Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/violato-il-team-italiano-alla-base-dei-tool-di-sorveglianza-400gb-di-dati-sparsi-per-il-web_57935.html

Sono state violate le barriere di Hacking Team, il gruppo italiano che vende software di sorveglianza. Fra i clienti potrebbero esserci anche molti enti statali

Click sul link per visualizzare la notizia.

Una bella figura ...

ma non se sono accorti ?
Non ho idea di che connessione abbia il loro server, ma per trasferire 400 gb, ci vuole un pò di tempo !
Forse anche un bel pò !

ma non se sono accorti ?
Non ho idea di che connessione abbia il loro server, ma per trasferire 400 gb, ci vuole un pò di tempo !
Forse anche un bel pò !

Dubito che abbiano la alice 7 mega eh :D

Quello sicuro, ma anche se avessero una gigabit, per trasferire 400 gb, un oretta ci va, non hanno nessun sistema di allarme o quantaltro ?

Quello sicuro, ma anche se avessero una gigabit, per trasferire 400 gb, un oretta ci va, non hanno nessun sistema di allarme o quantaltro ?

gli allarmi suonano quando fai qualcosa di non previsto, ma sono pur sempre programmi, mica sono intelligenti

l'unico allarme affidabile sarebbe un omino con gli occhi incollati al monitor tutto il giorno

Ah io non mi intendo certo di sicurezza informatica, quindi non ho idea se e come si possa fare, ma questi dovrebbero saperlo !

dalle interviste che ho letto mi sembrano molto presuntuosetti quindi non mi dispiace

http://i.imgur.com/yEgGrRn.jpg

metti una decina di persone con collegamento in fibra 30/100Mb/s che si spaccano i pacchetti per il download..ci mettono un attimo...

Interessante, hanno/avevano anche la password di HWUpgrade.it:
http://2.bp.blogspot.com/-_X6lcut1Bwk/VZorG881G0I/AAAAAAAAb6A/Yq871pQPKTM/s1600/Screen%2BShot%2B2015-07-06%2Bat%2B09.01.14%2BREDACTED.jpg

:mbe:

By(t)e

P.S.: naturalmente può essere riferito ad un account qualsisi, per esempio del forum....si, come no...

Ottimo, ripagati con la loro stessa moneta!
E qualcuno sta caricando su GitHub i sorgenti dei loro tool: https://github.com/hackedteam?tab=repositories

Interessante, hanno/avevano anche la password di HWUpgrade.it:
http://2.bp.blogspot.com/-_X6lcut1Bwk/VZorG881G0I/AAAAAAAAb6A/Yq871pQPKTM/s1600/Screen%2BShot%2B2015-07-06%2Bat%2B09.01.14%2BREDACTED.jpg

:mbe:

By(t)e

P.S.: naturalmente può essere riferito ad un account qualsisi, per esempio del forum....si, come no...


fonte o nome da cercale per scaricare quel file ?

Dai ragazzi, i titoli! Quando ho letto "violato il team" ho pensato ad una brutta punizione corporale per i poveri programmatori... :rolleyes:

Violato il team italiano alla base dei tool di sorveglianza: 400GB di dati sparsi per il web

Cioé praticamente il hanno stuprati?

Redazione, ma lo leggete quello che scrivete?

fonte o nome da cercale per scaricare quel file ?

Lo screenshot l'ho preso da qui:
http://attivissimo.blogspot.it/2015/07/lo-spione-spiato-hacking-team-si-fa.html

Credo provenga da uno dei file presenti nei famosi 400GB.

By(t)e

https://twitter.com/fredericjacobs/status/618068784046342144

se ripenso a tutti quegli articoli di giornaletti che raccontavano come era impossibile leggere i dati di un iPhone coinvolto in casi di omicidi etc :asd: :asd:

Bello l'articolo sul sito di paolo attivissimo.

... reputazione distrutta e fine degli affari, indubbiamente!

ultimo aggiornamento :
17:00. Apple avrebbe concesso a Hacking Team un certificato digitale come iOS enterprise developer per firmare le app e quindi farle sembrare sicure e approvate: Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT. Da quel che ho capito (grazie a Manuel W e Maurizio C), questo avrebbe permesso a Hacking Team di inviare alla vittima via mail o postare su un sito (non nell'App Store) un'app ostile per iPhone/iPad che il dispositivo e la vittima avrebbero ritenuto sicura perché firmata col certificato, bypassando così i controlli che rendono difficile installare malware nei dispositivi iOS. Sarà interessante vedere la reazione di Apple.


so c@zzi !!!!!
se comincia a girare quel certificato tutti a fare malware per apple senza bisogno di passare per l'appstore

so c@zzi !!!!!
se comincia a girare quel certificato tutti a fare malware per apple senza bisogno di passare per l'appstore

A te capita di installare applicazioni da siti o da mail ricevute? A me no, che si tratti di Android, Windows Phone o iPhone sempre e solo dallo store.

Quello sicuro, ma anche se avessero una gigabit, per trasferire 400 gb, un oretta ci va, non hanno nessun sistema di allarme o quantaltro ?Se come nel 99% dei casi si tratta di trasferimento fatto con credenziali rubate.... fai fatica a far scattare allarmi perchè ti sei loggato come utente registrato o anche come admin.

Considerando il livello di elevata sicurezza delle password usate nello screenshot, potrebbe anche essere stato un comunissimo attacco con dizionario.

Perchè nessuno penserà mai di fare dizionari con lettere che hanno i numeri sostituiti...:rolleyes:

Salve ragazzi, vorrei chiedere allo staff di @HWUpgrade, il perché non postano più gli articoli su G+.
Grazie.

