una tastiera per collegarti al sito della banca, potrebbe esserci un keylogger.
Si si ora direte che le password di
$sitoqualsiasi viaggiano criptate dal client al
server... ma il client DEVE AVERE una password da
criptare, e DEVE ESSERE una password in chiaro..
non sicuramente quella criptata sul server di
goolechiamiamolocomecepare.mi raccomando non usare le macchinette per fare i biglietti, il programmatore ha fatto il sw in maniera che ti cloni il bancomat, registri il pin e gli invii tutto via posta (cartacea, ovvio) -
Re: cioè, quindi...
Ma questo non è un problema di google, ma del browser, del SO e dell'utente. È chiaro che ad esempio quando vai a ritirare i soldi col bancomat non devi far vedere il codice che stai digitando, no? Se lo fai sbadatamente, la colpa è tua.
-
-
-
Re: cioè, quindi...
- Scritto da: jonbonjovi
qualsiasi cosa io faccia, qualsiasi password io
memorizzi, ecc col mio browser viene
automaticamente COPIATA sui server google?? azz
però...io non voglio fare il paranoico, ma ci
vorrà un bel po' di attenzione nell'uso di questo
OS/browser.
a questo punto preferisco i benefici di
compatibilità hardware del kernel Linux che
potrebbero scaturire dalla sua adozione
"massiccia" (rispetto alla quota attuale :p)
grazie a chrome OS...speriamo in bene
(newbie)chi visse sperando...
-
-
Speriamo bene
Speriamo che 'sto benedetto Chrome non sia una ciofeca come temo, ma che si diffonda il più possibile. Avremo finalmente driver per linux forniti direttamente dalla casa madre (e chissenefrega se saranno closed source).-
Re: Speriamo bene
Già, come abbiamo dovuto ringraziare all'Asus che grazie ai suoi EeePC, i produttori hanno fornito penne 3G compatibili per Linux :D-
Re: Speriamo bene
- Scritto da: Francesco_Holy87
Già, come abbiamo dovuto ringraziare all'Asus che
grazie ai suoi EeePC, i produttori hanno fornito
penne 3G compatibili per Linux
:DQuando mai le penne 3G non sono state compatibili con Linux. Io le ho usate da anni ed anni molto prima dell'Asus EeePc. Sono banalissimi chipset Huawei che hanno tutti lo stesso driver (dalla GPRS alla HSDP...)Cordiali saluti
-
-
