Parcheggio gratis, solo per hacker

Nel corso della conferenza Black Hat è stata messa in mostra una falla dei parcometri di San Francisco

Roma – San Francisco sembra essere il posto migliore dove parcheggiare la propria auto ingannando i circa 23mila parcometri che fanno da cornice alle vie della città. Lo ha detto Joe Grand di Grand Idea Studio , alla conferenza Black Hat tenutasi la scorsa settimana a Las Vegas.

Ciò che rende smart i parcometri urbani è la possibilità pagare con carte elettroniche direttamente dal dispositivo. Tuttavia è stata proprio questa caratteristica ad essere sfruttata dagli hacker: “È bastato prendere una qualsiasi smart card – ha spiegato Grand – ed impostarla affinché mantenga la propria liquidità fissa a 999,99 dollari”.

Sarebbe stato sufficiente collegare un oscilloscopio ad un parcometro qualsiasi per scoprirne il funzionamento. Una volta analizzato cosa accadeva utilizzando una vera carta prepagata, Grand ha realizzato e poi perfezionato un software capace di emularla.

Grand ha proseguito precisando di non aver mai sfruttato questa vulnerabilità e spiegando di non averne fatto parola alle autorità cittadine per paura che queste potessero imporgli il silenzio , come successe l’anno scorso ad alcuni studenti del MIT che volevano illustrare una circostanza molto simile. ( G.P. )

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • DeKRJAhwJvZ o scrive:
    AfGfCxfqZXb
    http://crestor2014.gdn/#2141 crestor,
  • IWgDcXhVi scrive:
    PnszupubfX
    http://buyamoxicillinonline.gq/#7616 amoxicillin,
  • rVqTDGvQS scrive:
    lWHzsZrdQsie
    http://lipitor-generic.tk/#8937 lipitor,
  • angros scrive:
    PlugComputers .... alternativa al cloud?
    La Marvell sta per commercializzare i plug computer, computer a basso consumo, basati su linux e proXXXXXre arm, grossi come un caricabatteria, senza tastiera nè monitor (in pratica, ci si collega ad essi come ci si collega ad un modem/router)Sono proposti come alternativa agli home server.Potrebbero essere interessanti... se ci installo sopra qualcosa tipo EyeOs potrei avere tutti i vantaggi del cloud computing senza rinunciare alla privacy o al controllo dei miei dati (che rimarrebbero su un hard disk o una chiave collegata all' apparecchio, e che potrei rimuovere fisicamente). Magari lo collego via wifi con dei netbook (con installato gOs, o ChromeOs, o qualche altro sistema instant-on), ed uso il desktop remoto di eyeos (dove tengo anche bookmark, documenti e tutto il resto). Ci collego la stampante (così ne ho solo una che può servire diversi terminali), posso avere l' acXXXXX anche da fuori casa (mi basta l' IP e la password) e sono a posto.Tutto questo mantenendo il completo controllo dei miei dati, usando solo software libero, senza abbonamento o pubblicità, e senza dipendere da una connessione a internet che potrebbe anche non funzionare.Da vedere cosa conviene fare (nulla vieta di usare entrambi i sistemi)
  • asd scrive:
    Mah e' come raccontare le cose a un amic
    e ti fidi che non le vada a dire in giro....... tutto si basa sulla fiducia ma non saprai mai il 100% che sara' cosi'
  • By Hoork scrive:
    Fidarsi?
    Io non mi fiderei a mettere dati sensibili sul server di google, anche se consideriamo le buone intenzioni dell'azienda, rischi di blackout o di cracker che possano danneggiare file non mi fa stare tranquillissimo. Poi certo ci sono anche le note positive. Ad es. la possibilità utilizzare software pesantissimi per i nostri pc attraverso i server di google; mi immagino già la possibilità di giocare a Pes 2011 con un Eeepc grazie a browser come Chrome. Quindi che ben venga tale sistema per agevolare Pc un po datati, ma sicuramente il mio file di testo o il mio database rimarranno nel mio Pc e magari anche in una pennetta USB e non nei server Google
    • Francesco_Holy87 scrive:
      Re: Fidarsi?
      Ma i file vengono COPIATI non TRASFERITI sui server di google. Se c'è un blackout, una perdita di dati o quant'altro, i tuoi documenti restano sul computer.
  • Giacomo scrive:
    Opera lo fa già
    Da tempo Opera, con Opera link, fa gran parte delle cose scritte nell'articolo.
  • jonbonjovi scrive:
    cioè, quindi...
    qualsiasi cosa io faccia, qualsiasi password io memorizzi, ecc col mio browser viene automaticamente COPIATA sui server google?? azz però...io non voglio fare il paranoico, ma ci vorrà un bel po' di attenzione nell'uso di questo OS/browser. a questo punto preferisco i benefici di compatibilità hardware del kernel Linux che potrebbero scaturire dalla sua adozione "massiccia" (rispetto alla quota attuale :p) grazie a chrome OS...speriamo in bene (newbie)
    • Francesco_Holy87 scrive:
      Re: cioè, quindi...
      Già, perchè Google potrebbe ricattarti se sull'agenda vede che hai un'amante.Ammesso e non conXXXXX che puoi mettere o no dati sensibili sul server, la password di norma viene criptata e tutto il contenuto è inaccessibile agli amministratori. Stiamo parlando di Google, non di un sito cinese... E di certo mi fido di memorizzare il mio numero di carta di credito (se ce ne fosse bisogno, ma dubito) nell'account Google quanto in quello PlayStationNetwork o Paypal.Potrebbe anche esserci un attacco, è vero, ma non certo i programmatori di Mountain View sono come gli addetti alla sicurezza di qualche banca e certamente, se è possibile, sarà difficile.
      • Matteo scrive:
        Re: cioè, quindi...
        - Scritto da: Francesco_Holy87
        Già, perchè Google potrebbe ricattarti se
        sull'agenda vede che hai
        un'amante.