Interessante, hanno/avevano anche la password di HWUpgrade.it:
http://2.bp.blogspot.com/-_X6lcut1Bwk/VZorG881G0I/AAAAAAAAb6A/Yq871pQPKTM/s1600/Screen%2BShot%2B2015-07-06%2Bat%2B09.01.14%2BREDACTED.jpg

:mbe:

By(t)e

P.S.: naturalmente può essere riferito ad un account qualsisi, per esempio del forum....si, come no...

Forzaaaaa... qualcuno che scarichi il torrent da 400 giga per capire chi è l'utente e poterlo così perculare per i prossimi 3 secoli!!! :O

(scherzo, eh! :stordita: )

:asd:

Forzaaaaa... qualcuno che scarichi il torrent da 400 giga per capire chi è l'utente e poterlo così perculare per i prossimi 3 secoli!!! :O

Non serve mica scaricare il torrent:
http://www.hwupgrade.it/forum/member.php?u=47239


Basta leggere la firma:
Per chi non lo sapesse, uno dei geni dietro HackingTeam,
Il mio nome è Pozzi. Christian Pozzi.

Il classico tipo modesto che se la tira poco :sofico: :sofico:

... magari è un suo collega, però... :O

A te capita di installare applicazioni da siti o da mail ricevute? A me no, che si tratti di Android, Windows Phone o iPhone sempre e solo dallo store.

Da profano, non credo sia impossibile un attacco man-in-the-middle per intercettare le richieste di installazione, ad esempio, di whatsapp e sostituire il file di installazione con uno contenente il malware. Che risulterebbe a questo punto valido poiché firmato con un certificato autorizzato.
Ipotizzo, eh...

Inoltre in certe realtà installare applicazioni senza passare dall'AppStore è possibile, in quanto si tratta di app "riservate" all'azienda stessa che provvede in autonomia alla distribuzione.

By(t)e

Da profano, non credo sia impossibile un attacco man-in-the-middle per intercettare le richieste di installazioneNo salvo falle pesanti nel protocollo non è possibile.

Nel 99% dei casi entrano con il social engineering, cioè in parole povere fregando l'essere umano dietro il sistema informatico.

Inoltre in certe realtà installare applicazioni senza passare dall'AppStore è possibileLo store non è garanzia di sicurezza, non possono beccare le app che si riconfigurano perchè ci vuole un essere umano che le testa e ci mette molto tempo.

Ma anche qui, il social engineering è molto più facile.

mi sa che gli conviene cambiare nome e cognome...

oddio... vedendo le fatture che ha emesso (ed incassato) riportate sul sito di attivissimo, credo che possa ritirarsi senza troppi problemi alle Maldive per il resto dei suoi giorni e vivere di rendita per i prossimi 300 anni... ;)

Non serve mica scaricare il torrent:
http://www.hwupgrade.it/forum/member.php?u=47239


Basta leggere la firma:


Il classico tipo modesto che se la tira poco :sofico: :sofico:

però, sto cazzetto fa belle foto.

Interessante, hanno/avevano anche la password di HWUpgrade.it:

192.168.1.1 -> Passw0rd.
Per non parlare di tutte le altre, uguali o troppo simili tra loro.

Belle foto, per il resto, sì.


EDIT: certo che a vedere vecchie sue discussioni 2008...ne è passata di acqua, anzi, di bit tra i cavi... "Problema per configurazione senza user e password"

edit

... reputazione distrutta e fine degli affari, indubbiamente!
"reputazione distrutta"? Mi devo essere perso qualcosa, giusto? A suo tempo avevo seguito dei suoi buoni consigli quando ero andato a Edimburgo per erasmus.

"reputazione distrutta"? Mi devo essere perso qualcosa, giusto? A suo tempo avevo seguito dei suoi buoni consigli quando ero andato a Edimburgo per erasmus.

Ma l'hai letta la news?

By(t)e

http://i61.tinypic.com/2uxw7z4.jpg

Ma l'hai letta la news?

By(t)e
Sì, credevo che nelson si riferisse alla reputazione distrutta di Attivissimo (chissà perché l'ho creduto, forse per colpa di altri articoli letti giorni fa a proposito di Attivissimo).

http://i61.tinypic.com/2uxw7z4.jpg


Tecnica usata anche dalle nostre care forse dell'ordine in casi recenti di cronaca, atte a screditare il sospetto. Qualcuno dovrebbe pagare.

Da profano, non credo sia impossibile un attacco man-in-the-middle per intercettare le richieste di installazione, ad esempio, di whatsapp e sostituire il file di installazione con uno contenente il malware. Che risulterebbe a questo punto valido poiché firmato con un certificato autorizzato.
Ipotizzo, eh...

Inoltre in certe realtà installare applicazioni senza passare dall'AppStore è possibile, in quanto si tratta di app "riservate" all'azienda stessa che provvede in autonomia alla distribuzione.

By(t)e

Il fatto è che per installarle senza passare dallo Store (ma anche passando per lo Store) ci vuole sempre un'operazione "umana". Semplice per installare malware a caso su utenti disattenti. Un pò meno per installare malware mirati a tracciare precisi individui.
Era questo che controbattevo, poi avendo un certificato autorizzato è più semplice, ma non così scontato.

segnalo che l'accesso a tutti i documenti è possibile qui: http://hacking.technology
Non c'è bisogno di scaricare tutti i 400 gb di dati... basta andare a curiosare tra le varie cartelle per vedere l'EPIC FAIL

Dopo questo, hacking team è collassata definitivamente. :) :)

Tecnica usata anche dalle nostre care forse dell'ordine in casi recenti di cronaca, atte a screditare il sospetto. Qualcuno dovrebbe pagare.

