Richiesta di scarico iClod.

 

 

Una domanda che spesso mi fanno e' quella relativa all'oggetto del post.

 

Facendola sul motore di ricerca non si trovano risposte che ti fanno accettare la proposta che in automatico appare all'avvio del computer che ti chiede l'assenso allo scarico del nuovo dispositivo della apple con dimensioni di 122,77 MB ed anche all'aggiornamento ti iTune che avete gia' nel vostro sistema da 180,34 MB e non ultimo all'aggiornamento Apple Software Update da 2,30MB.

 

Tralasciando le ultime due opzioni (significa che le state usando e quindi non cambiera' il vostro modo di agire col pc ed e' logico fate update)focalizziamoci sulla prima che solitamente va biffata per poterla scaricare ed installare e vediamo qui sotto a che serve sto iCloud per Windows.

 

Una volta attivato voi potrete avere spazio remoto in Rete in cui potrete conservare dati personali, foto, rubriche, musica, filamati e il tutto e' gratuito sino a 5 Giga ed e' semisimile al Dropbox con la differenza che in quest'ultimo tutti possono entrare mentre con iCloud e' difficile far accedere chi ha dispositivi Android o computer che non siano i nostri e noi potremo mettere tutti i dispositivi che abbiamo in casa ed aggiornarli in automatico contemporaneamente (faccio un es..se sto facendo un gioco, la progressione dello stesso la potremo fare da casa oppure con l'ipad datosi che lo stesso lo recuperioamo in rete) e se per caso s'incricca il pc non ci sara' necessita' di scaricare dati ogni tanto ma li recupereremo in linea inserendo i nostri dati o password di accesso.

 

Un neo e' quello che se qualcuno conosce o trova i nostri dati di accesso ha liberta' di scorazzare..ma questo vale per tutti i sistemi.

 

Altro vantaggio e' quello di aggiornare tutti i nostri pc contemporaneamente e sempre in automatico e il che non e' poco.

 

Non ultimo e' il vantaggio di scoprire la posizione dei nostri dispositivi e in caso di furto lo potremo ritrovare immediatamente.

 

Per chi necessita spazio supplettivo oltre al gratuito se la cavera' con 0,99 per 50Giga o se vuol esagerare 9,99€ per 1TB.

 

Quindi se la cosa vi gusta, quando apparira' sta finestra all'avvio, date pure l'ok o se non vi apparira' e lo volete inserire nel vostro sistema andate sul sito e seguite le istruzioni.

 

Video Hot

Tanto per cambiare, sta circolando su Facebook il classico link che vi propone di vedere un video hot della belen nuda o qualche altro personaggio del genere..occhio che questi sextape sono virus belle e cattivi e anziche' la belen vi cuccherete un buon malware.

Che dite? L'avete gia' cuccato? Vi sta rendendo la vita impossibile per queste aperture continue di popup e pagine che vi invitano a giocare o vedere film porno?

Vabbuo'..dai che lo togliamo e da quanto ne so' il browser piu' colpito e' una estensione di google chrome che poi infetta tutti gli altri browser tipo Explorer, Safari, Opera, Mozilla e diffonde poi un link ad un pdf con immagini di nudo tramite messaggi privati e post sui vari gruppi e ovviamente all'insaputa dell'utente.

Chi non l'ha ancora cuccato deve fare attenzione a questo link di invito che ti indirizza su una pagina fasulla di YouTube e che a sua volta, ti porta ad una finestra pop-up con l'invito ad installare un'estensione di Chrome per visualizzare il video.

Il browser di Google installata l'estensione, spedisce gli utenti alla pagina di login Facebook per una ri-autenticazione con l'obiettivo di rubare credenziali di accesso al social e poi usare l'account per infettare chi esiste in rubrica.

L’estensione di Chrome, tra l'altro e' ben progettata perche' e' in grado di bloccare l’apertura e l’intervento dei principali antivirus installati sul computer.

E se questo ancora non bastasse, impedisce alle vittime di accedere alla pagina delle estensioni di Chrome in modo che sia impossibile disinstallarla.