        Ammesso e non conXXXXX che puoi mettere o no dati
        sensibili sul server, la password di norma viene
        criptata e tutto il contenuto è inaccessibile
        agli amministratori. Stiamo parlando di Google,
        non di un sito cinese... E di certo mi fido di
        memorizzare il mio numero di carta di credito (se
        ce ne fosse bisogno, ma dubito) nell'account
        Google quanto in quello PlayStationNetwork o
        Paypal.

        Potrebbe anche esserci un attacco, è vero, ma non
        certo i programmatori di Mountain View sono come
        gli addetti alla sicurezza di qualche banca e
        certamente, se è possibile, sarà
        difficile.Finalmente un realista non paranoico della privacy. E' ovvio che tutti i dati saranno cifrati... inoltre Google se ne f**** altamente di cosa metti tu in agenda.Per il rischio di hacking... considerando le palle tetraedriche dei loro ingegneri è più probabile una fuga dall'interno che un acXXXXX esterno :)
        • CCC scrive:
          Re: cioè, quindi...
          - Scritto da: Matteo
          - Scritto da: Francesco_Holy87

          Già, perchè Google potrebbe ricattarti se

          sull'agenda vede che hai

          un'amante.



          Ammesso e non conXXXXX che puoi mettere o no
          dati

          sensibili sul server, la password di norma viene

          criptata e tutto il contenuto è inaccessibile

          agli amministratori. Stiamo parlando di Google,

          non di un sito cinese... certo... proprio di google che in cina (come altrove) fa arrestare la gente...

          E di certo mi fido di

          memorizzare il mio numero di carta di credito
          (se

          ce ne fosse bisogno, ma dubito) nell'account

          Google quanto in quello PlayStationNetwork o

          Paypal.non preoccuparti... basta che lo digiti... e il tuo numero di carta, come QUALSIASI altro dato che digiterai, sarà archiviato sui bei serverini di google, usato per profilarti meglio, per tracciarti meglio, per incrociare meglio il tuo profilo con quelli altrui e costruire e aggiornare l'intera rete delle tue relazioni...