Che infamacci

Date un occhiata qui:
http://motherboard.vice.com/read/hacking-team-asks-customers-to-stop-using-its-software-after-hack

Hacking Team asked its customers to shut down operations, but according to one of the leaked files, as part of Hacking Team’s “crisis procedure,” it could have killed their operations remotely. The company, in fact, has “a backdoor” into every customer’s software, giving it ability to suspend it or shut it down—something that even customers aren’t told about.

To make matters worse, every copy of Hacking Team’s Galileo software is watermarked, according to the source, which means Hacking Team, and now everyone with access to this data dump, can find out who operates it and who they’re targeting with it.

Tra i loro clienti c'era l'FBI e varie forze di polizia, chissà come saranno "contenti" di sapere che il loro fornitore gli aveva infilato una backdoor di soppiatto.

oddio... vedendo le fatture che ha emesso (ed incassato) riportate sul sito di attivissimo, credo che possa ritirarsi senza troppi problemi alle Maldive per il resto dei suoi giorni e vivere di rendita per i prossimi 300 anni... ;)

Ma quelle sono fatture della società, non sue :)

però, sto cazzetto fa belle foto.

Mah, a me sembra ancora a pié pari nella "fossa dell'HDR"
http://enticingthelight.com/wp-content/uploads/2010/01/Stages-of-a-Photographer.png

192.168.1.1 -> Passw0rd.
Per non parlare di tutte le altre, uguali o troppo simili tra loro.

Belle foto, per il resto, sì.


EDIT: certo che a vedere vecchie sue discussioni 2008...ne è passata di acqua, anzi, di bit tra i cavi... "Problema per configurazione senza user e password"

Eh insomma, prima si vanta in lungo e in largo di essere un "genio dietro hacking team" (cosa che potrebbe scrivere anche mia nonna che manco lo sa accendere un pc), poi scopri che usa "passw0rd" come password... beh... diciamo che uno si fa qualche domanda sulle sue effettive capacità e su quanto si sia effettivamente discostato da quel "Problema per configurazione senza user e password"

Date un occhiata qui:
http://motherboard.vice.com/read/hacking-team-asks-customers-to-stop-using-its-software-after-hack



Tra i loro clienti c'era l'FBI e varie forze di polizia, chissà come saranno "contenti" di sapere che il loro fornitore gli aveva infilato una backdoor di soppiatto.

Ma anche loro non sono troppo furbi, visto che si vanno a fidare di una società che solo dal nome fa venire in mente una cr3w di 15enni che giocano a fare gli h4k3rz :doh: .

Comunque chissà quanto sono felici i vari governi di vedersi sputtanati così grazie ad una società rivelatasi (?) a dir poco fuffa e gestita da totali principianti (anche se ci sarebbe altro da dire) :asd: .

192.168.1.1 -> Passw0rd.
Per non parlare di tutte le altre, uguali o troppo simili tra loro.

Belle foto, per il resto, sì.


EDIT: certo che a vedere vecchie sue discussioni 2008...ne è passata di acqua, anzi, di bit tra i cavi... "Problema per configurazione senza user e password"

dai non ci credo non può essere lui...
secondo me l'hanno assunto per sbaglio...hanno visto come programmava(ho letto certi post d'aiuto che facevano rabbrividire per la semplicità)...e avranno detto magari come sysadmin è meglio...e questo è il risultato :D

Cmq me lo immagino quando l'avranno assunto..."aho io so' hacker cracker fucker(vedi i link a youporn :) )..." :D

Dopo diversi “no comment” rifilati agli organi di informazione che chiedevano maggiori dettagli sull’attacco, uno dei membri dello staff della società, Christian Pozzi, ha voluto commentare l’accaduto su Twitter prima della cancellazione (o disattivazione) dell’account: «Noi siamo svegli. I responsabili di questo saranno arrestati. Stiamo lavorando con la polizia… Non credere a tutto quello che leggete. La maggior parte delle informazioni che gli hacker stanno diffondendo non sono vere. Gli aggressori stanno diffondendo un sacco di bugie sulla nostra società».
proprio svegli...ahahaah :D

"Violato il team italiano alla base dei tool di sorveglianza" :wtf:

difficile immaginare un titolo più azzeccato, eh... fate proprio passare la voglia di venire ad informarsi qui, contenti voi...

I responsabili di questo saranno arrestati. Stiamo lavorando con la polizia…

quindi a questi sedicenti geni dell'informatica dalle fatture milionarie adesso le rogne gliele deve risolvere il poliziotto della Postale pagato 900 euro al mese?
ROTFL!

quindi a questi sedicenti geni dell'informatica dalle fatture milionarie adesso le rogne gliele deve risolvere il poliziotto della Postale pagato 900 euro al mese?
ROTFL!

ma soprattutto...per beccarli cosa faranno?potrebbero usare un software in loro possesso...mi sembra si chiami DaVinci...ah no...è stato hackerato :D

Scusate ma perchè esiste un file con account e password in chiaro?

Scusate ma perchè esiste un file con account e password in chiaro?

in che senso?

Scusate ma perchè esiste un file con account e password in chiaro?

Conosci altri modi più sicuri per memorizzare le tue password?

Conosci altri modi più sicuri per memorizzare le tue password?

