"pornoricatto ai grillini" ?!?

[Bowlingbpsl]

Questo e' il titolo che ho occhieggiato stamattina, credo di Libero.
Dalle poche righe che ho scrocc... ehm, "letto di sfuggita", in prima
pagina, stando a l'Espresso (nota rivista del berlusca, HA!), non solo
qualche grillino (una trentina?) si sarebbe visto violare l'email (si apre
la curiosita': ma che password usavano, "pippo"? No, ci sono: "Beppe". O,
magari, "psiconano". Che gli ha portato jella pure come pw!), ma pure il
PC, scaricandogli dal loro HD, quindi, ameni pornazzoni, ma non solo...
forse persino immagini "personali".

Ora, visto che questo niggi' e' pieno di polvere, ma non vuoto di utenti,
qualcuno mi fa qualche ipotesi sensata su quello che e' successo?
Perche' non e' solo un problema di gestione password (non guasterebbe una
spiegazione piu' chiara sui metodi di attacco "moderni", giacche' su
facebook le "pagine rubate" sono molto frequenti e non so se sono tutti
ladrocinii di admin spregiudicati), ma qui ci sono dei bei trojan... e
beh, io sono rimasto a Back Orifice (ed agli ex mariti che lo installavano
alle mogli per leggersi le loro email. Squallidissimo!)... ma vedo che non
e' che i tempi siano cambiati granche'.

Qualcuno vuole spiegare? Con meno flame possibili, se ci riusciamo.
All'epoca, ormai piu' di tre lustri fa, un marito corn... cioe' separato,
mi chiese di aiutarlo per spiare il PC della ex moglie. E sta ancora
aspettando (non sapevo, ma anche se avessi saputo cosa e come fare, col
piffero che avrei alzato un dito per alimentare il suo rancore).

Fabrizio


P.S. Si, sono cosciente che questo thread potrebbe attirare l'attenzione
dei grillini. Ma, oltre alla classica citazione del Gran Capo Estiqaatsi,
magari qualcuno prende spunto e lancia lo slogan: "meno bufale, piu'
conoscenza del mezzo!". Dio solo sa quanto ne abbiano bisogno... < evil
grin >

[Leonardo Serni]

On Fri, 26 Apr 2013 09:19:58 +0200, "Bowlingbpsl" <bow...@people.it> wrote:

>qualche grillino (una trentina?) si sarebbe visto violare l'email (si apre
>la curiosita': ma che password usavano, "pippo"? No, ci sono: "Beppe". O,
>magari, "psiconano". Che gli ha portato jella pure come pw!), ma pure il
>PC, scaricandogli dal loro HD, quindi, ameni pornazzoni, ma non solo...
>forse persino immagini "personali".

>Ora, visto che questo niggi' e' pieno di polvere, ma non vuoto di utenti,
>qualcuno mi fa qualche ipotesi sensata su quello che e' successo?

Non ho letto in giro nulla che mi distolga dall'ipotesi piu' semplice:

1) Un tizio (non necessariamente piu' di uno) ce l'ha col M5S

2) Si procura un po' di loro caselle di GMail o altro servizio

3) Il TRENTA PER CENTO (a me me pare 'na strunzata, ma io non vedo
un campione rappresentativo) delle caselle ha password deboli

4) Il grillino medio, di nuovo a giudicare da quel che vedo e leggo,
e' un ingenuo e non particolarmente esperto: si fida troppo della
tecnologia (date retta, fidatevi. 'un discutete, vi ci fate male).

5) Dal combinato disposto di 1..5, un brute force attack contro 100-150
caselle grilline potra' fornire un 10-20 utenze e password, facile.

6) Avendone 10, si dice che ci se n'hanno trenta o piu'. Ci vai te a
controllare?

7) Il 99% della gente tiene roba questionabile sul proprio PC (io no,
eh? La tengo tutta sull'altro PC, quello a norme IP65. Ehm. Okay,
basta IP64).

8) Anche se non ce l'ha, uno dice che ce l'ha, cosi' quelli che hanno
la coscienza sporca sentono il frizzìno. E' una variazione della
tecnica cinese "Quando torni a casa, picchia tua moglie. Tu non hai
magari idea del perche' dovresti farlo, ma lei si'".

Leonardo

--
Were I Glenallan's Earl this tide, and were you Roland Cheyne,
My spur would be in my horse's side, the bridle upon his mane.
If they hae twenty thousand blades and we twice ten times ten,
Yet they hae but their tartan plaids, and we're mail-clad men.

[THe_ZiPMaN]

Unilￜ wrote:
>> 5) Dal combinato disposto di 1..5, un brute force attack contro 100-150
>> caselle grilline potra' fornire un 10-20 utenze e password, facile.
>

> Speravo che i mailserver bannassero l'ip o meglio ancora impedissero i
> tentativi di login (da qualsiasi ip, cosￜ ci si difende anche da chi ha
> disponibilitￜ di host zombie) per un certo periodo di tempo dopo un tot
> di login errati.

Il 90% degli utenti usa la medesima password per piￜ servizi.
Il 90% degli utenti non pone attenzione alla sicurezza della connessione
quando inserisce le password (quindi spesso passa in chiaro) e non bada
a dove ￜ connessa (p.es. wifi aperti di locali pubblici che sono una
manna per raccattare password).
Il 90% degli utenti utilizza come password combinazioni piￜ o meno
variabili di nome, cognome, anno di nascita con sostituzioni semplici
(la O con lo zero, ecc.) e aggiunta di punteggiatura.
Oltre il 20% dei dispositivi ￜ infetto con qualche forma piￜ o meno
valida di troiata...

Shakera per 5 minuti e ottieni le password di un buon 50% del tuo target.

--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left

[Leonardo Serni]

On Sat, 27 Apr 2013 22:57:53 +0200, Unilì <ste...@nospam-u.it> wrote:

>> 5) Dal combinato disposto di 1..5, un brute force attack contro 100-150
>> caselle grilline potra' fornire un 10-20 utenze e password, facile.

>Speravo che i mailserver bannassero l'ip o meglio ancora impedissero i

>tentativi di login (da qualsiasi ip, così ci si difende anche da chi ha
>disponibilità di host zombie) per un certo periodo di tempo dopo un tot
>di login errati.