Il virus che poi diffonde in Facebook il link varia di continuo l’esca, ossia, il nome della celebrita' quindi non solo Belen ma tante altre.

I cyber castigatori sono riusciti, a caricare questa estensione sul Chrome Web Store.

Ad onor del falso, Google l’ha prontamente eliminata ma ormai la truffa gira nel web sinche' morte non la separi.

Dicevo che esiste il metodo di toglierselo dalle palle e quindi bando alle ciance e via con la pulizia...

Ite in start\esegui e scrivete Regedit... all'apertura del sistema andate in modifica\trova e cercate questa stringa

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Google\Chrome\Extensions
Questo esempio riguarda la stringa presente nel registro su Windows 10, in altre versioni potrebbe essere:
HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extension
Selezionatela e col destro del mouse, cancellatela con un click su Elimina dall’apposito menu.

. L’unico problema e' che non si conosce l’ID di questa estensione, quindi senza pieta' cancellatele tutte e poi reinstallate.
Ora toglietevi dal regedit e fate il percorso seguente..
C:\Users\[nome utente]\AppData\Local\Google\Chrome\User Data\Default\Extensions

Una volta individuato, selezionate tutte le sotto-cartelle di Extensions. Ripeto, ora dovete reinstallare in Chrome tutte le estensioni che vi servono (e solo quelle), ma almeno vi sarete tolti dal pallisterio sto castigatorio malware.

Alternativa a Team Viewer.

Alternativa al Team Viewer (Logmein e Ammyy)

Iperius Remote, il nuovo software di controllo remoto free della suite Iperius

Iperius Remote (download freeware) e' un software di controllo remoto ideale per la teleassistenza a uno o piu' computer in rete locale o su Internet, per lavorare da remoto, fornire supporto tecnico e anche per svolgere meeting ed effettuare presentazioni online.
Iperius Remote con la sua affidabilita' e convenienza rappresenta un’ottima alternativa a Teamviewer, Logmein e Ammyy.
Iniziare ad utilizzarlo e' semplicissimo, basta scaricare e lanciare un unico file eseguibile (portabile) per ricevere subito assistenza o accedere ad un computer ovunque esso si trovi..persino a Casalbordino lido.
Le prestazioni sono elevate, grazie all’uso efficiente della larghezza di banda garantendo velocita' nella trasmissione dei dati e un’esperienza utente ottimizzata.
Iperius Remote consente di fornire supporto remoto a uno o piu' utenti contemporaneamente (con finestre separate), arrivando a sostenere fino a 15 sessioni di controllo remoto simultanee e anche oltre, con licenze specifiche.
Iperius Remote e' un software di controllo remoto PC tra i piu' sicuri, infatti, oltre ad adottare un protocollo di comunicazione HTTPS (SSL), e' in grado di collegarsi superando in modo trasparente le restrizioni dei firewall grazie a un sistema di criptazione interno di tipo AES, in questo modo ogni informazione scambiata con l’esterno non puo' essere decifrata da eventuali castigatori ma solo dal reale destinatario.
Infine, sono molto importanti le funzioni a corredo di una sessione di desktop remoto, ovvero il trasferimento file in entrambe le direzioni e una chat per comunicare con i vari utenti connessi a una sessione remota.
Iperius Backup, un software per il backup e la protezione dei dati che suggerisco ai miei remotcontrollati che sino ad oggi ho assistito col Teamviewer e ripeto che non deve essere installato ma solo scaricato, vi elenco altre caratteristiche di Iperius Remote.. donc: il software portabile e quindi nessuna installazione ..poi