Usare un password manager tipo keypass? :)

Scusate ma perchè esiste un file con account e password in chiaro?

probabilmente perchè erano troppo tirchi per acquistare un'applicazione che fungesse da password manager (oppure non sapevano che ne esistessero).
;)

Usare un password manager tipo keypass? :)

Ero tipo un pò ironico :D

Ero tipo un pò ironico :D

si scusami ho quotato te ma la risposta era per l'utente a cui hai risposto ;)

A te capita di installare applicazioni da siti o da mail ricevute? A me no, che si tratti di Android, Windows Phone o iPhone sempre e solo dallo store.

Con un certificato digitale potrebbero fare il MiM tra te e lo store ed iniettarti un software diverso da quello che stai tentando di scaricarti, no ?
Complicato ma credo fattibile.

dai non ci credo non può essere lui...
secondo me l'hanno assunto per sbaglio...hanno visto come programmava(ho letto certi post d'aiuto che facevano rabbrividire per la semplicità)...e avranno detto magari come sysadmin è meglio...e questo è il risultato :D

Cmq me lo immagino quando l'avranno assunto..."aho io so' hacker cracker fucker(vedi i link a youporn :) )..." :D

No no, in questo caso si scrive H4cK3r!!11!!!!1!!!11!!!!!111

Dopo diversi “no comment” rifilati agli organi di informazione che chiedevano maggiori dettagli sull’attacco, uno dei membri dello staff della società, Christian Pozzi, ha voluto commentare l’accaduto su Twitter prima della cancellazione (o disattivazione) dell’account: «Noi siamo svegli. I responsabili di questo saranno arrestati. Stiamo lavorando con la polizia… Non credere a tutto quello che leggete. La maggior parte delle informazioni che gli hacker stanno diffondendo non sono vere. Gli aggressori stanno diffondendo un sacco di bugie sulla nostra società».
proprio svegli...ahahaah :D

Talmente svegli (soprattutto lui) che le sue password per svariati servizi sono, nell'ordine:
wolverine
Passw0rd!81
Passw0rd!81 (la stessa)
Passw0rd
Passw0rd (la stessa)
Passw0rd (la stessa)
Passw0rd (la stessa)
Passw0rd (la stessa)
universo
Passw0rd!81 (la stessa di prima)

Non oso immaginare cos'altro facesse. A questo non affiderei nemmeno la chiave del ripostiglio delle scope :doh: .

Scusate ma perchè esiste un file con account e password in chiaro?

Perchè sono talmente svegli (parole loro) e questo elemento è talmente un genio (parole sue) che le password e gli username erano allegramente memorizzati in chiaro.

Per non parlare del fatto che un sysadmin (mi vengono i brividi a chiamarlo così) di un gruppo che si occupa di penetrare sistemi/raccogliere ilelcitametne informazioni, che utilizza password come quelle di cui sopra la dice lunga sulla sua (in)capacità e inadeguatezza a ricoprire tale ruolo, ma la dice ancora più lunga sulla serietà ed affidabilità di tutto il gruppo, che SICURAMENTE era a conoscenza del modus operandi di questo tizio.

Dei totali principianti ed imbranati.

Con un certificato digitale potrebbero fare il MiM tra te e lo store ed iniettarti un software diverso da quello che stai tentando di scaricarti, no ?
Complicato ma credo fattibile.

Sì, vero si potrebbe fare (cioè credo sia fattibile, non che io ne sia in grado :D). Ma nell'articolo per la parte iOS (non ricordo se l'ho letto qui su HwUpgrade o altrove) mi pare si parli solo di applicazioni inviabili via mail oppure creando un sito web apposito. Il certificato rende di fatto "autorizzata" l'applicazione (che viene vista dal sistema come lecita), ma non è detto che si possa fare come indichi tu. Purtroppo non sono così ferrato in materia :stordita:

Dei totali principianti ed imbranati.

Oddio, forse è facile parlare adesso che le cose sono (sembrano) sotto gli occhi di tutti. Ma ci sono fatture milionarie e contratti con stati e governi esteri. Principianti ed imbranati non mi sembrano.
Ovvio che con quello che è uscito non vorrei essere in loro neanche se mi pagassero.

No no, in questo caso si scrive H4cK3r!!11!!!!1!!!11!!!!!111



Talmente svegli (soprattutto lui) che le sue password per svariati servizi sono, nell'ordine:
wolverine
Passw0rd!81
Passw0rd!81 (la stessa)
Passw0rd
Passw0rd (la stessa)
Passw0rd (la stessa)
Passw0rd (la stessa)
Passw0rd (la stessa)
universo
Passw0rd!81 (la stessa di prima)

Non oso immaginare cos'altro facesse. A questo non affiderei nemmeno la chiave del ripostiglio delle scope :doh: .



Perchè sono talmente svegli (parole loro) e questo elemento è talmente un genio (parole sue) che le password e gli username erano allegramente memorizzati in chiaro.

Per non parlare del fatto che un sysadmin (mi vengono i brividi a chiamarlo così) di un gruppo che si occupa di penetrare sistemi/raccogliere ilelcitametne informazioni, che utilizza password come quelle di cui sopra la dice lunga sulla sua (in)capacità e inadeguatezza a ricoprire tale ruolo, ma la dice ancora più lunga sulla serietà ed affidabilità di tutto il gruppo, che SICURAMENTE era a conoscenza del modus operandi di questo tizio.

Dei totali principianti ed imbranati.

ma sai che più che essere principianti e imbranati...secondo me è vera e propria arroganza...si sentivano così sicuri di conoscere questi aspetti che hanno avuto l'arroganza di pensare che non avessero bisogno di certi strumenti perchè tanto nessuno avrebbe sfondato le loro difese

ma sai che più che essere principianti e imbranati...secondo me è vera e propria arroganza...si sentivano così sicuri di conoscere questi aspetti che hanno avuto l'arroganza di pensare che non avessero bisogno di certi strumenti perchè tanto nessuno avrebbe sfondato le loro difese

Credo anche io sia questione di arroganza e di delirio di onnipotenza. Alla fine spulciando qualche nome sono tutti ragazzi giovani (non li ho guardati tutti) e farsi prendere dall'entusiasmo è un attimo. Ovviamente i professionisti non dovrebbero farlo, quando cala l'attenzione... succede quello che è sotto gli occhi di tutti :)

Oddio, forse è facile parlare adesso che le cose sono (sembrano) sotto gli occhi di tutti. Ma ci sono fatture milionarie e contratti con stati e governi esteri. Principianti ed imbranati non mi sembrano.
Ovvio che con quello che è uscito non vorrei essere in loro neanche se mi pagassero.

Pensa se (e ne avrebbero tutto il diritto) chiedessero anche un rimborso di quanto speso per l'acquisto di un software oramai inutile :stordita: .
Aggiunto alla "fregatura" della backdoor :asd:

ma sai che più che essere principianti e imbranati...secondo me è vera e propria arroganza...si sentivano così sicuri di conoscere questi aspetti che hanno avuto l'arroganza di pensare che non avessero bisogno di certi strumenti perchè tanto nessuno avrebbe sfondato le loro difese

Vero, effettivamente potrebbe essere delirio di onnipotenza ed arroganza.
Anzi, a questo punto lo spero anche...

Credo anche io sia questione di arroganza e di delirio di onnipotenza. Alla fine spulciando qualche nome sono tutti ragazzi giovani (non li ho guardati tutti) e farsi prendere dall'entusiasmo è un attimo. Ovviamente i professionisti non dovrebbero farlo, quando cala l'attenzione... succede quello che è sotto gli occhi di tutti :)

Già... beh, se la sono anche cercata.
Sono dell'idea che una società del genere debba restare più anonima e di "basso profilo" possibile.
Altro che firme di autoproclamazione su un forum pubblico :doh:

Oddio, forse è facile parlare adesso che le cose sono (sembrano) sotto gli occhi di tutti. Ma ci sono fatture milionarie e contratti con stati e governi esteri. Principianti ed imbranati non mi sembrano.


se hai a che fare con dei burocrati messi lì perchè sono parenti di qualcuno o "amici degli amici" (e credetemi, è la norma sia nei grandi paesi industrializzati che nelle dittature del terzo mondo), basta saper accendere il computer per passare per un grande hacker, a volte.

Pensa se (e ne avrebbero tutto il diritto) chiedessero anche un rimborso di quanto speso per l'acquisto di un software oramai inutile :stordita: .
Aggiunto alla "fregatura" della backdoor :asd:


Guarda sinceramente penso che anche con tutta la buona volontà l'azienda sia morta. Ma penso faranno fatica anche i dipendenti a rivendersi. Tu, azienda di sicurezza, prenderesti un ex-dipendente di un'azienda spazzata via da una cosa del genere? Io sinceramente no :)


Già... beh, se la sono anche cercata.
Sono dell'idea che una società del genere debba restare più anonima e di "basso profilo" possibile.
Altro che firme di autoproclamazione su un forum pubblico :doh:

Assolutamente profilo più basso e anonimo possibile. A meno che tu non debba dare servizi a privati e farti pubblicità (mi viene in mente Tom Ponzi :D). Anche perchè col profilo alto diventi bersaglio facile e poi tocca difendersi. Meglio passare inosservati :)

se hai a che fare con dei burocrati messi lì perchè sono parenti di qualcuno o "amici degli amici", basta saper accendere il computer per passare per un grande hacker, a volte.

Sì ma un programma di questo tipo non si fa da solo. Ci può stare che su 30/40 dipendenti quelli validi a livello tecnico siano la minoranza e gli altri siano "manovalanza". Ma è anche vero che questi ultimi non mettono di sicuro mano al core dell'applicazione. Poi io non ci lavoro e quindi sono solo supposizioni (e anche un pò speranze :)).

Sì ma un programma di questo tipo non si fa da solo.

certo che no, ma ci sono anche altre società, altrettanto note in determinati "circoli" (*), che propongono e vendono, fa tempo, software analoghi, quindi tanto complicato da creare non deve poi essere.


(*) ...e una di queste è già stata colpita in maniera analoga dallo stesso individuo che ha rivendicato la breccia di Hacking Team

Guarda sinceramente penso che anche con tutta la buona volontà l'azienda sia morta. Ma penso faranno fatica anche i dipendenti a rivendersi. Tu, azienda di sicurezza, prenderesti un ex-dipendente di un'azienda spazzata via da una cosa del genere? Io sinceramente no :)


Ma non ci penserei minimamente ad assumerli.


Assolutamente profilo più basso e anonimo possibile. A meno che tu non debba dare servizi a privati e farti pubblicità (mi viene in mente Tom Ponzi :D). Anche perchè col profilo alto diventi bersaglio facile e poi tocca difendersi. Meglio passare inosservati :)


Eh, infatti.
Già a partire dal nome: il solo chiamarsi "hacking team" è una fesseria (da probabile delirio di onnipotenza, come detto sopra), perchè a qualunque persona "del mestiere" appena vede una società chiamata "hacking team" viene voglia di bucarne i sistemi.
Se poi viene a sapere che fanno quello che fanno... addio.
Personalmente avrei scelto o un acronimo o un nome generico, tipo, che ne so, "software da peppino" :stordita: .

Se state pensando che c'è un gruppo di hacker che ha a cuore la privacy dei cittadini e ha fatto breccia in DaVinci vi sbagliate, semplicemente sarà stata qualcuna delle aziende concorrenti che vuole rubare clienti a questo gruppo.

Con un certificato digitale potrebbero fare il MiM tra te e lo store ed iniettarti un software diverso da quello che stai tentando di scaricarti, no ?
Complicato ma credo fattibile.Possono avere un certificato falso ma devono anche craccare la comunicazione tra te e lo store che non avviene in chiaro ma via SSL (tipo gli HTTPS) sennò non possono sostituirsi.
Devono ovviamente essere fisicamente sulla linea che trasporta i segnali tra te e lo store, visto che le comunicazioni sono punto a punto.

Devono anche falsificare la chiave crittografica e checksum dell'applicazione.

Sbattimento pauroso.

Fai MOLTO prima ad aggirare i "controlli" (quali controlli? :rolleyes: ) per farti pubblicare una app sullo store.

Se state pensando che c'è un gruppo di hacker che ha a cuore la privacy dei cittadini e ha fatto breccia in DaVinci vi sbagliate, semplicemente sarà stata qualcuna delle aziende concorrenti che vuole rubare clienti a questo gruppo. Resta il fatto che il risultato ultimo è un beneficio per la collettività.

la psw in chiaro è quella del prorpio router, se hai un modem esterno a casa sarà la stessa anche per te

Secondo me no, magari si trattata di un gruppo di inesperti che hanno semplicemente preso su "commissione" il programma realizzato da qualcun'altro. Come dire, serviva qualcuno a metterci la faccia per poter avere un servizio in grado di "attirare clienti"? Dubito che un gruppo di esperti memorizzi qualunque password in chiaro (anzi, dubito proprio che memorizzi file sensibile in macchine collegate ad internet ^^).

la cosa comunque sta assumendo proporzioni mastodontiche.
al netto della questione della vendita di software a paesi in blacklist, sono presenti numerosi dettagli tecnici di esiti di penetration test effettuati nei sistemi di banche, finanziarie e in genere società private, oltre a giga e giga di posta.

a me la cosa che più fa impressione è la totale leggerezza delle policy di sicurezza interna adottate dal nostro "collega" utente del forum... mi lascia talmente perplesso che inizio a dubitare seriamente della veridicità di tutta l'operazione.
La società fattura(va) tra i 10 e 17 milioni di €, vendendo software per l'intercettazione a governi, forze di polizia etc. Possibile che abbiamo messo come sysadmin uno che faceva domande sull'UAC di Windows Vista???

Ah, chiaramente l'unico modo per avere aggiornamenti sulla vicenda è il blog di Attivissimo, perchè se aspettiamo HWU ci ritroviamo a parlare del prossimo Iphone 6S...

Ah, chiaramente l'unico modo per avere aggiornamenti sulla vicenda è il blog di Attivissimo, perchè se aspettiamo HWU ci ritroviamo a parlare del prossimo Iphone 6S...

O di favij :asd: :doh:

quand'ero in italia lavoravo per un'azienda che aveva come clienti il ministero della difesa... di certo i nostri interlocutori non spiccavano nel ramo tecnico.. per cui vendere ad un governo non vuol dire assolutamente niente..
Io però non riesco proprio a capire come anche l'FBI (che, nonostante non brilli per acume, vedi il periodo di pgp versione americana scaricabile solo da USA e Canada controllando solo l'ip, mi pare strano lo stesso) sia stata uno dei loro clienti: forse per motivi di budget ristretti? Proprio non capisco, con fior fiore di aziende del settore che hanno in USA. :confused:

la società violata con sede a Milano è fornitrice di servizi per lo spionaggio anche in paesi come il Sudan e la Russia, grazie ai suoi software alcuni "stati non molto liberali" hanno potuto arrestare, deportare, uccidere 1000aia di attivisti per i diritti umani etc etc... insomma ora non dico che questi hacker sono dei Santi... ma almeno hanno fatto luce e chiarezza su questa bella realtà italiana di eccellenza che lavorava per degli amorevoli stati "canaglia" o giù di lì...

ehi, ma poi quale sarebbe il problema? il mantra moderno non è "se non hai niente da nascondere..."?

visto che loro aiutano solo i "buoni" ( e chi sarebbero poi? USdronA e UssE? ), dove sta il problema di mostrare al popolo le loro "buone" attività?

ma almeno hanno fatto luce e chiarezza su questa bella realtà italiana di eccellenza che lavorava per degli amorevoli stati "canaglia" o giù di lì...Perchè invece gli USA sono buoni e rispettano tanto i diritti a Guantanamo. :asd:

Perchè invece gli USA sono buoni e rispettano tanto i diritti a Guantanamo. :asd:

e avresti dovuto vedere come li rispettavano in Sud e Centro America, dove mandarono team di berretti verdi addestrati a scuoiare vivi i civili, per fiaccare il morale della popolazione e dell'esercito locale

se e te non hai visto come sono buoni i nostri politici a favorire i loro amici imprenditori del nord mentre in accordo con la camorra vincono gli appalti internazionali per smaltire le scorie nucleari dei reattori francesi in siti "legalissimi" in Libia.

