WARP la VPN di Cloudflare per il Mobile

Warp la VPN Mobile di Cloudflare

 

Cloudflare e’ ormai un’azienda affermata, tanto quanto Akamai o Amazon…..; in pratica CloudFlare è un sistema di reverse proxy con funzioni di CDN (Content Delivery Network), è dunque un servizio che si interpone tra il server dove viene ospitato il tuo sito ed i tuoi visitatori, svolgendo anche funzioni di caching, velocizzando cosi ulteriormente le performance del tuo sito.
Ma non si limita alla distribuzione dei contenuti statici (come potrebbe fare una normale CDN), infatti offre numerose funzionalità per aumentare la sicurezza, ottimizzare i siti, velocizzare le risoluzioni dei DNS e proteggerti dagli attacchi DDOS.

Ad oggi, con oltre il 39% dei domini DNS gestiti, Cloudflare gestisce una delle più grandi e autorevoli reti DNS al mondo, non a caso Cloudflare ha sviluppato un servizio di risoluzione “DNS Resolver” ad hoc (il famoso IP 1.1.1.1) che nulla ha da invidiare a quello di Google o di OpenDNS.

Non pago, Cloudflare, dopo aver lanciato il suo DNS Resolver 1.1.1.1, si è focalizzata nello sviluppo di soluzioni consumer per migliorare la privacy e la sicurezza per la navigazione sul web, infatti e’ notizia recente che 1.1.1.1 DNS è solo un tassello di una strategia ben più vasta di Cloudflare, e proprio in questi giorni infatti l’azienda ha lanciato il suo nuovo servizio VPN, chiamato WARP, pensato appositamente per gli utenti mobile.

Possiamo affermare in tutta tranquillita’ che oggi, gran parte degli utenti di Internet utilizza uno smartphone per interfacciarsi con la Rete. Tuttavia i protocolli Internet, come ad esempio il TCP, sono stati progettati in modo specifico per delle reti wired (rete standard cablata LAN) quindi non riescono ad offrire le medesime performance con le grandi reti wireless.

E’ per questo motivo che il team di Cloudflare ha sviluppato un servizio VPN ottimizzato per i dispositivi che sfruttano unicamente le reti wireless, come appunto gli smartphone. Warp è stato creato basandosi sul protocollo UDP (User Datagram Protocol) e su WireGuard, che e’ il successore di OpenVPN (ne parleremo nel prossimo articolo).

Le caratteristiche del protocollo UDP sono le seguenti:

  • E’ un protocollo non orientato alla connessione, utilizzato quando l’affidabilità, il cui controllo viene richiesto ai protocolli applicativi che ne fanno uso, non è il target primario.

Ma se per il protocollo UDP l’affidabilita’ non e’ il target primario, perche’ e’ stato scelto proprio questo protocollo, rispetto al TCP ??

Perché UDP

Come appena spiegato, a differenza del TCP, UDP ha la caratteristica di essere ” connection less “, inoltre non si occupa di gestire il riordinamento dei pacchetti né la ritrasmissione di quelli persi.

Per tali motivi solitamente è considerato meno affidabile di TCP, tuttavia UDP è molto rapido nelle sue operazioni, visto che non presenta latenza per il riordino e la ritrasmissione. Quindi risulta essere molto efficiente quando implementato, ad esempio, nei sistemi VOIP.

Perché WireGuard

WireGuard e un protocollo che implementa una virtual private network per creare connessioni sicure Point-to-Point in configurazione routed o bridged. Inoltre viene eseguito come modulo nel kernel Linux ed in certi contesti permette di avere prestazioni migliori rispetto ad altri protocolli simili come i ben piu’ conosciuti IPsec o OpenVPN.

WireGuard utilizza alcune specifiche tecnologie per la gestione della criptografia come, Curve25519 per lo scambio chiavi, ChaCha20 e Poly1305 per l’autenticazione e BLAKE2s per l’hashing. Queste permettono a WireGuard di impattare in modo molto contenuto sui consumi energetici e di rete dei dispositivi mobile.

Perche’ WARP

Perche’ Warp, non solo permette di ottenere buone performance con gli smartphone, ma offre anche tutte le features di privacy e sicurezza disponibili con il servizio DNS Resolver 1.1.1.1.

Dopo i tanti scandali sulla privacy, possiamo aggiungere con un certo piacere che, tra le caratteristiche di Warp c’e’ quella di non salvare i log di navigazione degli utenti, poiche’ il suo modello di business non è incentrato sulla vendita di dati a società terze, prova ne e’ che non è nemmeno necessario inserire i propri dati personali per utilizzare l’applicazione associata.

Attualmente Warp è gratuito anche se il team di Cloudflare è al lavoro per realizzare anche un servizio premium chiamato Warp+, basato sul virtual private backbone dell’azienda californiana e sulla tecnologia Argo.

CITRIX databreach – Rubati 6 Terabyte di dati

Citrix databreach 6 Terabyte rubati

CyberWar, questo potrebbe essere il titolo di meta’ delle notizie che hanno a che fare con attacchi informatici di ogni genere, sia che siano diretti ad enti governativi o di Inteligence o che vadano a colpire grandi aziende.
Questo perche’ la CyberSecurity passa prima di tutto dalle aziende responsabili della creazione e dello sviluppo delle piattaforme informatiche/web che sempre piu’ quotidianemente usiamo ed useremo.

Pensando ai danni che potranno accadere con lo sviluppo delle tecnologie IoT, se non verranno ben gestite, il futuro digitale sembra vivere un momento di forte confusione. Ma veniamo alla notizia di qualche giorno fa.

L’attacco questa volte e’ avvenuto ai danni di Citrix, ed e’ di nuovo allarme sicurezza a livello mondiale, poiche’ questa volta la vittima è una di quelle aziende popolari, cosi come Facebook o Amazon, in quanto Citrix  e’ un’ azienda d’importanza e di forte impatto nel mercato delle soluzioni per la virtualizzazione desktop e server.

L’attacco e’ cosi importante, non soltanto per la quantita’ di dati sottratti, ma perche’ molti, o la stragrande maggioranza di essi, sono documenti tecnici di progettazione, che potrebbero quindi essere usati per accedere ai sistemi dei clienti che utilizzano le piattaforme Citrix. Tanto importante, dicevamo, che a gestire le indagini e’ intervenuta direttamente l’FBI, cosi come riportato anche in un’articolo di Forbes:
Why The Citrix Breach Matters And What To Do Next

Citrix ha immediatamente dichiarato di essere al lavoro per far rientrare l’allarme, ed ha aperto un’indagine interna, di tipo forense, per poter capire cosa e come sia successo.

Di per se a noi che non siamo direttamente coinvolti poco importa il COME, anche se lascia comunque basiti del fatto che, in pratica, non esiste alcune azienda che non sia attaccabile, sembra soltanto che sia piu’ una questione di tempo, di QUANDO questo succedera’.

In questo specifico caso, sembra che gli attaccanti avrebbero usato una tattica chiamata “password spraying”, in cui vengono sfruttate le password deboli per ottenere accesso al sistema, anche se limitato, per poi, successivamente, trovare il modo per aggirare i sistemi di sicurezza e fare escalation sul sistema vittima.

Quello che vorrei evidenziare, piu’ dell’attacco in se e piu’ ancora dell’azienda che e’ stata vittima, e’ che oggi giorno dovremmo tutti capire che Internet ( ossia il luogo in cui tutti noi ci scambiamo informazioni lavorative e/o personali ) e’ visto dagli altri “competitor” come un vero e proprio campo di battaglia, questo perche’ “la Rete” si e’ trasformata nel “Quinto Dominio Militare”, infatti il Cyberspazio è oramai da considerarsi la nuova frontiera della Guerra tra stati, un dominio in carenza di regolamentazione, dove i danni collaterali (le vittime ignare) siamo noi.

Consiglio a tutti la visione e l’ascolto di questo ottimo video che s’intitola per l’appunto GUERRA DIGITALE
con Matteo Flora & Stefano Mele.

Tecniche OSINT per ricavare informazioni dai Social

OSINT Facebook

Partiamo con un esempio, chi non ha mai visto un Film od una serie TV poliziesca in cui durante l’arresto, l’agente di turno elenca i “diritti” tra i quali c’e’ l’immancabile “tutto ciò che dirai potrà essere usato contro di te“; ecco oggi le informazioni che tutti noi riversiamo “volutamente” sui social hanno lo stesso effetto/valore.

Infatti, gia da un po’ di tempo, i Recruiter sono ormai soliti fare non poche indagini sui candidati, non soltanto verificando le competenze indicate sui profili Linkedin ma incrociando i “comportamenti” delle persone in base a cio che postano, le foto che condividono, i commenti che lasciano, i gruppi a cui sono iscritti e molto molto altro.

Le tecniche OSINT permettono di ricavare informazioni da fonti pubbliche come:

  • Mezzi di comunicazione – riviste, televisione, giornali, radio e siti web
  • Dati pubblici – dati demografici, rapporti dei governi, piani finanziari, conferenze stampa etc…..
  • Motori di ricerca e community

Molti sapranno gia dell’esistenza di tools come Maltego, Netglub, Lampyre ed altri, che permettono di effettuare ricerche di vario genere, incrociandole tramite parole chiave su piu’ motori/social diversi.
Molti di questi sono a pagamento e quindi fuori dalla portata di molti, ma anche sulle piattaforme Social è possibile ricavare informazioni, in modo diretto, senza per forza far riferimento a software del settore come Maltego e relativi Transform.

Tra le piattaforme Social di libero accesso a tutti, che meglio si prestano all’uso di queste tecniche per la raccolta d’informazioni, c’e’ proprio Facebook.

Chiariamo quindi subito che nell’esempio che faremo adesso, verranno evidenziate alcune informazioni, prese da profili “PUBBLICI”, le cui INFO a cui avremo accesso, sono state lasciate “di libero accesso” nella configurazione delle Impostazioni/Privacy di Facebook.
Questo articolo serve solo ad evidenziare quanto sia importante essere sempre a conoscenza delle regole di condivisione delle nostre informazioni che “regaliamo” volontariamente ai social media.

“In questo articolo verrà quindi illustrato un procedimento che potrà poi essere, eventualmente, automatizzato in completa autonomia, scrivendo qualche riga di codice o semplicemente creandosi un form in HTML, o altro”.

La procedura che da qui in avanti chiameremo come “Facebook OSINT” si avvale quindi di due grosse macro-categorie:

  • Google Dork
  • Manipolazione delle URL

N.B. : Le dork sono definite come testi di ricerca, preparati in modo limitato per lo scopo, composte da diverse keywords, che vengono immesse in un motore di ricerca per avere dei risultati specifici. Le dorks vengono dunque utilizzate principalmente per affinare i risultati di ricerca, al fine di avere link più specifici.

Dato che stiamo parlando di Facebook OSINT, quale miglior esempio che vederne il funzionamento cercando proprio maggiori informazioni sul profilo di Mark Zuckerberg.

Il primo passo è quello di cercare il codice numerico (ID) dell’utente Facebook da noi prescelto, in modo da poterlo utilizzare nell’URL di ricerca; per poter fare cio’ bisognera’ collegarci al nostro account FB e lasciarlo aperto, successivamente ci sposteremo su questo sito
[ https://findmyfbid.com/ ] a cui risponde il servizio “Find your Facebook ID” ed inseriamo nel campo Ricerca il link preso da FB, inerente l’utente su cui vogliamo fare ricerche, nel seguente modo: https://www.facebook.com/zuck

Premendo “Find numeric ID” ci verra’ ritornato un numero, come questo

che adesso potremo utilizzare in diverse forme, come le seguenti, ecco un piccolo elenco di ricerche da effettuare:

  • Luoghi visitati
    [https://facebook.com/search/User ID/places-visited]
  • “Mi Piace” alle pagine
    [https://facebook.com/search/User ID/pages-liked]
  • Commenti ai post
    [https://facebook.com/search/User ID/stories-commented]
  • Post dell’utente
    [https://facebook.com/search/User ID/stories-by]
  • Video dell’utente
    [https://facebook.com/search/User ID/videos-of]
  • Commenti alle foto
    [https://facebook.com/search/User ID/photos-commented]

….etc, la lista delle ricerche possibili e’ molto lunga, basta fare una ricerca e troverete tutte le altre possibilita’.

Per concludere, non sottovalutate mai cio che state pubblicando, siatene sempre consci, poiche’ “una volta su Internet….una vita sul Web”, tenete sempre sott’occhio le vostre impostazioni sulle Privacy ed ogni nuova modifica del social network che state usando.

Good Luck !

La Russia si disconnette da Internet

URSS_disconnect_internet

La Russia di disconnette da Internet

Negli ultimissimi giorni, campeggia su molte testate occidentali (quali webnews, wired….) la notizia per cui la Russia si starebbe preparando ad affrontare un “test” molto particolare, soprattutto in questa era di Internet mondiale, secondo cui dovrebbero “disconnettere l’intera nazione da Internet” cosi da poter verificare la loro “capacita’ di rispondere ad un’eventuale attacco cyber” , testando al tempo stesso l’autonomia e la sicurezza della loro rete interna (Runet).

A riportare questa notizia e’ stato un’articolo comparso sul sito dell’agenzia di stampa russa RBK .

Questa idea, nata gia nel 2017, e’ scaturita in una proposta di legge presentata a fine 2018, che ha come scopo quello di creare misure protettive per lo spazio internet russo entro il 2020.

L’attuazione di questo progetto di legge potrebbe cambiare radicalmente il sistema di organizzazione dello scambio di traffico internet del paese, in quanto sarà il servizio federale per la supervisione delle comunicazioni  (Roskomnadzor) a decretare in quali punti di scambio esso dovrà passare e come dovra’ essere gestito.

Per la messa in opera, in tempi brevi, di questo progetto anche il governo russo ha dovuto aggiungere alcune modifiche al decreto di legge, tra le quali , l’accettazione da parte del governo russo di coprire i costi che gli ISP dovranno sostenere per aggiornare tutte le infrastrutture ed installare i nuovi server.

A guidare questo gruppo di lavoro, secondo quanto riferiscono i media russi, c’è Natalya Kaspersky, direttrice della società di sicurezza informatica russa Info Watch e cofondatrice di Kaspersky Lab.

La disconnessione dal resto del mondo, si apprende da alcune fonti russe, dovrebbe avvenire attorno ad aprile 2019, anche se non è stata ancora comunicata la data ufficiale, ma se il test dovesse dare i risultati auspicati dalle autorità russe, il Governo di Mosca darà continuità al progetto, sino ad arrivare all’obiettivo finale di “autodeterminazione” della Rete.

Il governo ha anche affermato che, secondo una loro previsione, entro il 2020 il 95% del traffico Internet generato in Russia sarà instradato attraverso server locali e non uscirà mai al di fuori dei confini della confederazione di stati.

Il costo previsto per l’intera operazione è di oltre 20 miliardi di rubli (circa 27 miliardi di euro). L’obiettivo finale è di sviluppare un controllo del traffico web, sulla falsa riga del sistema di censura “Great Firewall” della Cina.

In ultima analisi si potrebbe intravedere in questo test, una possibile risposta alle accuse mosse alla Russia da parte della NATO di essere una delle responsabili degli attacchi alla cyber sicurezza di altre nazioni, e un modo per avvicinarsi alla “sovranità delle rete” cinese che rientra in quella comunione di intenti stretta nel 2016 tra Vladimir Putin e Xi Jinping, segretario generale del Partito Comunista Cinese, quando le due potenze mondiali siglarono un accordo sullo sviluppo dell’informazione nei rispettivi Paesi.

#WarGames

A tutta velocita’ con PHP-FPM

PHP-FPM Very Fast

Come sa bene chiunque si occupi di creare e gestire un servizio Web moderno, il primo aspetto che viene ricercato e di cui si chiede la massima affidabilita’, e’ la velocita’ di risposta, cosi da garantire la presenza online delle imprese supportando il lavoro quotidiano delle Web Agency.

Nonostante oggi giorno ci siano nuovi linguaggi di sviluppo e di scripting il PHP rimane comunque ancora uno dei piu’ utilizzati e, grazie alle nuove funzionalita’ del PHP-FPM, questo linguaggio tornera’ sicuramente ad avere un ruolo di rilievo.

Ma, facciamo un piccolissimo passo indietro per rivedere come sono state gestite fino a ieri tutte le richieste php fatte dagli utenti ai vostri siti.

La maggior parte degli amministratori di siti sa che il PHP può essere incorporato nell’ HTML e che funziona con i principali web server. Tuttavia, l’aspetto meno conosciuto è la modalità con cui può essere eseguito il PHP sul web server, e questo può avvenire in diversi modi.

Aggiungiamo nell’equazione anche l’acronimo LAMP che, per chi non lo conoscesse, indica una piattaforma software per lo sviluppo di applicazioni web e sta per :

  • Linux (il sistema operativo)
  • Apache (il server web)
  • MySQL o MariaDB (il database management system)
  • PHP (il linguaggio di programmazione)

Come stavamo dicendo, fino a ieri  la modalità con cui si eseguivano le richieste e i processi di php sulla piattaforma LAMP era il PHP FastCGI.

Si tratta di un protocollo generico utilizzato per l’interfacciamento con un server web. Nello specifico è una variante della precedente Common Gateway Interface (CGI) che ha come obiettivo quello di ridurre il sovraccarico associato all’ interfacciamento tra web server e programmi CGI, consentendo ad un server di gestire più richieste contemporaneamente.

Ma con FastCGI è possibile configurare più versioni di PHP, cosa particolarmente utile quando si hanno vecchi siti web creati, ad esempio, in PHP 5.1 che non sono compatibili con l’ultima versione, inoltre, con FastCGI è possibile supportare diversi utenti ognuno con le proprie istanze di PHP. Questa funzione è particolarmente importante per migliorare la sicurezza in un ambiente condiviso, in cui è possibile avere utenti diversi che gestiscono ciascuno i propri siti web.

Andiamo ancora avanti, quindi grazie al protocollo PHP FastCGI il webserver genera un’ unico processo in fase di inizializzazione che, al termine della fase di start-up, si mette in attesa. Ogni volta che arriva una nuova richiesta in ingresso, il webserver apre una connessione con il processo fast-cgi (in attesa) che a sua volta genera l’output sulla connessione con il client, trasferitagli dal server. Il vantaggio principale di questo protocollo è la creazione dei processi solo in fase di inizializzazione, ottimizzando così il numero dei processi php.

Bene, quindi cerchiamo di capire adesso che cosa cambia con l’introduzione di PHP-FPM ?

PHP-FPM è una modalità più recente (nato nel 2004 come patch di PHP) di utilizzare PHP con un server web, ed è un’alternativa al precedente PHP FastCGI con l’implementazione di alcune funzionalità aggiuntive molto utili, in particolare ai siti che gestiscono quotidianamente sempre più traffico (dai siti vetrina agli e-commerce). Per queste tipologie di siti web è sempre piu’ necessario avere a disposizione strumenti sempre più performanti, proprio come il PHP-FPM.

Fino ad oggi una delle grosse mancanze di FastCGI è stata l’impossibilità di avere un numero di CHILD (processi) PHP che cambi in modo dinamico a seconda delle richieste effettive.

Nel suo insieme, il funzionamento è molto simile al FastCGI e si basa dunque sull’ esecuzione ottimizzata dei processi php che vengono creati solo in fase di inizializzazione e rimangono in attesa di una nuova richiesta. La grossa differenza sta nel fatto che è lo stesso PHP-FPM ad eseguire il processo e non più il web server.

Il “Process Manager” è uno script che gestisce direttamente i processi PHP, nella pratica attende e riceve istruzioni dal server web ed esegue gli script PHP richiesti, permettendo cosi ad un sito web di gestire carichi intensi. Il PHP-FPM mantiene dei “pool” per rispondere alle richieste PHP e i processi che si generano sono direttamente “figli” (CHILD) del Process Manager e possono quindi essere gestiti separatamente dal web server.

Questa modalità garantisce una maggiore robustezza del servizio, poiché tutte le operazioni come i cambi di configurazione o il restart dei processi, impattano i singoli pool FPM e non più l’intero web server.

Ecco alcune delle interessanti caratteristiche tecniche:

  • Demonizzazione dei processi PHP (file PID, file log, setsid(), setuid(), setgid(), chroot();
  • Possibilità di riavviare i processi PHP senza causare alcuna interruzione delle richieste in fase di processamento, si potra’ quindi cambiare qualsiasi parametro nel file di configurazione o addirittura aggiornare PHP senza avere nemmeno 1 secondo di downtime;
  • Possibilità di non processare le richieste provenienti da un determinato IP;
  • Possibilità di avviare i CHILD sotto differenti UID/GID/CHROOT e con differenti impostazioni di PHP (php.ini) il tutto senza bisogno di safe mode;
  • Possibilità di loggare tramite stdout e stderr;
  • In caso di corruzione della memoria RAM condivisa utilizzata da un OPCode Cache, PHP-FPM può effettuare un riavvio di emergenza di tutti i CHILD PHP;
  • Forza l’arresto dell’esecuzione di uno script nel caso in cui set_time_limit() avesse dei problemi.

Secondo un recente articolo pubblicato su CloudWays, effettuare uno switch da mod_php a PHP-FPM permetterebbe, tra i tanti vantaggi attesi, di ridurre del 300% i tempi di caricamento delle Web Application a traffico elevato.