Ora, non staro' a dare i sordidi dettagli; ma diciamo che c'e' modo e modo di
procurarsi questi dati, se si e' disposti a investire un po' di tempo... e di
quattrini. Non grandi somme, comunque.

Potremmo fare un sondazzo circa "Quanti degli utenti GMail usano la twofactor
auth con codice SMS?".

[Leonardo Serni]

On Sun, 28 Apr 2013 00:48:38 +0200, THe_ZiPMaN <sp...@zipman.it> wrote:

>Il 90% degli utenti usa la medesima password per più servizi.

C'e' di peggio, chi vuole.

Quando si e' sotto l'occhio di tot telecamere con zoom, ci sono cose che i
proprietari di iPad *non* dovrebbero fare:

a) Guardare i porni
b) Controllare il conto corrente
c) Scrivere email/SMS
d) Inserire password di qualunque genere

Tra l'altro se si e' seduti su un piano inclinato, tipo emiciclo - ed ogni
riferimento a luoghi realmente esistenti e' *del tutto casuale* - chiunque
ti stia alle spalle e un po' di lato ha un'ottima visuale. Se dispone pure
di occhi e memoria buona, non gli serve neanche filmare col telefonino per
riguardarsi la moviola.

No, per dire, eh.

[Leonardo Serni]

On Sun, 28 Apr 2013 22:59:31 +0200, Unilì <ste...@nospam-u.it> wrote:

>> Potremmo fare un sondazzo circa "Quanti degli utenti GMail usano la twofactor
>> auth con codice SMS?".

>Se la gmail la usi da casa con connessione wired non vedo la necessità
>di usarla.

Io magari si', ma l'idea e' che se qualcun *altro* provasse ad usarla da
un'altra parte, gli chiederebbe il codice via SMS e lui non l'avrebbe.

>Diverso è il caso di quello che crede di essere furbo scroccando il wifi
>aperto del vicino di casa senza sapere che il vero furbo è il vicino col
>wifi aperto (ci siamo capiti)

Been there, saw that :-)

[ObiWan]

> Diverso è il caso di quello che crede di essere furbo scroccando il
> wifi aperto del vicino di casa senza sapere che il vero furbo è il
> vicino col wifi aperto (ci siamo capiti)

beh ma mica solo lo "scroccone"; di WiFi aperte ne trovi senza troppi
problemi il discorso è che sino a che le usi (che so) per andarti a
vedere i risultati delle partite o le previsioni meteo, vanno ancora
bene; purtroppo c'è chi si fa prendere la mano e le usa anche per
accedere alla propria mailbox (magari SENZA usare SSL) o addirittura
per fare online banking o cosette del genere ed a quel punto non è che
ci voglia poi molto a fregarsi le credenziali di accesso ... e poi ci
sono anche altri sistemi, che so, ad esempio

http://en.wikipedia.org/wiki/Firesheep

http://droidsheep.de/?page_id=424

ed a quel punto non c'è neanche bisogno di usare il bruteforcing... nel
caso in questione, basterebbe trovare un posto dove si radunino un
certo numero di rappresentanti M5S e che offra connettività WiFi,
mettersi da una parte fingendo di leggersi la gazzetta dello sport
"online" e collezionare un mucchietto di credenziali; se poi le vittime
sono anche talmente ingenue da fare "password reuse" ... :P

[ObiWan]

> > credenziali di accesso ... e poi ci sono anche altri sistemi, che
> > so, ad esempio
> >
> > http://en.wikipedia.org/wiki/Firesheep
> >
> > http://droidsheep.de/?page_id=424

> eppero' ormai molti siti usano SSL (gmail lo fa, mi pare anche
> facebook)

molti, ma non tutti, e comunque, se chi ti fornisce connettività (bar,
tavolacalda, ristorante, aereoporto, stazione ferroviaria...) ti chiede
di mettere in trust il proprio certificato SSL (magari un "bel" self
signed), ci vuol poco a mettere in piedi un MiTM ... e di gente che ci
casca ne trovi, hai voglia se ne trovi :P !

> Allora l'unico attacco che mi viene in mente è un man in the middle
> con un access point farlocco che redireziona sul server farlocco

Vecchio attacco ma ancora valido, anni addietro c'erano addirittura in
vendita (in rete) dey trolley contenenti AP, mini computer (di solito
un atom + linux) antenne, batterie e tutto il resto per mettere in
piedi un AP farlocco in posti tipo aereoporti, stazioni e simili; il
tutto NON è che sia nuovo, anzi ! (Semmai riguardati i papers di alcune
defcon ;D)

> Insomma, questa roba:
> http://www.keinpfusch.net/2011/06/i-polli-attraversano-sempre-la-strada.html

Mica solo i polli !

[dalai lamah]

Un bel giorno Unil� digit�:

> Io uso pure il pop3 non criptato; epper� chi potrebbe intercettarmi
> password ed email (peraltro di scarso interesse) sono solo i tecnici del
> mio ISP, di quello dove ho la casella di posta e magari del MiX di
> Milano (se i dati passano di l�).

Nonch� una qualsiasi persona o organizzazione fortemente motivata che sia
in grado di connettersi con attrezzatura adeguata al doppino fra te e la
centrale:

http://wikileaks.org/spyfiles/files/0/176_TRACESPAN-LI.pdf

E se hai un PC molto vicino a un altro appartamento, forse anche il tuo
vicino (sempre fortemente motivato):

http://www.cl.cam.ac.uk/~mgk25/pet2004-fpd.pdf

--
Fletto i muscoli e sono nel vuoto.

[dalai lamah]

Un bel giorno dalai lamah digit�:

> E se hai un PC molto vicino a un altro appartamento, forse anche il tuo
> vicino (sempre fortemente motivato):
>
> http://www.cl.cam.ac.uk/~mgk25/pet2004-fpd.pdf

E qualora obiettassi "non sono un mangiatore di quiche, mica le password si
vedono a video":

http://lasecwww.epfl.ch/keyboard/

[Leonardo Serni]

On Mon, 29 Apr 2013 09:59:27 +0200, Unilì <ste...@nospam-u.it> wrote:

>>> Se la gmail la usi da casa con connessione wired non vedo la necessità
>>> di usarla.