Non facciamo a gara a chi lo tiene più cattivo... o a chi è più informato.

Io dico semplicemente che se piove cacca sui malvagi è sempre un bene... possono essere americani russi cinesi italiani... non frega una cippa lippa.

e avresti dovuto vedere come li rispettavano in Sud e Centro America, dove mandarono team di berretti verdi addestrati a scuoiare vivi i civili, per fiaccare il morale della popolazione e dell'esercito localeHai visto quello che fanno gli USA a guantanamo?
Quelli che non prendono neanche la briga di nascondersi va bene tutto, ma quelli che si spacciano per "difensori della libertà"....

se e te non hai visto come sono buoni i nostri politici a favorire i loro amici imprenditori del nord mentre in accordo con la camorra vincono gli appalti internazionali per smaltire le scorie nucleari dei reattori francesi in siti "legalissimi" in Libia.Considerando che la francia riprocessa tutto (e anche per altre nazioni) e le scorie rimaste se le tengono loro al centro di riprocessing visto che occupano pochissimo spazio (motivo primario del reprocessing), mi chiedo dove leggi queste cose.

Io dico semplicemente che se piove cacca sui malvagi è sempre un bene..Io dico che dipende. Se i malvagi tengono su il sistema di tutti, finisce che ci rimettono sempre i più deboli.

Io dico che dipende. Se i malvagi tengono su il sistema di tutti, finisce che ci rimettono sempre i più deboli.

la giustizia ha la benda ricordi?
se i malvagi tengono su il sistema... e colpire i malvagi significa infliggere indirettamente sofferenze ad innocenti... beh sai lo insegnavano a scuola.

la giustizia è imparziale, non puoi dire non lo sapevo, non coveniva avere virtù in quel momento, che cosa avrei potuto fare se non, ero obbligato a...

io spezzo le gambe a tutti, indiscriminatamente e senza assolutamente prendere in considerazione le conseguenze... questa è la giustizia, non è equa non è accondiscendente.


delle scorie francese in libia passate per l' italia ci sono libri di giornalisti premiati e servizi fatto alla cara rai... insomma non è proprio la congiura dei pazzi a dire certe cose.

nota: la raddiottività di sottoprodotti nucleari è come una firma... si sa perfettamente il reattore che li ha prodotti.

Faccio notare che il metallo giallo o il metallo luccicante non hanno poteri magici.

Già ora in tanti ci hanno rimesso un botto quando il prezzo dell'oro è crollato di 10 euro al grammo (da 40 a 30 euro al grammo) alla "fine" della crisi.

Il prezzo dei materiali preziosi dipende dal mercato, nulla ha un valore intrinseco.

La sicurezza economica senza usare la testa non esiste. O ti sbatti o perdi tutto.


ma del resto te sostieni che l' oro e il platino non servono a nulla quando storicamente negli ultimi secoli la storia ha detto il contrario... va bhè non mi aspetto grandi cose da te.

Non serve mica scaricare il torrent:
http://www.hwupgrade.it/forum/member.php?u=47239

Basta leggere la firma:

Il classico tipo modesto che se la tira poco :sofico: :sofico:


Eh insomma, prima si vanta in lungo e in largo di essere un "genio dietro hacking team" (cosa che potrebbe scrivere anche mia nonna che manco lo sa accendere un pc), poi scopri che usa "passw0rd" come password... beh... diciamo che uno si fa qualche domanda sulle sue effettive capacità e su quanto si sia effettivamente discostato da quel "Problema per configurazione senza user e password"

:asd:

Lo screenshot l'ho preso da qui:
http://attivissimo.blogspot.it/2015/07/lo-spione-spiato-hacking-team-si-fa.html

Credo provenga da uno dei file presenti nei famosi 400GB.

By(t)e

Io su Tom's ho trovato questa:

https://i.imgur.com/kfZiUQR.jpg

ultimo aggiornamento :


so c@zzi !!!!!
se comincia a girare quel certificato tutti a fare malware per apple senza bisogno di passare per l'appstore

hai qualche informazione in più?

se hanno un ottenuto un account developer enterprise da Apple non è niente di che, li ho anche io per i miei clienti e non mi chiamo Hacking Team :D
tramite quel certificato posso firmare applicazioni e distribuirle al di fuori di App Store, cosa che faccio frequentemente
i clienti però devono esplicitamente autorizzare l'installazione dell'app ad esempio toccando un link in una mail o in una pagina web che gli fornisco

quindi sì, l'app store si può bypassare tranquillamente però l'utente ne è informato

beh spero che il certificato sia revocabile...

Credo anche io sia questione di arroganza e di delirio di onnipotenza. Alla fine spulciando qualche nome sono tutti ragazzi giovani (non li ho guardati tutti) e farsi prendere dall'entusiasmo è un attimo. Ovviamente i professionisti non dovrebbero farlo, quando cala l'attenzione... succede quello che è sotto gli occhi di tutti :)

uno dei dipendenti lo conosco ha fatto l'uni con me e si vedeva che era uno in gamba, poi ci siamo persi di vista e qualche tempo fa ho scoperto tramite linkedin che lavorava per questa società
probabilmente non è lui che ha combinato il casino però anche i migliori possono sbagliare

beh spero che il certificato sia revocabile...

sì certo ma si fa sempre in tempo a chiederne un altro
basta pagare 299$ l'hanno e avere il DUNS quindi essere una società ma non ci vuole molto basta averne una di comodo...

la giustizia ha la benda ricordi?Quella era la fortuna a casa mia. (mentre la sfiga ci vede benissimo)