• Nessuna configurazione firewall
• Trasferimento file multiplo e veloce in entrambe le direzioni
• Chat multiutente integrata
• Compatibilità con ogni sistema operativo Windows (Windows XP, Vista, 7, 8, Windows 10, Server 2012, 2003, 2008, e Server 2016 / 32-64 bit). Gli operatori possono connettersi anche da MAC e Linux (usando WINE, o strumenti simili come PlayOnLinux o PlayOnMac)
• Installabile come servizio di Windows
• Connessioni multiple sullo stesso computer (utile per le presentazioni)
• L’operatore può connettere simultaneamente più computer e vedere i desktop remoti su finestre separate
• Criptazione integrata e HTTPS (SSL)
• Possibilità di specificare una password per ogni client
• Supporto multi-monitor e modalita' fullscreen
• Connessione attraverso la configurazione di un server Proxy
• Possibilita' di mostrare il desktop a utenti remoti senza permettere loro di avere il controllo del computer (utile per le presentazioni)
• Lista di tutti i client online e connessi
• Informazioni dettagliate sui computer remoti
• Timer di connessione e registrazione della durata delle connessioni
• Auto-aggiornamento all’ultima versione (anche per computer remoti)
• Possibilita' di personalizzazione e sviluppo funzionalita' aggiuntive e mi pare che basti. Scaricate e mettetelo nell'angolino destro al resto ci penso me.
  

Il perche' del NO.

Indipendentemente dalla ics fatta sul NO per la votazione  forse non vi ricordate come sono fatto vero?
Bene allora ve lo ripeto il mio NO e ci sta’ pure una canzone di Shakira.
No se puede vivir con tanto veneno,
La esperanza che me dio tu amor
No me la dio mas nadie,
Te lo juro, no miento,
No se puede dedicar el alma
a acumular intentos
pesa mas la rabia que el cemento.
Io sono nato cosi’ con questa genetica predisposizione al NO.
Non so’ perche’ ma al consenso preferisco il dissenso.
Il NO mi piace. anche il gesto che lo accompagna.
Scuotere la testa di qua e di la’, soprattutto quando esco dall’acqua di Casalbrodetto col polipo attaccato al braccio, mi da’ tanta soddisfazione e mi fa’ godere australmente come un selvaggio.
E poi mi piace pronunciarlo, il NO. Perche’ li’ in mezzo, tra le pieghe di quella sillaba natale opps..era nasale, ci sta’ dentro un sacco di roba e ti riempie la bocca.
Il rifiuto per esempio. 
Il nossignore. 
Il levatelo dalla testa. 
Che non e’ mica roba da buttare via perche’ il rifiuto e’ sempre differenziato.
C’e’ NO e NO, insomma. 
E la maggior parte del NO e’ riciclabile. 
Da una raccolta paziente di rifiuti possono nascere nuove cose. 
Insoliti modi di pensare, per esempio. 
Strade diverse da percorrere. 
Persone nuove da conoscere, capire, amare.
Il NO e’ anche dissenso. 
Pensiero difforme. 
Che spesso si fa’ conflitto.
Ma anche dibattito costruttivo, almeno cosi’ la penso io e mi basta poi voi pensatela come volete.. chissenefutte, non mi scalfirete piu’ di tanto.
Mi fanno paura le coppie che non litigano mai. 
Bisticciare, credetemi, e’ sano senza venire alle mani naturalmente, usando forse il coltello, ma NO.. 
Sono convinto che alzando la voce e caricando i toni si crei dell’energia propulsiva che fa’ andare avanti la coppia. e poi vuoi mettere il piacere di fare la pace? 
Chi non litiga non sa’ cosa si perde. 
C’e’ anche il NO purissimo della disobbedienza. 
Quello bello dei bambini che dicono NO per puro spirito di contraddizione. 
Poi ci sono i NO che ti vengono fuori perche’ sei incazzato…
Guarda, oggi ti dico di NO perche’ c’e’ vento e sono con le palle in giostra. 
Ma se me lo chiedi domani puo’ essere che ti dica di si’. Soprattutto se c’e’ il sole….
E anche i NO della sincerita’. Quelli che si usano per dire le cose come stanno…Vengo anch’io?… NO tu NO. ..Vengo anch’io?.. NO tu NO… E perche’?.. Perche’ NO. 
Perche’ mi stai sul culo, guarda, non ti reggo, preferisco dirti le cose come stanno invece di fingere benevolenza. Vacci con chi cazzo vuoi a vedere le bestie feroci. Non con me, io mi basto.
E’ che il NO da’ liberta’ e rifiuti le prediche.