          Potrebbe anche esserci un attacco, è vero, ma
          non

          certo i programmatori di Mountain View sono come

          gli addetti alla sicurezza di qualche banca e

          certamente, se è possibile, sarà

          difficile.si certo... a Mountan View sono tutti geni pazzeschi intrisi di competenze estreme e di onestà sopecchiata sin dalla nascita...
          Finalmente un realista non paranoico della
          privacy. E' ovvio che tutti i dati saranno
          cifrati... se anche fosse... stai pur tranquillo che le chiavi le tiene mister g...
          inoltre Google se ne f**** altamente
          di cosa metti tu in
          agenda.non credo proprio... google ci fa i miliardi sul fatto di sapere cosa tu metti in agenda, cosa scrivi nelle email, a chi le scrivi, quali siti visiti, con chi chatti, ecc...
          Per il rischio di hacking... considerando le
          palle tetraedriche dei loro ingegneri è più
          probabile una fuga dall'interno che un acXXXXX
          esterno
          :)perché l'uso "improprio" dei tuoi dati dall'interno di google dovrebbe andare bene mentre quello dall'esterno invece no???guarda che GIA' ORA google passa i TUOI dati, le tue email, ecc. ecc. all'esterno, ad altre società, a governi tirannici, ecc... o pensi che i miliardi che guadagnano gli cadano in testa dal cielo???
          • Francesco_Holy87 scrive:
            Re: cioè, quindi...
            Sì, gli stessi governi che lanciano scie chimiche dagli aerei militari travestiti da aerei di linea, che falsificano gli atterraggi lunari, che riempiono di esplosivi i grattacieli e che comunicano con gli alieni e ci tengono tutti segreti... Bla, bla, bla.
          • Enok scrive:
            Re: cioè, quindi...
            ti pare così tanto strano che un'azienda privata trasmetta informazioni sensibili a terzi?! suppongo tu non sia informato sullo scandalo telecom-sismi quindi.non oso immaginare una collaborazione google-cia...
          • jonbonjovi scrive:
            Re: cioè, quindi...
            senza offesa...ma sono proprio le persone che ragionano come te che permettono a queste società di fare miliardi (e fin qui, nulla di male) vendendo i tuoi dati (e fin qui, vabbè...ce lo aspettiamo anche) sensibili (e qui non mi sta più tanto bene...) a chiunque paghi più degli altri per averli. e tutto ciò senza che alcuno alzi un dito in difesa della privacy.e poi, credi veramente che le persone che lavorano a google appartengono ad una razza aliena immune agli errori, alle tentazioni di fare soldi spifferando qualche chiave di decrittaggio in giro, ecc...?? io sarò super-scettico, infatti a pensar male si fa peccato, ma ci si azzecca quasi sempre...
          • Francesco_Holy87 scrive:
            Re: cioè, quindi...
            Nessuno ti vieta di evitare di mettere i numeri di carta di credito o di cellulare in qualche doc di google.A volte mi chiedo: che intendete per dati sensibili? Pensate davvero che si fanno milioni vedendo che alle 15.30 devi incontrarti col signor Rossi? Davvero credi che un'azienda che ha faticato per anni per conquistarsi la fiducia degli utenti possa permettersi di vendere dati personali del genere ad altre società? Davvero credi che un singolo uomo (o un piccolo gruppo) che sia tentato dal guadagno facile e faccia parte del googleplex possa entrare placido placido nei server e trovare i dati che gli servono, trasparenti senza nessuna protezione e codifica, e attingere alle sue fonti sparse nei suoi migliaia di server senza che nessuno se ne accorga? Io credo che se volessero prendere i tuoi dati, ci sono modi più semplici.Se non ti fidi di dare dati personali, non usare carte di credito, perchè potrebbero clonarle. Non usare il cellulare, perchè potrebbero prendersi il tuo numero. Cancellati dalle Pagine Bianche, non iscriverti su nessun sito, perchè potrebbero prendere l'email e la password. Maschera il tuo IP e vivi sicuro nella tua botte di ferro.Io intanto sincronizzo i miei contatti, e non mi faccio problemi di nessun tipo, ho altre cose a cui pensare. Non sto dando il mio numero di carta di credito a una frode postale.
        • markoer scrive:
          Re: cioè, quindi...
          - Scritto da: Matteo[...]
          E' ovvio che tutti i dati saranno
          cifrati...Te lo hanno messo per iscritto? e pensi che serva a qualcosa?Se un dato deve essere utilizzato (come un numero di carta di credito) di solito non viene cifrato. E comunque è una cifratura, come tutte le cifrature si può rompere, basta trovare la chiave. Una chiave per milioni di carte di credito...
          inoltre Google se ne f**** altamente
          di cosa metti tu in agenda.Non ci giurerei. I bookmarks e gli appuntamenti di milioni di persone: un dato commercialmente molto, molto appetibile.
          Per il rischio di hacking... considerando le
          palle tetraedriche dei loro ingegneri è più
          probabile una fuga dall'interno che un acXXXXX
          esterno
          :)E ti par poco? 80% dei data leakage viene da ex-dipendenti. Questo ti fa sentire più sicuro? a me no.Io non uso alcun servizio del genere prima di aver letto le clausole in piccolo.E non userò mai nessun servizio che non sia *basato in Europa*. Paypal ed Amazon hanno sedi Europee e sono sottoposti alla legislazione Europea per il trattamento dei dati personali. In USA hanno una legislazione MOLTO più permissiva.Cordiali saluti
          • pippuz scrive:
            Re: cioè, quindi...

            Se un dato deve essere utilizzato (come un numero
            di carta di credito) di solito non viene cifrato.
            E comunque è una cifratura, come tutte le
            cifrature si può rompere, basta trovare la
            chiave. Una chiave per milioni di carte di
            credito...al di la' del fatto se sara' implementato o meno:1 la decifratura puo' avvenire on-the-fly (all'occasione), senza che venga memorizzato (su disco) in forma non cifrata2 neanche i bambini svegli utilizzano la stessa chiave per cifrare milioni di dati: hai la stessa password per la mail e per l'user del computer? io no, figurati Google.
            Non ci giurerei. I bookmarks e gli appuntamenti
            di milioni di persone: un dato commercialmente
            molto, molto
            appetibile.boh,il dato di una singola persona non conta nulla, e' il dato in forma aggregata che potrebbe essere utilizzato. se Google vende il mio appuntamento (i dati relativi a), stai certo che dura 5 minuti. non perche' sia buono o cosa, non sarebbe vantaggioso dal punto di vista economico, ricevendo cause a go-go.
            E ti par poco? 80% dei data leakage viene da
            ex-dipendenti. Questo ti fa sentire più sicuro? a
            me
            no.nelle aziende serie, e Google pare esserlo, si ha acXXXXX ai dati in maniera molto strutturata(con determinati controlli, determinate autorizzazioni, determinate possibilita', per es. di accedere solo a determinate porzioni di dati), cosa che limita enormemente la possibilita' che i dipendenti possano far danni. Considera poi che in moltissimi altri contesti dai la fiducia automaticamente a certi soggetti. se faccio il biglietto in stazione alle macchinette automatiche, faccio un atto di fiducia verso il programmatore che ha costruito il sw per trenitalia, dando per scontato che non si mandi via mail il pin dopo avermi clonato la scheda. Se non sei pronto in un'atto di fiducia del genere, avrai una vita ben scomoda.tutto dipende da quanto strategici sono i dati che hai.
            Io non uso alcun servizio del genere prima di
            aver letto le clausole in
            piccolo.giusto.ovviamente, il tutto imho.
          • markoer scrive:
            Re: cioè, quindi...
            - Scritto da: pippuz[...]
            al di la' del fatto se sara' implementato o meno:

            1 la decifratura puo' avvenire on-the-fly
            (all'occasione), senza che venga memorizzato (su
            disco) in forma non cifrata

            2 neanche i bambini svegli utilizzano la stessa
            chiave per cifrare milioni di dati: hai la
            stessa password per la mail e per l'user del
            computer? io no, figurati Google.Beh ovviamente il discorso è complesso. Ma posso dirti che indicativamente, dove si utilizzano sistemi di cifratura in contesti più grandi del tuo PC, si usano moduli HSM. Il modulo HSM è uno solo, anche se le chiavi generate sono migliaia o milioni, l'acXXXXX all'HSM rende possibile di per sé l'acXXXXX a tutti i dati.

            Non ci giurerei. I bookmarks e gli appuntamenti

            di milioni di persone: un dato commercialmente

            molto, molto

            appetibile.

            boh,il dato di una singola persona non conta
            nulla, e' il dato in forma aggregata che potrebbe
            essere utilizzato.Per l'appunto :-)[...]
            nelle aziende serie, e Google pare esserlo, si ha
            acXXXXX ai dati in maniera molto strutturata(con
            determinati controlli, determinate
            autorizzazioni, determinate possibilita',Guarda, questo forse avviene nelle banche, ma in aziende dove la produttività deve essere molto alta - e in Google deve essere la più alta del pianeta - certe cose tendono a venire meno. Sono solo complicazioni burocratiche quando la priorità assoluta è un brevissimo time to market.Non voglio dire che non implementino tutto ciò che è loro richiesto dalla legge (in quanto americani per lo minimo i controlli Sarbane Oxeley), ma per il resto giurerei un braccio sul fatto che non investano un centesimo più del minimo necessario per la protezione dei dati personali.Io lavoro nel mondo della security ICT, e ti posso assicurare che ne ho viste. Ti faccio il primo esempio scemo che mi viene in mente - te ne potrei fare a dozzine di simili...Io francamente ce li vedo fare i loro load-test in pre-produzione del loro ultimissimo gadget con i dati personali degli utenti copiati all'uopo dalla produzione... costa troppo creare dati fittizi e poi non sarebbero test reali... tanto più facile copiare dalla produzione, ma chi se ne frega se la pre-produzione ha livelli di sicurezza estremamente più bassi della produzione... come dire, il load-test se lo lancia l'ingegnere dal suo portatile dallo Star Bucks...Saresti sorpreso dalla candida innocenza che arriva al limite di stoltaggine da parte di altrimenti brillantissimi ingegneri... purtroppo la sicurezza ICT non è materia di insegnamento universitario, sai!Cordiali saluti
      • xWolverinex scrive:
        Re: cioè, quindi...
        - Scritto da: Francesco_Holy87
        la password di norma viene criptata e tutto il contenuto è inaccessibile
        agli amministratori. Vero.Ma c'è un MA. Immaginati la registrazione a $sitoqualsiasi. Il tuo browser/sistema salva la tua password criptata su goolechiamiamolocomecepare. Il problema è che se cambi postazione (e questo dovrebbe essere l'obbiettivo di fondo di tutto il trabiccolo) e fai acXXXXX $sitoqualsiasi, la password non puo' essere mandata criptata ma deve essere decriptata.. e qui casca l'asino. Se la password deve tornarti indietro decriptata.. chiunque ha l'acXXXXX al sistema goolechiamiamolocomecepare puo' decriptare i tuoi dati. Si si ora direte che le password di $sitoqualsiasi viaggiano criptate dal client al server... ma il client DEVE AVERE una password da criptare, e DEVE ESSERE una password in chiaro.. non sicuramente quella criptata sul server di goolechiamiamolocomecepare.
        • pippuz scrive:
          Re: cioè, quindi...

          [...]non usare una tastiera per collegarti al sito della banca, potrebbe esserci un keylogger.
          Si si ora direte che le password di
          $sitoqualsiasi viaggiano criptate dal client al
          server... ma il client DEVE AVERE una password da
          criptare, e DEVE ESSERE una password in chiaro..
          non sicuramente quella criptata sul server di
          goolechiamiamolocomecepare.mi raccomando non usare le macchinette per fare i biglietti, il programmatore ha fatto il sw in maniera che ti cloni il bancomat, registri il pin e gli invii tutto via posta (cartacea, ovvio)
        • Francesco_Holy87 scrive:
          Re: cioè, quindi...
          Ma questo non è un problema di google, ma del browser, del SO e dell'utente. È chiaro che ad esempio quando vai a ritirare i soldi col bancomat non devi far vedere il codice che stai digitando, no? Se lo fai sbadatamente, la colpa è tua.
    • CCC scrive:
      Re: cioè, quindi...
      - Scritto da: jonbonjovi
      qualsiasi cosa io faccia, qualsiasi password io
      memorizzi, ecc col mio browser viene
      automaticamente COPIATA sui server google?? azz
      però...io non voglio fare il paranoico, ma ci
      vorrà un bel po' di attenzione nell'uso di questo
      OS/browser.

      a questo punto preferisco i benefici di
      compatibilità hardware del kernel Linux che
      potrebbero scaturire dalla sua adozione
      "massiccia" (rispetto alla quota attuale :p)
      grazie a chrome OS...speriamo in bene
      (newbie)chi visse sperando...
  • Fai il login o Registrati scrive:
    Speriamo bene
    Speriamo che 'sto benedetto Chrome non sia una ciofeca come temo, ma che si diffonda il più possibile. Avremo finalmente driver per linux forniti direttamente dalla casa madre (e chissenefrega se saranno closed source).
    • Francesco_Holy87 scrive:
      Re: Speriamo bene
      Già, come abbiamo dovuto ringraziare all'Asus che grazie ai suoi EeePC, i produttori hanno fornito penne 3G compatibili per Linux :D
      • markoer scrive:
        Re: Speriamo bene
        - Scritto da: Francesco_Holy87
        Già, come abbiamo dovuto ringraziare all'Asus che
        grazie ai suoi EeePC, i produttori hanno fornito
        penne 3G compatibili per Linux
        :DQuando mai le penne 3G non sono state compatibili con Linux. Io le ho usate da anni ed anni molto prima dell'Asus EeePc. Sono banalissimi chipset Huawei che hanno tutti lo stesso driver (dalla GPRS alla HSDP...)Cordiali saluti
  • Uqbar scrive:
    Bel titolo!
    Complimenti.Perché non "la potenza di 10 (http://it.wikipedia.org/wiki/Googol) si allinea con le nevole"?
Chiudi i commenti