>> Io magari si', ma l'idea e' che se qualcun *altro* provasse ad usarla da
>> un'altra parte, gli chiederebbe il codice via SMS e lui non l'avrebbe.

>sì. pero' che menata; va bilanciata sicurezza e comodità; fosse l'ordine
>per un bonifico bancario o solo un acquisto via carta di credito allora
>giusto usare un codice inviato via sms da reinserire, ma ogni volta che
>si controlla la posta...

No, non ogni volta: la PRIMA volta che si collega un computer "sconosciuto".

[ObiWan]

>
> > http://lasecwww.epfl.ch/keyboard/
> >
>
> Interessante, ma .... prova di laboratorio ben diversa dalle
> condizioni reali: tolgono qualsiasi alimentazione; il cavo della
> tastiera è lasciato volutamente lungo e non arricciato, l'antenna
> ricevente è a 1 mt di distanza.
>

bah... basta anche solo avere accesso agli uffici (che so, qualcuno che
faccia le pulizie) e, per il resto ci vuole poco, basta qualcosa tipo

http://www.refog.com/hardware-keylogger/wifi.html

oppure basta pagare ammodino chi fa supporto tecnico e far installare
un KL *interno* che NON si vede

[Bowlingbpsl]

Leonardo Serni wrote:
> On Sun, 28 Apr 2013 00:48:38 +0200, THe_ZiPMaN <sp...@zipman.it> wrote:

> Quando si e' sotto l'occhio di tot telecamere con zoom, ci sono cose
> che i proprietari di iPad *non* dovrebbero fare:
>
> a) Guardare i porni
> b) Controllare il conto corrente
> c) Scrivere email/SMS
> d) Inserire password di qualunque genere

Mi hai fatto venire un coccolone... e ricordato una cosa antica, che avevo
dimenticato.
Per un palmare (Sony TH55, credo) esisteva un filtro... polarizzato, che
impediva la visione per piu' di pochi gradi.
Mi sono sempre chiesto a che potesse servire, vista la scarsa potenza del
Palm all'epoca.
Visto l'aumento di potenza degli smartphone, comincio a pensare che un
filtro del genere sia d'uopo.

BTW, avevo sentito dire che avevano fregato la PW di Paris Hilton perche'
la domanda di riserva era... il nome del suo cagnolino (il cui nome,
all'epoca, conosceva mezzo mondo).
Certo che... non se ne esce piu'. Ci sono almeno una dozzina di modi
diversi di farsi gli... "ammennicoli" di questa gente, appena appena meno
che scaltra.
A questo punto, ipotizzerei che siano persino "pochi" quelli a cui hanno
fregato la PW.

Fabrizio

[Bowlingbpsl]

Unilě wrote:
> Il 28/04/13 01.42, Leonardo Serni ha scritto:

>> Potremmo fare un sondazzo circa "Quanti degli utenti GMail usano la
>> twofactor auth con codice SMS?".

BTW, dov'e' che ne parlano piu' diffusamente, che non ne ho conoscenza
molto precisa?

> Diverso č il caso di quello che crede di essere furbo scroccando il
> wifi aperto del vicino di casa senza sapere che il vero furbo č il

> vicino col wifi aperto (ci siamo capiti)

Sempre BTW, avevo letto di qualcuno che lasciava persino il bluetooth
aperto, poi avevo letto di un programma che aggiungeva parolacce a random.
Carina l'idea.

Io rilevo anche un... pubblico "bisogno" di avere connessioni aperte. Nel
mio piccolo, sto paranoicamente resistendo alle pressioni, ma comincio ad
occhieggiare un certo allentamento di protezioni: agriturismo con WPA e
cartello alla cassa con su scritta la PW. Attivissimo che suggerisce di
fare un QRcode "per gli amici". Ristoranti vari con possibilita' di
connessioni, oltre agli hotel ed ipermercati con autenticazione.

Per fortuna Firesheep non e' piu' stato aggiornato. Ma avendo un Firefox
"datato", cosa si rischierebbe?

Fabrizio

[Bowlingbpsl]

ObiWan wrote:
>>> credenziali di accesso ... e poi ci sono anche altri sistemi, che
>>> so, ad esempio
>>>
>>> http://en.wikipedia.org/wiki/Firesheep
>>>
>>> http://droidsheep.de/?page_id=424

Azz. Ed io che ho solo occhieggiato l'app Android che cerca la
vulnerabilita' di alcune adsl. Come cambiano i tempi...

>> Insomma, questa roba:
>> http://www.keinpfusch.net/2011/06/i-polli-attraversano-sempre-la-strada.html
>
> Mica solo i polli !

Questo blogger, BTW, mi ha fatto venire uno shock a proposito della
pedofilia, mostrando "una semplice query google". Le sue considerazioni
sono "un ciccinino" troppo dure (specie quando parte col "voi") ma le sue
verifiche sul campo e le sue esperienze... lasciano basiti. Per quanto ho
verificato "nel mio piccolo", nessuno sa niente di questi magic numbers.
Grazie a Dio.

Devo dire di non essere riuscito ad andare oltre il suo "livello 1". Mi
conforta che manco il "livello 2" ci sarebbe arrivato.

Mi sta passando la voglia di offrire una qualsiasi connettivita'... una
volta ho acceso per un paio d'ore un AP senza PW per permettere ad una
persona di fare streaming, ma quando l'ho spenta... c'erano almeno altre
tre persone attaccate. Mazza oh.

Fabrizio (BTW, manco saprei dove cercare un AP da alberghi...)

[Leonardo Serni]

On Thu, 2 May 2013 18:59:18 +0200, "Bowlingbpsl" <bow...@people.it> wrote:

>Per un palmare (Sony TH55, credo) esisteva un filtro... polarizzato, che
>impediva la visione per piu' di pochi gradi.

Nay, non era un filtro polarizzato. E' un filtro costituito da una griglia
fatta di celle piccolissime (~ 1/2 pixel), con le pareti opache e il resto
trasparente.

Se immagini di vederlo "di taglio" con lo schermo del palmare orizzontale,
la griglia fa cosi' puppa.

| | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | |
SCHERMO SCHERMO SCHERMO SCHERMO

e naturalmente, se sei sopra (dov'e' la parola "cosi'") riesci a vedere in
quanto sei allineato ai parallelepipedi della griglia, se sei a un angolo,
circa dov'e' la parola "puppa", beh, puppa.

La cosa ganza e' che il materiale lo puoi anche tagliare a misura.

>Visto l'aumento di potenza degli smartphone, comincio a pensare che un
>filtro del genere sia d'uopo.

Beh, basta aspettare i Google Glasses che ti marchiano la password diretta
sulla retina.

Anche se mi domandavo... Van Eck + laser + analisi di fase... e per quanto
siano antirifrangenti, qualcosina quel Glass disperdera' pure... :-D

[Leonardo Serni]

On Thu, 2 May 2013 20:18:56 +0200, "Bowlingbpsl" <bow...@people.it> wrote:

>Questo blogger, BTW, mi ha fatto venire uno shock a proposito della
>pedofilia, mostrando "una semplice query google". Le sue considerazioni
>sono "un ciccinino" troppo dure

Uriel (riciclo una definizione data da un amico) e' uno che fa della logica un
uso armato :-)

E devo dire, anche quando non sono per niente d'accordo (e su alcuni topic, mi
capita spesso; su altri, mai), io imparo qualcosa. Per citare un testo che non
dovrei avere letto, "guarda il mondo con una terribile semplicita'".

Per es.,
<http://it.lavoro.informatica.narkive.com/cIvliclr/scomparsa-dell-it-dalla-tecno-tremonti-meno-investimenti-per-l-it-in-italia>

[Leonardo Serni]

On Thu, 2 May 2013 19:08:23 +0200, "Bowlingbpsl" <bow...@people.it> wrote:

>Unilì wrote:
>> Il 28/04/13 01.42, Leonardo Serni ha scritto:
>
>>> Potremmo fare un sondazzo circa "Quanti degli utenti GMail usano la
>>> twofactor auth con codice SMS?".

>BTW, dov'e' che ne parlano piu' diffusamente, che non ne ho conoscenza
>molto precisa?

Sul sito di Google: Accounts, Sicurezza, e poi mi pare ci fosse un link su
"attiva autenticazione a due fattori".

>Io rilevo anche un... pubblico "bisogno" di avere connessioni aperte. Nel
>mio piccolo, sto paranoicamente resistendo alle pressioni, ma comincio ad
>occhieggiare un certo allentamento di protezioni: agriturismo con WPA e
>cartello alla cassa con su scritta la PW. Attivissimo che suggerisce di
>fare un QRcode "per gli amici". Ristoranti vari con possibilita' di
>connessioni, oltre agli hotel ed ipermercati con autenticazione.

Allora, i nuovi AP dispongono di "separazione" - cioe', se hai tot client,
questi NON si vedono fra loro. Ho sentito addirittura dire, e tecnicamente
mi pare possibile, che l'AP da' a TUTTI gli utenti SEMPRE LO STESSO IP (mi
immagino che li distingua in base all'ARP, e usi lo stesso sistema per far
tornare le tabelle di masquerading). Per cui tu hai 192.168.1.2, e l'AP e'
192.168.1.1, e puoi anche andare alla cieca su tutti gli altri IP, che gli
fai quanto il vecchio alla vecchia... e ciascun client si autoconfigura in
modo che non potrebbe parlare con gli altri neanche se li vedesse.

Comunque, gia' con la separazione stai praticamente a posto.

Il problema e' che l'*AP* non e' sicuro. Sai mica chi lo gestisce DAVVERO,
anche il ristorante/hotel magari non lo sa (viene un bravo guaglione dalla
ditta che gli fa assistenza... un "aggiornamento firmware" si fa facile, e
neanche la ditta ne sa niente).

Soluzione: diffusione di IPv6 (sisammai), SSL e certificati.

Io mi collego all'AP insicuro, ma l'AP al massimo vede un flusso SSL dove,
dentro, manco Nostradamus ci vedrebbe niente. Autenticazione mutua, usando
una certification authority fidata, e via andare.

>Per fortuna Firesheep non e' piu' stato aggiornato. Ma avendo un Firefox
>"datato", cosa si rischierebbe?

Abbeh... quattro lettere, e finisce per "ulo" ("e non è un equino, Pivello
Gendibal").

[ObiWan]

> certo, se hai accesso fisico ai locali e/o alle macchine è tutto un
> altro paio di maniche.

beh, come dicevo, a meno che non si stia parlando di Langley (o
simili), ottenere l'accesso fisico non è impossibile (anzi in certi
casi non è neanche difficile); del resto non c'è bisogno di avere
accesso ai "servers", basta che il KL sia piazzato su qualche macchina
desktop "interessante"

> Allora tra i vari sistemi di spionaggio metti pure quello, piu'
> pulito e che non lascia tracce, di corrompere un insider che ti passa
> direttamente le informazioni a voce

Anche qui, dipende da diversi fattori e non sempre la cosa è possibile

[ObiWan]

> Io mi collego all'AP insicuro, ma l'AP al massimo vede un flusso SSL
> dove, dentro, manco Nostradamus ci vedrebbe niente. Autenticazione
> mutua, usando una certification authority fidata, e via andare.

eh... poi chi fa assistenza dell'AP lo configura in modo che per aprire
il captiveportal sia necessario accedere tramite SSL ed ovviamente usa
un bel certificato "self-signed" che ti obbliga a mettere in trust
l'AP... di qui al MiTM con generazione di certificati farlocchi al
volo, il passo è breve :)

[ObiWan]

> Io rilevo anche un... pubblico "bisogno" di avere connessioni aperte.
> Nel mio piccolo, sto paranoicamente resistendo alle pressioni, ma
> comincio ad occhieggiare un certo allentamento di protezioni:
> agriturismo con WPA e cartello alla cassa con su scritta la PW.

Come ha scritto Leo, ti serve un AP che abbia la "client separation"; a
quel punto, volendo avere una WiFi "per gli ospiti" ed una tua, avresti
DUE AP connessi più o meno...

internet
|
Firewall Internet---AP ospiti (DMZ)
|
+---AP chiuso
|
LAN

in pratica il tuo AP sarà "chiuso" (WPA2 e tutto il resto) mentre
quello per gli ospiti potrà essere "aperto" ma, non solo avrà la client
isolation (per cui i vari clients NON si vedranno tra loro) ma avrà
anche delle limitazioni di banda e di porte (impostate sul firewall) in
modo sia da impedire che la connex "ospiti" possa essere usata per
servizi non ammessi (SMTP, P2P, ecc...) ma che comunque la rete ospiti
non possa "saturarti la banda WAN"

[Bowlingbpsl]

ObiWan wrote:
>> Io rilevo anche un... pubblico "bisogno" di avere connessioni aperte.
>> Nel mio piccolo, sto paranoicamente resistendo alle pressioni, ma
>> comincio ad occhieggiare un certo allentamento di protezioni:
>> agriturismo con WPA e cartello alla cassa con su scritta la PW.
>
> Come ha scritto Leo, ti serve un AP che abbia la "client separation";
> a quel punto, volendo avere una WiFi "per gli ospiti" ed una tua,
> avresti DUE AP connessi più o meno...

Bello. L'unico che ci assomigli vagamente, e' un router di FON, che ho
notato avere due reti (pubblica e privata), ma ignoro se fa separazione.
Mi piacerebbe metterci le mani. Ci sono varie categorie: distinguiamo tra
i "semplici" estranei ed i conoscenti a cui non puoi fare la scortesia di
negare la PW del wifi. E' tutta gente che non arriva manco al "livello 1"
dell'Uriel succitato (l'arcangelo che condivide, assieme a Dio, il il
motivo del perche' il Male e' libero nel mondo. Evocativo), ma... insomma.
Una volta che hai detto a tre persone la PW WPA, e' possibile che la
sappiano "tutti".
Cosi' e' "bene" allargarsi. Non sono piu' i tempi in cui avevo du' picci',
massimo tre e nemmeno sempre accesi (ed usavo il semplice netbeui. E
quando lo scrivevo, ottenevo l'Effetto Blucker!). La rete sta diventando
sempre piu' complessa. I tempi cambiano.

Hai qualche idea di qualcuno che li venda in Italia? Non mi pare che siano
facilmente reperibili manco in "iper" tipo Expert ed altro di elettronica
"consumer". Gia' li' trovare un router wifi "top gamma" e' impossibile.

> in pratica il tuo AP sarà "chiuso" (WPA2 e tutto il resto) mentre
> quello per gli ospiti potrà essere "aperto" ma, non solo avrà la
> client isolation (per cui i vari clients NON si vedranno tra loro) ma
> avrà anche delle limitazioni di banda e di porte (impostate sul
> firewall) in modo sia da impedire che la connex "ospiti" possa essere
> usata per servizi non ammessi (SMTP, P2P, ecc...) ma che comunque la
> rete ospiti non possa "saturarti la banda WAN"

Ecco. QUESTO mi piace: liberta' si, ma senza abusi. E potrei pure
assegnare agli ospiti un IP diverso dal "mio" (ne dovrei avere 5
disponibili da contratto).

Fabrizio

[ObiWan]

> > Come ha scritto Leo, ti serve un AP che abbia la "client
> > separation"; a quel punto, volendo avere una WiFi "per gli ospiti"
> > ed una tua, avresti DUE AP connessi più o meno...
>
> Bello. L'unico che ci assomigli vagamente, e' un router di FON, che
> ho notato avere due reti (pubblica e privata), ma ignoro se fa

scusa ma perchè "UN router" ? Vedi, ti basterebbero un paio di AP
(anche SENZA "modem ADSL") ed un firewall/router/nat decente che abbia
per lo meno tre porte di rete (LAN, DMZ e WAN o LAN, DMZ ed ADSL), più,
eventualmente (ma non farebbe male) uno switch (vedi il "+" nello
schema del post precedente)

> separazione. Mi piacerebbe metterci le mani. Ci sono varie categorie:
> distinguiamo tra i "semplici" estranei ed i conoscenti a cui non puoi
> fare la scortesia di negare la PW del wifi.

Uh... quale "pw", gli dici "l'ID di rete è 'satanasso666' e non c'è
alcuna password"; non si offendono (ok, magari l'ID di rete avrà un
nome diverso :D) e tu NON devi fornirgli alcuna password :)

> arriva manco al "livello 1" dell'Uriel succitato (l'arcangelo che
> condivide, assieme a Dio, il il motivo del perche' il Male e' libero
> nel mondo. Evocativo), ma... insomma. Una volta che hai detto a tre

Si vabbè, lasciamo stare Uriel, credo abbia da fare, è un pochino che
non lo sento :)

> > in pratica il tuo AP sarà "chiuso" (WPA2 e tutto il resto) mentre
> > quello per gli ospiti potrà essere "aperto" ma, non solo avrà la
> > client isolation (per cui i vari clients NON si vedranno tra loro)
> > ma avrà anche delle limitazioni di banda e di porte (impostate sul
> > firewall) in modo sia da impedire che la connex "ospiti" possa
> > essere usata per servizi non ammessi (SMTP, P2P, ecc...) ma che
> > comunque la rete ospiti non possa "saturarti la banda WAN"
>
> Ecco. QUESTO mi piace: liberta' si, ma senza abusi. E potrei pure
> assegnare agli ospiti un IP diverso dal "mio" (ne dovrei avere 5
> disponibili da contratto).

Beh, se hai più di un singolo IP, oltre ad isolare gli ospiti, potresti
fare in modo di farli uscire su un indirizzo IP diverso da quello usato
per la tua "rete privata" o per qualsivoglia altro servizio, non è che
ci voglia poi molto; per quanto poi riguarda gli AP ed il resto, non ti
serve nulla di speciale, se riguardi lo "schemino" e ci pensi un attimo
ti accorgerai che, a meno di esigenze particolari, il tutto si mette in
piedi con roba "standard"

[Leonardo Serni]

On Fri, 3 May 2013 08:59:31 +0200, ObiWan <alb.20.t...@spamgourmet.com>
wrote:

>> Io mi collego all'AP insicuro, ma l'AP al massimo vede un flusso SSL
>> dove, dentro, manco Nostradamus ci vedrebbe niente. Autenticazione
>> mutua, usando una certification authority fidata, e via andare.

>eh... poi chi fa assistenza dell'AP lo configura in modo che per aprire
>il captiveportal sia necessario accedere tramite SSL ed ovviamente usa
>un bel certificato "self-signed" che ti obbliga a mettere in trust
>l'AP...

Ma mica diventa una Certification Authority, eh :-)

La necessita' di autorizzare l'AP a full t(h)rust rientra IMO fra le
clausole vessatorie: e' come dire che un albergo t'offre l'uso della
piscina, MA per usufruirne devi sottostare alle voglie del bagnino.

Oppure che tutte le camere hanno una chiave, nel senso che e' sempre
la stessa e una sola chiave apre tutte le porte... che e' un esempio
anche migliore.

E, si', questo e' il genere di cosa per la quale io rompo l'anima ai
maitre d'hotel :-)

[Leonardo Serni]

On Fri, 3 May 2013 10:20:24 +0200, "Bowlingbpsl" <bow...@people.it> wrote:

>motivo del perche' il Male e' libero nel mondo. Evocativo), ma... insomma.
>Una volta che hai detto a tre persone la PW WPA, e' possibile che la
>sappiano "tutti".

Infatti in quel caso ti conviene fare una cosa diversa, e usare (ovvove!
ovvove!) una rete aperta, oppure una WPA2 con password nota.

Ma l'AP ti da' solo accesso a un "captive portal" (ci sono immagini CD e
DVD da masterizzare su PC anche scrausi). E quello ti chiede una SECONDA
password. Che e' gestita in maniera molto diversa.

Per esempio alcuni sistemi hanno una "master console" dove tu premi "P",
e quello ti mostra una sequenza di otto caratteri che e' una password...
e che lo rimarra' per due ore. Poi scade.

Avòllia, di darla a qualcun altro :-)

[Leonardo Serni]

On Fri, 03 May 2013 18:53:27 +0200, Unilì <ste...@nospam-u.it> wrote:

>> Allora, i nuovi AP dispongono di "separazione" - cioe', se hai tot client,
>> questi NON si vedono fra loro.

>Non capisco, una volta che hai la passkey in quanto cliente, se metti la
>scheda in modo promiscuo e scarichi tutto il traffico non puoi
>decrittare quello degli altri?

No: dovresti essere abbastanza vicino al client vittima per captare anche il
suo segnale fin dall'inizio, e decifrare la temporary master key, che cambia
ogni volta.

Comunque, se riprendi il mio messaggio originale, concludevo che comunque la
cifratura della connessione non era sufficiente, in generale.

[ObiWan]

> >eh... poi chi fa assistenza dell'AP lo configura in modo che per
> >aprire il captiveportal sia necessario accedere tramite SSL ed
> >ovviamente usa un bel certificato "self-signed" che ti obbliga a
> >mettere in trust l'AP...
>
> Ma mica diventa una Certification Authority, eh :-)

Beh.. supponi che il certificato sia stato generato dalla CA di nome
"Banda Bassotti" che che, per poter accedere al captive portal tu
debba mettere in trust tale CA (e no, non è una roba strana, capita
sul serio); a quel punto...

> E, si', questo e' il genere di cosa per la quale io rompo l'anima ai
> maitre d'hotel :-)

Nah... io uso la mia bella VPN su porte "normali" e via e, se non
posso, uso altra connettività (e la mia VPN :D)

[Gabriele]

On 3 Mag, 10:20, "Bowlingbpsl" <bowl...@people.it> wrote:
> ObiWan wrote:
> >> Io rilevo anche un... pubblico "bisogno" di avere connessioni aperte.
> >> Nel mio piccolo, sto paranoicamente resistendo alle pressioni, ma
> >> comincio ad occhieggiare un certo allentamento di protezioni:
> >> agriturismo con WPA e cartello alla cassa con su scritta la PW.
>
> > Come ha scritto Leo, ti serve un AP che abbia la "client separation";
> > a quel punto, volendo avere una WiFi "per gli ospiti" ed una tua,
> > avresti DUE AP connessi più o meno...
>
> Bello. L'unico che ci assomigli vagamente, e' un router di FON, che ho
> notato avere due reti (pubblica e privata), ma ignoro se fa separazione.

[cut]

A me pare che sto discorso sia stato affrontato altre volte sul NG
wireless e a occhio direi che sta cosa è proprio quello che fa ade s.
il GuestGate di Intellinet.
I PC ospiti sono separati tra loro e separati dalla tua LAN, ma puoi
dare accesso ad es. ad una stampante dal tuo lato; poi bloccare alcuni
servizi, limitare la banda e cose così.
Ti serve? :)

ciao
Gabriele

[Bowlingbpsl]

Unil� wrote:
> Il 03/05/13 10.20, Bowlingbpsl ha scritto:

>
>>
>> Bello. L'unico che ci assomigli vagamente, e' un router di FON,
>

> Stai parlando del fritz avm?

Ergh... ah, i cordless fritz si chiamano "fon". Oh, well... carino il
router fritz. Forse dovrei considerare di acquistarlo, a mo' di "router
definitivo". Per pigrizia, dovrei trovare un rivenditore italiano...

Intendevo... un ricordo polveroso di anni fa.
https://www.fon.com/it/

Non ho approfondito, ma a giudicare dagli errori 404, sembrerebbe un
servizio abbandonato.

Fabrizio

[Bowlingbpsl]

Leonardo Serni wrote:
> On Fri, 3 May 2013 10:20:24 +0200, "Bowlingbpsl" <bow...@people.it>
> wrote:

> Per esempio alcuni sistemi hanno una "master console" dove tu premi
> "P",
> e quello ti mostra una sequenza di otto caratteri che e' una
> password...

Si, il classico accesso da hotel.
Dov'e' che ci sono le ISO gia' pronte da scaricare, scusa? Mi rendo conto
che, appena ti "distrai" un attimo, la tecnologia avanza un po' troppo
velocemente. O forse sto invecchiando io.
Altri tempi quelli in cui sapevo a memoria le differenze tra Pentium e
Pentium MMX...

Fabrizio

[Bowlingbpsl]

ObiWan wrote:

>> Bello. L'unico che ci assomigli vagamente, e' un router di FON, che
>> ho notato avere due reti (pubblica e privata), ma ignoro se fa

> scusa ma perch� "UN router" ? Vedi, ti basterebbero un paio di AP

Dici che ho sbagliato a non prendere ad una fiera un AP che dichiarava
"fino a quattro ID di rete diversi"?
Ma anche li'... sono 4, non 40.

> Uh... quale "pw", gli dici "l'ID di rete � 'satanasso666' e non c'�
> alcuna password"; non si offendono (ok, magari l'ID di rete avr� un

> nome diverso :D) e tu NON devi fornirgli alcuna password :)

Mgia', ma se gli racconto una frottola poi tornano. :-D
No, qui mi ci vuole qualcosa di adatto ai tempi. Che garantisca un livello
di sicurezza accettabile.

> Si vabb�, lasciamo stare Uriel, credo abbia da fare, � un pochino che
> non lo sento :)

Lo leggo con interesse, da quando l'ho scoperto. La sua forza ed insieme
debolezza, secondo me, e' la sua visione diciamo... "informatica col
classico difetto di comunicazione". E' un punto di vista che puo' sembrare
a volte scollato dalla realta', ma un po' come Sgarbi, e' importante come
confronto.
Scioccante quello sulla pedofilia e sulla "semplice ricerca Google", anche
se non condivido il suo parlare al plurare e dare delle "troiette" a
destra ed a manca. Si vede che non ha figli. BTW, da quello che ho
chiesto, nessuno conosce i "magic numbers" che ti ricaricano i cellulari
in cambio di foto. Ma adesso che lo so, so che domande fare e so anche a
chi farlo sapere, "nel caso". Utile, ecco. Ma non c'entra niente col
discorso. :-)

> Beh, se hai pi� di un singolo IP, oltre ad isolare gli ospiti,

> potresti fare in modo di farli uscire su un indirizzo IP diverso da
> quello usato per la tua "rete privata" o per qualsivoglia altro

> servizio, non � che ci voglia poi molto; per quanto poi riguarda gli

> AP ed il resto, non ti serve nulla di speciale, se riguardi lo
> "schemino" e ci pensi un attimo ti accorgerai che, a meno di esigenze
> particolari, il tutto si mette in piedi con roba "standard"

Diciamo che c'e' qualcosa che non ho capito... ed oltre al router che deve
gestire il tutto, non capisco ancora come separare ogni utenza connessa
all'AP wifi.
Forse e' un falso problema e non conosco (e/o "nel mio router non c'e'")
quella funzione.

Del resto, in passato ho tentato di capire come mettere su m0n0wall... e
non ci sono riuscito. Alla fine, per quel link con due Gigaset M100 che
ricorderai, ho trovato la soluzione con XP, W2000 e persino W98. Ed ha
sempre funzionato, finche' mi e' servito, il che ha dimostrato, molti anni
dopo l'idea piu' o meno teorica letta nel NG wireless, che un link stabile
a 128 Kbit a centinaia di metri in mezzo a palazzi era possibilissimo in
epoca precedente al wifi.

Forse mi ci vuole Gabriele... ;-)

Fabrizio

[ObiWan]

> >> Bello. L'unico che ci assomigli vagamente, e' un router di FON, che
> >> ho notato avere due reti (pubblica e privata), ma ignoro se fa

> > scusa ma perchè "UN router" ? Vedi, ti basterebbero un paio di AP

> Dici che ho sbagliato a non prendere ad una fiera un AP che
> dichiarava "fino a quattro ID di rete diversi"?
> Ma anche li'... sono 4, non 40.

più che altro, metter su un unico scatolo con tutte le funzionalità
necessarie potrebbe avere degli svantaggi, sia dal punto di vista dei
costi finali (alla fine usando AP separati potresti usare dei "normali"
apparati) sia da quello del fam[igerato|oso] "single point of failure"
nel senso che se si scassa lo "scatolo" ...

> > Uh... quale "pw", gli dici "l'ID di rete è 'satanasso666' e non c'è

> > alcuna password"; non si offendono (ok, magari l'ID di rete avrà un

> > nome diverso :D) e tu NON devi fornirgli alcuna password :)

> Mgia', ma se gli racconto una frottola poi tornano. :-D
> No, qui mi ci vuole qualcosa di adatto ai tempi. Che garantisca un
> livello di sicurezza accettabile.

Uh... frottola ? No, gli dici quale è l'ID di rete, nessuna password,
si connettono e si accorgono da soli che non è una frottola; certo,
potresti anche pensare ad un AP con "ticketing" di quelli che ti
permettono di generare chiavi di accesso "al volo" e con una durata
ben definita, ma... ti serve sul serio (nel tuo caso) una roba del
genere ?

> Diciamo che c'e' qualcosa che non ho capito... ed oltre al router che
> deve gestire il tutto, non capisco ancora come separare ogni utenza
> connessa all'AP wifi.

Beh... per la separazione devi prendere un AP "per gli ospiti" che
supporti la cosiddetta "client isolation"; in buona sostanza tale
funzionalità esamina i pacchetti e controlla i MAC address impedendo
che due client wireless possano comunicare tra loro e permettendo agli
stessi solo l'accesso "verso internet"; non che sia un sistema di
sicurezza "blindato" ma per un AP pubblico è ... accettabile :D

> Del resto, in passato ho tentato di capire come mettere su
> m0n0wall... e non ci sono riuscito. Alla fine, per quel link con due

non è che ci voglia uno scienziato per metter su m0n0; basta un
PC, anche scrauso con due o più schede di rete ed un HD; video e
tastiera servono solo per il setup; avvii il PC dal CD di setup di m0n0
ed in pochi minuti configuri il tutto ma... vabbè :P

[Roberto Tagliaferri]

Bowlingbpsl wrote:

> Lo leggo con interesse, da quando l'ho scoperto. La sua forza ed insieme
> debolezza, secondo me, e' la sua visione diciamo... "informatica col
> classico difetto di comunicazione". E' un punto di vista che puo' sembrare
> a volte scollato dalla realta', ma un po' come Sgarbi, e' importante come
> confronto.
> Scioccante quello sulla pedofilia e sulla "semplice ricerca Google", anche
> se non condivido il suo parlare al plurare e dare delle "troiette" a
> destra ed a manca. Si vede che non ha figli. BTW, da quello che ho
> chiesto, nessuno conosce i "magic numbers" che ti ricaricano i cellulari
> in cambio di foto. Ma adesso che lo so, so che domande fare e so anche a
> chi farlo sapere, "nel caso". Utile, ecco. Ma non c'entra niente col
> discorso. :-)
>

Non � il non avere figli.. basta aprire il giornale: Quando la figlia gira con
l'iphone 5 che tu NON gli hai comperato, o che � sempre attaccata al
telefono ma tu NON gli fai le ricariche, o quando ha dei bei vestiti firmati
che tu NON gli hai comperato e non ti chiedi dove li prende... b�, buol dire
che [a] non hai insegnato nulla ai figli e [b] ti metti delle bette fette di
salamella sugli occhi.
Questo � emblematico:
http://goo.gl/z3mv1
leggi l'ultimo capoverso: Manco si erano accorti i genitori che la figlia
molto minorenne stava per partire per le ferie con 2 adulti?

--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
www.robyt.eu

[Leonardo Serni]

On Mon, 6 May 2013 10:53:55 +0200, "Bowlingbpsl" <bow...@people.it> wrote:

>Scioccante quello sulla pedofilia e sulla "semplice ricerca Google", anche
>se non condivido il suo parlare al plurare e dare delle "troiette" a
>destra ed a manca. Si vede che non ha figli.

La forma corretta e' "Si sarebbe detto che non avesse figli" ;-D

>BTW, da quello che ho chiesto, nessuno conosce i "magic numbers" che ti ricaricano
>i cellulari in cambio di foto.

(Che sappia io c'e' stato un caso qui appena fuori porta, un annetto fa)

>Diciamo che c'e' qualcosa che non ho capito... ed oltre al router che deve
>gestire il tutto, non capisco ancora come separare ogni utenza connessa
>all'AP wifi.
>Forse e' un falso problema e non conosco (e/o "nel mio router non c'e'")
>quella funzione.

Ripeto - conviene una distro ottimizzata per fare AP. Io a quegli AP gli
voglio bene, pero' oh, se 'un c'hanno la birra, 'un ce l'hanno. E' tanta
roba da fare e da pensare: falla fare ad una macchina con CPU & RAM. Sia
la facilita' d'uso che le prestazioni ti ringrazieranno.

Poi, non che ti serva a te, ma si puo' fare un monte di log: e non serve
il 99.999...999% del tempo - poi arriva il giorno che fare la figura del
bbravo ggiovine che registra diligentemente tutto ti viene utile. Almeno
per non sembrare invece il criminale che dava accesso ai terroristi atei
e musulmani, che finanziano la pIedofilia con i miGliardi ricavati dalla
diffusione gratuita di software pirata.

[Leonardo Serni]

On Mon, 6 May 2013 10:26:49 +0200, "Bowlingbpsl" <bow...@people.it> wrote:

>Dov'e' che ci sono le ISO gia' pronte da scaricare, scusa?

"Ce n'ho di divelse qualita'".

EasyHotSpot: http://sourceforge.net/projects/easyhotspot/

NetCop UTM/WiFi: http://sourceforge.net/projects/netcop/

Zer0shell: http://www.zeroshell.org/

La versione piu' "facile" penso sia la prima.

[ObiWan]

> >Dov'e' che ci sono le ISO gia' pronte da scaricare, scusa?
>
> "Ce n'ho di divelse qualita'".
>
> EasyHotSpot: http://sourceforge.net/projects/easyhotspot/
>
> NetCop UTM/WiFi: http://sourceforge.net/projects/netcop/
>
> Zer0shell: http://www.zeroshell.org/
>
> La versione piu' "facile" penso sia la prima.

uhm... PFSense non ti piace :) ?

[Leonardo Serni]

On Mon, 6 May 2013 15:28:24 +0200, ObiWan <alb.20.t...@spamgourmet.com>
wrote:

Celo, e pfSense e' una bellissima bestiola, ma il captive portal, nonostante
il tut0rial etc,

http://www.pfsenseitaly.com/2012/08/accesso-wifi-con-captive-portal-e_30.html

non e' cosi' facile come sembra (collegarlo alla WiFi piu' che altro). Words
my mind.

Leonardo che *non* ha detto che non ci si riesca, eh!

[ObiWan]

> >> EasyHotSpot: http://sourceforge.net/projects/easyhotspot/
> >> NetCop UTM/WiFi: http://sourceforge.net/projects/netcop/
> >> Zer0shell: http://www.zeroshell.org/

> >uhm... PFSense non ti piace :) ?
>
> Celo, e pfSense e' una bellissima bestiola, ma il captive portal,
> nonostante il tut0rial etc,
>
> http://www.pfsenseitaly.com/2012/08/accesso-wifi-con-captive-portal-e_30.html
>
> non e' cosi' facile come sembra (collegarlo alla WiFi piu' che
> altro). Words my mind.

beh, magari c'è da smanazzare qualche minuto in più, ma credo ne valga
la pena; in alternativa, ci sarebbe anche la possibilità di usare
DD-WRT (o OpenWRT che sia) installandolo su un AP compatibile

[Leonardo Serni]

On Tue, 7 May 2013 14:52:05 +0200, Arne Saknussemm
<motz001.2...@spamgourmet.com> wrote:

>>> Si vede che non ha figli.

>> La forma corretta e' "Si sarebbe detto che non avesse figli" ;-D

>Uh ? "si direbbe che non abbia" no eh :) ?

No. In altre circostanze avresti potuto avere ragione tu e avrebbe potuto
aver ragione lui, ma... queste non sono altre circostanze :-)

Leonardo pignolo & pedante

[issdr]

"Bowlingbpsl" wrote:

> Bello. L'unico che ci assomigli vagamente, e' un router di FON, che ho
> notato avere due reti (pubblica e privata), ma ignoro se fa separazione.

dd-wrt

molti router/ap con doppia antenna possono funzionare con questo firmware
open, fa questo e molte altre cose

--
np: Enzo Favata - Tres Nuraghes