Non si puo’ morire dentro, aspettare di diventare tutti verdi come Hulk fino a farsi scoppiare i bottoni della camicia.
Con il NO, poi, iniziano fatti importanti dopo le dimissioni. 
Il NOnostante, per esempio che ti fa tirare avanti e chiudere un occhio. 
Il NOumeno, che e’ l’essenza delle cose. 
Il NOcciolato con l'olio di palma che leva le malinconie e fa crescere i brufoli e la pancia.
La NOvita’ che da’ gusto alla vita.
Il NO profit che da’ senza pretendere.
Il NOn ti scordar di me della nostalgia.
Il NOn essere dell’essere.

Finita cosi’ con un bel NO al sessanta per cento di maggioranza. 
Punto. Stop e palla al centro.
Ora sapete che faccio? Do’ retta alla stirpe del mio cognome e mi autocombustioNO alla faccia del contabilizzatore termovalvoloso.

Si vota NO?

Domenica 4 dicembre 2016 andremo a votare SI o NO per la riforma di circa 40 articoli componenti la Carta Costituzionale .

10 anni fa nel 2006 ci fu il Secondo Referendum Nazionale su iniziativa del centro-destra inerente ad una vasta modifica costituzionale e la maggioranza fu per il NO.(38,71% e 61,29%).

Il Primo fu nel 2001 per il Titolo V e la maggioranza fu per il SI al 64,2%.

Perche' e per cosa voteremo?

Condivido con Giorgio La Malfa e Massimo Andolfi che:

La nostra Costituzione e' fatta in due parti separate..

la Prima parte con valori da non toccare..

la Seconda parte riguarda la macchina dello stato che deve essere aggiornata secondo i i tempi in cui viviamo.

La Prima parte indicherebbe le destinazioni

la Seconda il veicolo che dovrebbe portare gli italiani verso di esse.

Le destinazioni sono la lotta di Liberazione da cui e' nata la Costituzione e dovrebbe essere intoccabile, sul veicolo si potrebbe intervenire senza correre rischi.. ma qui e' il dilemma e si rischia di sbagliare perche' nulla sancisce la distinzione tra queste due parti.

Per 70 anni tre elementi hanno protetto la carta..

- L'equilibrio tra i poteri dello stato.

- L'utilizzo dell'art 138 per operare revisioni di singoli aspetti della costituzione non per una riforma di essa e cioe' esercitando un potere costituito e non costituente che spetta al popolo.

- Il rigetto, infine, dell'idea che la maggioranza politica di turno (che e' sempre una minoranza del paese) possa alterare la nostra democrazia.

Il voto che ci e' richiesto contrasta con i criteri citati ed apre un gruppo di modifiche costituzionali destinato ad essere aperto per anni.

Chi ci garantisce l'intoccabilita' della prima parte, una volta che cambieremo questi 40 articoli?

Vuol dire che se cambieremo questi 40 articoli la porta sara' aperta e chi arrivera' al governo potra' fare tutto cio' che vuole, alla faccia della Costituzione del 48.

Spero di non rivivere gli orrori del nazismo ed e' per quello che votero' NO.

Black December.

I vari Black Friday,Cyber Mondey se ne sono andati ma ci rimangono le feste Natalizie, ovvero il classico Black December e con queste pure le preoccupazioni delle pre-feste e quindi saro' ripetitivo con i miei consigli forti di quattro anni piu 14 lustri e son sempre quelli di barricarvi in casa per evitare la follia prenatalizia. 

Ma siamo realistici.. non si puo’. 

Azz.. teoricamente dovreste stabilire con amici e parenti di non fare regali a nessun over 10 vi pare? 

Solo che poi ad attenervi alla consegna, di fronte ai regali altrui vi sentireste meschini come merde stantie. 

Vi imponete di evitare le cene d’auguri? 

Ringraziate se non ne avrete due di fila e una di cotone. 
Percio’, non mi resta che consigliarvi come affrontare l'inevitabile. 
Allora..

Cominciamo con le Cene.

Tre i drammi:

1. rimbambimento da locale sovraffollato;

2. indigestioni;

3. chili di troppo.

I rimedi potrebbero essere:

1. bere un bicchierozzo di Corvo di Salaparuta corretto grappa prima di uscire.. rende piu’ sopportabili le urla dei pargoli e le partite di tombola coi pirillini inter parentisterio.

2. pranzare a patate bollite col contorno di patate cotte sottocenere.

3. fare sport come per prepararsi alle Olimpiadi… oltre a dimagrire, alla cena arriverete in un’ovatta di dolce sopore che vi aiutera’ a superare il dramma N°1.

Passiamo allo Shopping.

Due i problemi fondamentali:

1. scelta dei regali.

2. sopravvivenza nella calca di acquirenti.

La soluzione per la prima e' quella di dimenticare l'esistenza del Regalo Perfetto. 
Per trovarlo  avreste dovuto mettervi all'opera ad agosto, quindi comprate qualunque cosa carina vi risparmi una lunga ricerca e se questo vi facesse sentire in colpa, pensate ai regali di Natale che avete ricevuto voi.. quanti vi hanno sbalordito per bruttezza? 
Quanti (confessate) ne avete riciclati o messi in cantina? 
Suvvia considerate i vari fattori o fattrici...

Atmosfera. Luminarie, festoni, neve finta, canzoncine, pubblicita’ di profumi e pandori e gli agghiaccianti Babbi Natale appesi ai balconi.. ce n'e’ abbastanza perche’ anche l'adulto piu’ bonario nutra, almeno a momenti, un odio acuminato per il Natale.

Che fare quando, se si incontrasse il Babbo Natale vero, lo si strozzerebbe con goduria infinita dopo averlo violentato. 
C'e’ chi si iscrive a un gruppo su Facebook e opera uno strangolamento virtuale. 
C'e’ chi emigra in luoghi esotici e denatalizzati. 
C'e’ chi, diffidando del mondo virtuale e non potendosi permettere i luoghi esotici, si rassegna.. dicendo.. coraggio che dura poco.

E poi dai..il pandoro in fondo e’ buono. 

E ai bambini il Natale piace - e ciascuno di noi conosce almeno un bambino a cui brillano gli occhi davanti ai pacchetti sotto l'albero addobbato..

non e’ poi cosi’ male, guardarlo e sapere che la sua
felicita’ dipende anche dal regalo che ci e’ costato tanto sforzo comprargli… 
ma ripeto, la festa deve essere sino ai 10 oltre diventa un mercato e un festival del consumismo e sinceramente potremmo davvero farne a meno..forza che il meglio e' passati...dai ancora 32 giorni e poi sara’ un ricordo e un altro Natale se ne sara’ ito.
Il mio regalo per voi cybernauti e' lo studio rimorchiatore che Stefano ha fatto in prima persona sul web

Post Crackato.

Tempi duri quelli del buco dell'ozono, bastano 4 giorni di pioggia e il fiume Po fa casini, gli sfigati near fiumi hanno un metro di acqua in casa, le motobarche Valentino e Valentina strappano gli ormeggi e la Valentina affonda, alla Bizzarria (loco abitativo della Bela Rusina) non ci si puo’ andare causa esondazione del Ceronda e quindi non mi rimane altro che cazzeggiare nel web con sentimento distruttivo e guarda guarda mi ritrovo persona che una decina e passa di anni fa avevo incontrato nel percorso hackeroso quando anziche’ facebucche si viaggiava con ICQ e Mirc.. questi programmi e in special modo nel secondo erano frequentati da lamer (aspiranti Cracker con conoscenze informatiche limitate) il cui scopo era quello di eccellere nello sfidare chi usava tecnologia informatica e il buon ZeroCode al secolo MikeBond ha resistito ed e’ diventato una persona importante con tanto di cattedra all'University di Cambridge..insomma ha cambiato bandiera ed e' diventato un normale.

Mi spiace non aver conservato le nostre battaglie Anche perche' si tratta di una dozzina ed oltre di computer fa..allora ci si picchiava di brutto, abbiamo cominciato facendo aprire il cassetto del CD dell’avversario oppure crackando la pass della posta e del nickname sostituendoci alla persona e facendo danni sui cassettoni che giravano a velocita’ con freni a disco..bei tempi che ricordo con nostalgia e il post seguente lo dedico a ZeroCode o Mike Bond qualdirsivoglia ...questo studio lo abbiamo fatto assieme per il semplice fatto che poi siamo diventati amici in quanto era inutile fracassarci quando mettendo assieme le nostre abilita’ abbiamo constatato la vera unione che ha fatto la forza.... e vi spiego il fatto...

Sui giornali di allora o riviste on line si leggevamo frasi del tipo:

“Nell’ultimo estratto conto della mia banca, ho trovato addebiti di alcune voci di spesa effettuate tramite POS in negozi in cui non sono mai stato.”

“Mi hanno rubato il portafoglio con dentro tessere bancomat, in meno di un’ora avevano gia’ esaurito tutte le possibilita’ di credito (prelievo, acquisti POS, presticasch) ma ovviamente i PIN non erano conservati nel portafoglio.”

“Nei mesi scorsi mi son visto addebitare migliaia di euro in prelievo bancomat effettuati dalla Spagna ma io non ci son mai stato.”

Le banche ovviamente davano la colpa all’incuria dell’utente, considerato che dicevano impossibile che castigatori potessero individuare il codice d’accesso ovvero il PIN.

E qui e’ nato lo studio della prova contraria e la ricerca nel web di uno studio sui PIN e lo abbiamo trovato in Inghilterra dove due coniugi incorsi nel castigaggio dei loro soldini, avevano intentato causa al Diners Citybank incaricando un prof del dipartimento di sicurezza informatica e crittografia del Computer Laboratory dell’Universita’ di Cambridge.

Trattavasi del proff. Anderson che diede l’incarico ad un suo studente di seguire il caso..e lo studente era lo ZeroCode al secolo il mio amico Mike Bond.

Quindi messe da parte le armi per il cazzisterio litigatorio in ICQ e’ partito lo studio sull’IBM 3624 utilizzato dalla CityBank e l’esito finale e’ stato nella dimostrazione citata sopra che con un max di 15 tentativi si riusciva a scoprire il PIN e ancor oggi il rapporto lo troverete qui.

La Banca e’ stata costretta dal giudice a pagare il dovuto e ne e’ nato un post e ancor oggi io non ho carte credito di cui non nutro eccessiva fiducia (le ha mia moglie).

L’intento del post non era e non e' tuttoggi quello di fornire uno strumento per commettere illeciti ma di sensibilizzare e informare su rischi reali della fragilita’ sull’utilizzo della carta bancomat (si parla del 2003) che poteva essere crackata in 15 tentativi max.. le banche ne erano a conoscenza ma la loro unica preoccupazione era che la clientela non lo dovesse sapere.

Lo studio evidenziava le vulnerabilita’ della carta e soprattutto su tre algoritmi che in 15 tentativi si scioglievano come neve al sole a dispetto dei 5.000 paventati dalle banche a fronte di forza bruta. Il PIN delle carte ATM e delle carte credito,infatti, e’ costituito da 4 cifre. I caratteri previsti sono soltanto numerici ossia 10. (1234567890) Le combinazioni possibili sono quindi 10^4 cioe’ 10.000.

Secondo la Banca, per trovare un PIN valido di un conto corrente sono necessarie almeno meta’ delle combinazioni ossia 5.000 per avere il 50% delle probabilita’ di trovarlo..ammesso di trovarlo.

Ebbene, una verifica sul sistema IBM3624 partiva dall’inserimento della carta nell’apposita fessura del bancomat dove il sistema leggeva sulla striscia magnetica il numero del conto corrente dell’utente.

A differenza di quanto si possa pensare, il Pin non e’ presente sulla striscia..ne’ in chiaro..ne’ cifrato o criptato.. una volta che l’utente inserisce il PIN sulla tastiera numerica i dati vengono inviati all’HSM (Hardware SecuritY Module) che e’ un coprocessore su cui gira una API relativa ai servizi finanziari ed in genere e’ unico per ogni banca.

L’HSM ha una caratteristica di libreria che risponde solamente con un NO o con un SI come il referendum di dicembre.. in particolare quella che si occupa dell’autenticazione e’ la Encripted_Pin_Verify (vedi la jpg sotto)

I tre parametri di ingresso piu’ importanti inviati alla funzione sono:

1. L’Encripted Pin lock che non e’ altro che il PIN inserito dall’utente sul tastierino dello sportello bancomat criptato allo scopo di evitare intercettazioni.
2. Il Pan Data ossia il numero di conto letto sulla carta bancomat.
3. La Decimalisation Table che e’ la tabella di conversione in decimale.

Prima di continuare e’ opportuno che si sappia come viene generato il PIN a quattro cifre di un bancomat ATM.il PIN ha un legame stretto col numero di conto o della carta credito per il semplice fatto che sono le prime quattro cifre esadecimali del conto o della carta criptate con l’algoritmo DES e con una chiave caratteristica di ogni banca.. chiamata appunto Pin Generation Key..facciamo un es..

Prendiamo le prime quattro cifre che costituiranno il PIN, ossia 3F7C.

A questo punto entra in gioco la tabella di conversione decimale che fa in modo che possa esser digitato sul tastierino numerico dello sportello Bancomat.

 Le nostre quattro cifre diventano 3572 ed ecco ottenuto un PIN valido.

In genere a cio’ si aggiunge un valore offset, ossia un numero di massimo a quattro cifre che di base viene impostato 0000 che serve qualora l’utente faccia richiesta di un nuovo PIN.

Dal momento che non e’ possibile che venga cambiato il suo numero di conto ci si limita ad aggiungere un certo valore al PIN originario.

Tale valore viene inviato sempre alla funzione di verifica dell’HSM attraverso il parametro offset_data.

Per la verifica di una richiesta di prelievo, l’HSM segue il procedimento inverso sottraendo dal PIN l’offset dopodiche’ converte il risultato ottenuto con la tabella di conversione decimale fornita assieme alla richiesta e confronta il risultato con le prime quattro cifre criptate del conto corrente.

Nell’es che abbiamo fatto il PIN 3572 darebbe un risultato positivo non soltanto nel caso in cui le prime quattro cifre esadecimali del conto criptato fossero 3F7C ma anche 3F7C o 3572.Insomma in tutti i casi in cui il PIN inserito abbia la corrispondenza con la tabella di conversione.

Sfruttando questa vulnerabilita’ possiamo quindi dimostrare che attraverso la manipolazione della tabella di conversione e’ possibile ottenere le quattro cifre costituenti il PIN valido e quindi provando tutte le combinazioni, arrivare al PIN stesso.

Ecco come eseguire la Manipolizzazione delle tabelle di conversione.

Ipotizziamo che il PIN esadecimale sia quello dell’esempio, noi siamo in grado di inviare all’HSM la tabella che desideriamo..nel caso specifico la seguente..

Inviamo come PIN 0000 insieme al numero del conto corrente di cui vogliamo scoprire il vero PIN. 

A questo punto l’HSM dara’ come valido il PIN 0000 soltanto se nel PIN vero sara’ presente il numero 3 o la lettera C che nelle tabelle di conversione standard danno origine sempre al numero 3, oppure rispondera’ con un secco NO se la cifra non e’ presente.

Eccovi la dimostrazione che facendo 10 tentativi con tabelle di conversione opportunamente modificate, e’ possibile conoscere la presenza o meno delle 10 cifre esadecimali all’interno del PIN.

Questo e’ il principio che sta alla base del funzionamento degli algoritmi sopra descritti e capirete il motivo per cui guardo con diffidenza le carte credito dal momento che i castigatori sanno come recuperare il PIN e mi spiace che l’utilizzatore di carta credito non potra’ dimostrare che il PIN non sia stato gelosamente custodito ed e' meglio che io vada alla Bizzarria col mio amico Franco alla faccia delle esondazioni novembrine.(e' ito senza di me causa il post di cui sopra..)