La giustizia non ha la bilancia e basta? :mbe:

Sono quei matti degli USA che fanno statue di una Giustizia bendata... :rolleyes:

Le versioni vecchie della Giustizia (fino a prima gli USA) la benda non l'hanno mica.
https://commons.wikimedia.org/wiki/File:Dublin_Castle_Gates_of_Fortitude_and_Justice_05.JPG

Alla giustizia gli occhi servono, sono il discernimento.

se i malvagi tengono su il sistema... e colpire i malvagi significa infliggere indirettamente sofferenze ad innocenti... beh sai lo insegnavano a scuola.Quello che non insegnano a scuola è che se ti limiti a distruggere un sistema, per malvagio che sia, tu stai facendo solo dei danni. Punire i malvagi non è giustizia ma vendetta, e in generale può essere divertente ma sul lungo periodo è inutile e dannosa.

Perchè in tutti i casi ci rimettono quelli per cui in teoria lo stai facendo, spesso anche di parecchio.

Quello che causa cambiamenti è fornire una alternativa plausibile al sistema o ad una sua parte, POI puoi iniziare a smantellare quello vecchio mentre migri a quello nuovo. I cattivi li puoi punire dopo se vuoi, o fregartene pure. L'importante è levarli dal potere, dargli degli schiaffetti non serve.

Quello che puntano a fare i Bitcoin, ad esempio.

Sì è difficile, ma è l'unica cosa che funziona. La violenza e la vendetta sono storicamente degli sprechi di risorse.

io spezzo le gambe a tutti, indiscriminatamente e senza assolutamente prendere in considerazione le conseguenze... questa è la giustizia, non è equa non è accondiscendente.Quella non è giustizia, e non è neanche quello che viene chiamato tale. Non è neanche vendetta. E' solo violenza senza senso. :mbe:

delle scorie francese in libia passate per l' italia ci sono libri di giornalisti premiati e servizi fatto alla cara rai... insomma non è proprio la congiura dei pazzi a dire certe cose.Da Google non trovo nulla, potresti per favore dirmi di più?

nota: la raddiottività di sottoprodotti nucleari è come una firma... si sa perfettamente il reattore che li ha prodotti.Considerando che il grosso dei reattori sono fatti in serie, o ci metti una etichetta o fai fatica a sapere esattamente da dove viene.

ma del resto te sostieni che l' oro e il platino non servono a nullati rispondo più approfonditamente nel thread apposito, no crossposting.

Sapete se nel materiale "fuoriuscito" sia presente il software usato per l'attività di hacking e se questo richieda di disporre delle infrastrutture dei provider nazionali (Dns, etc.) per attuare un attacco ?

Quella era la fortuna a casa mia. (mentre la sfiga ci vede benissimo)

La giustizia non ha la bilancia e basta? :mbe:



https://upload.wikimedia.org/wikipedia/commons/a/af/1660_blk_19329_zoom.png

la giustizia ha sempre avuto la benda sugli occhi... la benda simboleggia il suo totale essere indiscriminata e la sua non curanza delle cose delle uomini.

la vera giustizia è un mostro... e preferisco il mostro antico piuttosto la giustizia del ricco di oggi... dove basta pagare la cifra giusta e tutto è lecito.


mi ero ripromesso di non postare più... ma quando vedo entrare in scena l' ignoranza e l' arroganza non posso far finta di niente... come ho gà ribadito sei solo un flamer che va in giro a sostenere tesi ridicole per incominciare diatribe infinite e aggiungo insensate su decine di forum... my last post you are a "wrong person"

(lo so che è bannato ma posto lo stesso)
la giustizia ha sempre avuto la benda sugli occhi... la benda simboleggia il suo totale essere indiscriminata e la sua non curanza delle cose delle uomini.La versione originale, pre-USA principalmente, no. Come linkato sopra, come presente nei quadri di Giotto del 1300, come presente nelle statue e monete romane.

La benda è una addizione fondamentalmente senza senso (imho) che risale al quindicesimo secolo https://en.wikipedia.org/wiki/Lady_Justice#Blindfold

la vera giustizia è un mostro...La giustizia è un costrutto della mente umana.

Tu forse stai confondendo le leggi universali con la giustizia. Le leggi universali sono fisse e meccaniche ma fondamentalmente ingiuste e arbitrarie, perchè non sono fatte dall'uomo.

La giustizia è fissa e meccanica ma segue regole comunque arbitrarie ma ritenute "giuste" dagli uomini appunto.

Considerando che il grosso dei reattori sono fatti in serie, o ci metti una etichetta o fai fatica a sapere esattamente da dove viene.

E' relativamente semplice se si parla di scorie di reattori nucleari.

Vi sono differenti famiglie di reattori nucleari e di solito la stessa famiglia subisce delle variazioni e migliorie nel tempo. La cosa riguarda sia parametri costruttivi che di funzionamento.
Quindi a partire dalle scorie è possibile capire se sono state prodotte con un reattore LWR, PWR, SCWR, CANDU ecc. poi vi sono differenze in base all'azienda o stato costruttore del reattore e della centrale, infine vi sono differenze legate al combustibile utilizzato (grado di arricchimento, processo di arricchimento usato, ecc.).
Questo perche gli isotopi prodotti e le loro percentuali dipendono da quanto descritto sopra, poi se si tratta di scorie processate per recuperare materiale utile e separare le scorie "facili da smaltire" da quelle "rognose", si hanno ulteriori indicatori.

Ovviamente a patto che tali scorie non vengano disperse nell'ambiente a pene di segugio. :stordita: