Ultimamente sono venuto a conoscenza del progetto CryptoCat, un sistema di chat che utilizzando l'estensione OTR di jabber e l'encrypting asimmetrico totalmente lato client, offre messaggistica istantanea sicura.
La particolarità di quest sistema è la completa integrazione nei browser, essendo sviluppato principalmente come estensione di Firefox, Safari e Chrome.
Scrivo questo breve post per riassumere un po la situazione sullo sviluppo di dSploit, sono stati giorni molto impegnativi, ma anche pieni di soddisfazione.
Ho presentato il progetto alla comunità di XDA, in cerca di aiuto, collaboratori, beta tester e, diciamocela tutta, anche un po di pubblicità, e ha funzionato alla grande! :D
Ci sono state ventidue release dal mio ultimo post su dSploit, molte delle quali per correggere bug che sono emersi durante i test, aggiungere il supporto ad Android 2.3 e così via, ma altrettante hanno introdotto nuove funzionalità che rendono ad oggi dSploit il software per Android più completo in questo ambito ( e non siamo nemmeno alla prima versione stabile! :D ), il che è confermato dal fatto che ha superato i 20.000 ( ventimila-porco-cazzo! ) download.
Brevemente, le funzionalità attualmente implementate sono:
Vi voglio presentare un progetto al quale sto lavorando da qualche settimana ormai e che gode della "sponsorizzazione" della comunità di BackBox Linux, un software per Android chiamato dSploit.
Basandomi sul lavoro di questi ragazzi e sulla ( poca ) documentazione riguardante i protocolli di Google ed i protocol buffers, ho realizzato uno script in grado di trovare il link per il download diretto di un applicazione Android dato il suo identificativo ed i vostri dati di accesso al market.
Spesso mi capita di dover comunicare velocemente con qualcuno non utilizzando un canale di comunicazione convenzionale ( msn, skype, email, ... ) o comunque non controllato da me e di conseguenza mi trovo ad aprire ( o a connettermi a ) sessioni netcat in ascolto ed a comunicare indirizzo ip o indirizzo del server con la relativa porta alla persona con la quale voglio scambiare una confidenza, un file o in generale qualsiasi tipo di messaggio del quale non voglio rimanga traccia alcuna.
Questo metodo, se pur veloce e abbastanza sicuro ( presumendo che nessuna delle due parti salvi i log della conversazione o simili ), non mi protegge tuttavia dalla possibilità di un attacco MITM, ovvero da un eventuale osservatore esterno che abbia modo di inserirsi o comunque leggere sul mio canale di comunicazione ( arp spoofing, eventuali connessioni sotto sorveglianza, and so on ... ).
In questo breve articolo andremo a vedere come sostituire netcat con un applicativo altrettanto comune ( quasi ogni computer unix based l'ha installato di default ) che però sopperisce alle mancanze del nostro amico nc in quanto a sicurezza del canale trasmissivo, ovvero openssl.
In un precedente articolo abbiamo visto come, a causa di una configurazione errata dei permessi su un server, presumibilmente sul vostro hosting condiviso, sia possibile leggere le sessioni degli altri utenti ( e degli altri siti ) e "forzare" il sistema ad attribuirci il session id di qualcun'altro, o più semplicemente a carpire dei dati sensibili da queste sessioni salvate in chiaro su file system.
In questo articolo andremo a vedere una possibile metodologia per lasciare le nostre sessioni su file system ( quindi senza appesantire il database ) ed essere comunque sicuri che nessuno possa accedere ai loro dati in chiaro.
Dopo tanto tempo che non scrivevo sul blog, voglio affrontare un argomento sia teorico che pratico partendo da un esperienza che mi è capitata qualche tempo fa.
Per motivi che non sto qui a specificare ( principalmente per sicurezza ) ho avuto la necessità di salvare su un database dei dati sensibili non in chiaro, a dire il vero l'intero database doveva essere criptato in modo tale che anche dopo un eventuale fuoriuscita di dati sarebbe stato inservibile.
Un altro punto importante era che ogni utente che poteva loggarsi al sistema in questione, avrebbe dovuto/potuto decriptare i dati in questione con la propria chiave di accesso, ovviamente diversa da utente ad utente.
Quindi, la domanda era, come posso criptare un dato e renderlo decriptabile con più di una chiave senza replicare lo stesso dato N volte per N chiavi diverse ?
Vediamo come risolvere questo problema :)
Come promesso ieri a coloro che mi hanno mandato le varie segnalazioni, ecco un nuovo rilascio:
== Changelog ==
= 2.0.2 = * Added whitelisted variable to make JetPack work properly.
= 2.0.1 = * Implemented a full set of rules, tnx to PHPIDS guys. * Fixed routine which checks if the user is an admin. * Fixed issue that caused many other plugins such as JetPack, WP Stats and so on not to work. * Fixed issue that caused the admin to be banned. * Fixed minor issues that caused php notices. * Fixed admin html.
Dopo molto tempo che non lavoravo su questo progetto, alcuni eventi, tra i quali il responso di molti utenti (wp-sentinel conta ad oggi più di 7000 downloads!), ho deciso di riprenderne lo sviluppo per risolvere i bug che affliggevano la vecchia versione e migliorarne complessivamente prestazioni e funzionalità. Di conseguenza oggi ho rilasciato la versione 2.0, caratterizzata da una totale riscrittura del motore interno nonchè ad una riorganizzazione del codice e della logica.
Nei prossimi giorni rilascerò ulteriori versioni poichè questo è solo l'inizio del lavoro che ho intenzione di svolgere :D Vi lascio con il changelog della 2.0:
* Complete rewriting of the engine. * Big performance boost. * Implemented pre rules hooks and alarm hooks. * Configuration and rules are now json encoded. * Fixed bug when short tags support is off. * Fixed value flattening bug. * Fixed value decoding.
The BackBox team is proud to announce the release of BackBox Linux 2.
BackBox 2 features the following upstream components:
