Il mercato della prostituzione del Web

web

Avere un sito Web oggigiorno è diventato fondamentale per far crescere il proprio business o più semplicemente per dare la possibilità di essere conosciuti da potenziali clienti. Si sceglie un dominio, ci si rivolge ad un professionista e il problema è risolto.
Così facile direte voi? Magari…
Uno dei primi errori in cui si incappa (non spesso ma di più) quando ci si rivolge ad una “Web Agency” è il metro di paragone del prodotto che si basa principalmente sul prezzo. Si paragona un Sito Web ad un sacco di patate e si cerca chi fa il prezzo più basso. Vediamo tutto questo cosa comporta nel caso volessimo realizzare un e-commerce:

1) La Web Agency in questione, pur di accaparrarsi il cliente, offre un prodotto basato su una piattaforma già pronta (Commerciale e Open Source che per loro si traduce in gratis) diminuendo se non azzerando i costi di sviluppo.

2) Si installano plugin già pronti per andare incontro alle esigenze del cliente (poveri illusi).

3) Si utilizzano i metodi standard di posizionamento, analisi delle parole chiave, analisi di mercato (se si è fortunati), utilizzo di Google AdWords contando sul fatto che la piattaforma scelta sia ottimizzata per lo scopo (di nuovo, poveri illusi).

4) Il cliente ha il suo sito web, ben posizionato (per quella settimana che paga la campagna di Google poi a stento lo troverà nell’ ultima pagina) e si riterrà soddisfatto del fatto che ha avuto un prodotto del genere ad un prezzo così basso (povero illuso).

Cosa succede:

1) Dopo la prima settimana che google mostra il suo sito nelle prime posizioni (su determinate parole chiave), improvvisamente scompare dalle prime pagine e finisce chissà dove

2) Dopo aver inserito un centinaio di articoli, il sito rallenta improvvisamente rendendo impossibile la navigazione (chissà come mai..).

3) Il sito non si comporta come previsto (es: un oggetto non viene aggiunto nel carrello come vi aspettavate) e dunque contattate il fornitore del servizio che inspiegabilmente (ma va?) dice che non può implementarvi quella funzionalità perchè il sito non lo permette (o forse perchè non è in grado di farlo).

4) Dopo un aggiornamento del core della piattaforma, il sito smette di funzionare o la grafica dello stesso risulta completamente sballata. Il tutto si traduce in Sito completamente inutilizzabile, rischi potenziali sulla sicurezza (Errori di PHP/MySQL che mostrano dati sensibili tra cui credenziali di accesso al database o percorso di dove si trovano files sensibili).

5) Nella peggiore delle ipotesi (la quale succede nel 70% dei casi) un hacker trova una falla di sicurezza nella piattaforma/plugin che voi state utilizzando e la utilizza per estrapolare i vostri dati sensibili che, nella peggiore delle ipotesi, si traducono in sottrazione di denaro vostra o dei vostri clienti.

Quanti di voi sono già stati vittima di queste esperienze? Non so voi ma questa al mio paese si chiama TRUFFA.

Bene, ora osserviamo un altro errore in cui si può incappare facilmente quando ci si rivolge ad una “Web Agency”.
Supponiamo di avere la necessità di dover realizzare una piattaforma di media complessità con delle caratteristiche specifiche. In questo caso l’ opzione CMS Pre-Confezionato risulta improponibile (per chi comprende il significato della parola analisi delle criticità e ottimizzazione di codice) e quindi l’ attenzione si sposta su chi è in grado di fornire una soluzione su misura.
Anche in questo caso il metro di paragone utilizzato è il prezzo, nella maggior parte dei casi (poveri voi).

Vediamo cosa comporta:

1) Realizzare un prodotto su misura richiede dei tempi di sviluppo maggiori che si traducono in costi per il cliente.

2) Per cercare di contenere i costi il più possibile, lo sviluppatore si concentra sull’ aspetto grafico e sulle funzionalità di base del prodotto tralasciando la parte fondamentale dello sviluppo: LA SICUREZZA

3) Costi aggiuntivi per il posizionamento e per la predisposizione della piattaforma al SEO.

Cosa succede:

1) Il cliente è soddisfatto del prodotto, ha le funzionalità che cercava al prezzo richiesto.

2) Quello che però non sa è che la sua piattaforma non è stata testata a fondo (il famoso discorso dei casi d’ uso) il più delle volte per mancanza di tempo e, a volte, per mancanza di “skill” da parte dello sviluppatore che non possiede il know-how necessario a prevedere i possibili attacchi alla sua piattaforma.

3) Di conseguenza al punto precedente, i dati sensibili presenti nella sua piattaforma finiscono nelle mani di malfattori, il più delle volte senza che il legittimo proprietario dei dati sensibili se ne accorga.

Cosa ci insegna tutto questo?

1) Non vi fidate di chi vi propone una soluzione già pronta e vi promette mari e monti ad un costo contenuto. Quasi sempre vi ritroverete a spendere il triplo per poter sistemare i danni causati da queste persone.

2) Non vi fidate di chi millanta prodotti su misura sfoggiando un portfolio clienti numeroso. Richiedete sempre le specifiche tecniche del prodotto che andrete ad utilizzare perchè nella quasi totalità dei casi, i loro prodotti non sono conformi agli standard di sicurezza necessari a tutelare i vostri dati sensibili.

Grazie per essere arrivato fino in fondo all’ articolo, nella speranza che l’ articolo possa essere stato utile e che abbia aperto degli spunti per una riflessione.

Modifica Telecom CuboVision . Trasformarlo in un mini PC con Gnome!!!

Salve a tutti, in questi giorni mi hanno regalato nuovi giocattolini, quindi oggi voglio proporvi una guida su come trasformare il nostro cubovision (prodotto da Amino) in un versatile mini pc da tavolo.

cubovision-telecomitalia

Dovete sapere che il nostro bel cubovision non è nient’ altro che un dispositivo dotato di un processore intel atom 1.20 GHz, 1GB RAM DDR3, Hard Disk da 250GB con sopra montato una versione personalizzata (da Telecom) di Meego 1.0.

Solita premessa:

La guida è stata testata e non ha causato alcun tipo di brick. Inoltre, l’ intera procedura è reversibile con un ripristino impostazioni di fabbrica da menu telecom.

NON MI ASSUMO COMUNQUE ALCUNA RESPONSABILITA’ IN CASO DI BRICK, DATO CHE LA GUIDA E’ STATA PIU’ VOLTE TESTATA IN OGNI SUO PASSAGGIO E NON HA CAUSATO ALCUN PROBLEMA!!!

AL MOMENTO LA GUIDA E’ SEMIDEFINITIVA, DATO CHE IL RISULTATO DA ME OTTENUTO E’ SODDISFACENTE MA ESTETICAMENTE NON OTTIMALE. C’E’ DA FARE QUALCHE MIGLIORIA, DATO CHE AL MOMENTO NON FUNZIONA L’AUDIO. CHIUNQUE FOSSE INTERESSATO A CONTRIBUIRE, PUO’ LASCIARE COMMENTI. IL BLOG ESISTE ANCHE PER QUESTO.

INIZIAMO!!!

Software Utilizzati:

Ubuntu Linux 13.04 (un CD live di qualsiasi distro linux va più che bene).

Putty

Hardware Utilizzati:

1 PC

1 Router per la connessione a internet

1 Televisore collegato con HDMI

Prima di iniziare è consigliabile effettuare un’ aggiornamento del software del nostro cubo all’ ultima versione disponibile tramite l’ apposito menu telecom. Successivamente smontiamo il nostro cubo, osservando le due foto in basso, svitando con un cacciavite a croce dapprima le zone cerchiate in rosso, successivamente le zone  cerchiate in blu e per finire, muniti di una chiave esagonale, svitare le zone cerchiate in verde.

cubovision1

cubovision2

Una volta aperto il nostro cubo, svitiamo le ultime 4 viti per staccare l’ Hard Disk dal nostro cubo e collegarlo al nostro PC. Una volta collegato, fate partire la vostra distro linux (nel mio caso utilizzeremo ubuntu).

Aprite una shell da terminale. Digitiamo cd /media premendo invio e successivamente ls premendo invio.

Noteremo che ci troveremo davanti ad almeno 4 partizioni denominate con caratteri numerici ed alfanumerici. Procedendo a tentativi, digitiamo cd e il nome del disco,  fin quando non troveremo la partizione dove sarà presente la cartella etc oltre alle altre cartelle.

Fatto questo, digitiamo “cd etc” e invio, “cd ssh” e invio, dopodichè digitiamo “sudo gedit sshd_config” e invio (se non avete gedit, vi suggerisco di installarlo; ovviamente i comandi vanno scritti senza gli apici “). Una volta aperto il file, cerchiamo la stringa PasswordAuthentication e cambiamo la parola no in yes. Salviamo il file e chiudiamo gedit.

Fatto questo dobbiamo cambiare la password di root del cubovision in questo modo:

Digitiamo chroot /media/<nome della partizione> (dove nome della partizione è lo stesso della partizione utilizzata in precedenza, quella con caratteri numerici e alfanumerici). Fatto questo digitiamo “passwd” e inseriamo la nuova password per l’utente root.

Una volta completate tutte le operazioni, spegnamo il nostro PC e rimontiamo l’ hard disk dentro al nostro cubo.

Facciamo partire il nostro cubo collegato al nostro router di casa e accendiamo il PC ovviamente collegato anch’esso alla nostra rete LAN domestica.

Fatto questo, scarichiamo dal nostro PC un client SSH (io ho utilizzato putty facilmente reperibile in rete) e identifichiamo l’ IP del cubo che gli è stato associato dal nostro modem (se avete un router telecom, basta andare nel pannello del router aprendo il vostro browser alla pagina http://192.168.1.1 e vedere quanti dispositivi LAN sono connessi alla rete).

Trovato l’ IP locale del nostro cubo, apriamo putty e colleghiamoci al servizio SSH del cubo. Premiamo si e inseriamo come utente root e come password la password che abbiamo scelto in precedenza.

Appena avremo una shell di comandi, digitiamo i seguenti comandi per aggiornare i nostri repository:

zypper ar http://repo.meego.com/MeeGo/releases/1.0/core/repos/ia32/packages/ core
zypper ar http://repo.meego.com/MeeGo/releases/1.0/extra/repos/ia32/packages/ extra
zypper ar http://repo.meego.com/MeeGo/releases/1.0/netbook/repos/ia32/packages/ netbook

e successivamente:

zypper refresh

Possiamo ora installare tutti i pacchetti necessari dai nostri nuovi repository digitando:

zypper install wget gnome-control-center-netbook gnome-desktop gnome-common gnome-themes gnome-disk-utility gnome-disk-utility-libs gnome-disk-utility-ui-libs gnome-icon-theme gnome-keyring gnome-keyring-pam gnome-media gnome-media-libs gnome-menus gnome-mime-data gnome-panel gnome-screensaver gnome-session gnome-settings-daemon gnome-sharp2 gnome-terminal gnome-vfs-sharp2 gnome-vfs2 gvfs gvfs-gphoto2 libbonoboui libgnome libgnomeui nautilus

Terminata l’ installazione, dobbiamo disattivare il software telecom che parte all’ avvio del cubo. Per fare questo, creiamo una cartella nella root del cubo chiamandola old. Andiamo in /etc/init.d e con il comando “mv amino* /old” sposteremo tutto nella cartella old, impendendo al software telecom di caricare. Riavviamo il cubo con il comando “reboot”.

Il nostro cubo ripartirà, ma rimarrà su schermata nera. Nessun problema, colleghiamo un mouse e una tastiera USB al nostro cubo, poi dal nostro PC riapriamoci una shell sul cubo con putty e, una volta dentro digitiamo:

xinit /usr/bin/gnome-session

VOILA’ qualcosa si incomincia a intravedere, ma non possiamo ancora muovere le finestre liberamente dato che metacity non è presente nel nostro repository. Fortunatamente (o quasi) il nostro cubo ha già installato un window manager chiamato twm (Tom’s Window Manager). Per utilizzarlo, creiamo sul nostro desktop un collegamento al terminale. Premiamo col pulsante destro sul desktop, scegliamo “Create Launcher”. Come Name mettiamo “Terminal” e Command: “gnome-terminal” premendo OK.

Clicchiamo sul collegamento appena creato (Terminal) e digitiamo nella finestra

twm

Ecco che compare il nostro Window Manager. Apriamo un nuovo terminal e digitiamo:

gnome-control-center

Quando si aprirà,  andare su “Startup Applications”, cliccare su “Add”; Dentro Name: digitare “Window Manager” e Command: digitare “twm”.

Non ci resta che far caricare il nostro Gnome desktop all’ avvio del cubo. Per fare questo, ho creato un piccolo script per semplificare tutto il lavoro. Ritorniamo sul nostro PC (dove avevamo lasciato putty aperto), andiamo nella directory /etc/init.d e digitiamo

wget http://repository.ilpuntotecnicoeadsl.com/files/BrainStorm/CuboVision/deskgnome

Fatto questo dobbiamo rendere lo script eseguibile e utilizzabile all’ avvio in questo modo:

chmod +x deskgnome
chkconfig --add deskgnome
chkconfig --level 345 deskgnome on

Digitiamo infine “reboot” e se avete seguito tutti i passaggi vi dovreste trovare qualcosa di simile:

cubovision_gnome

Happy Hacking a tutti!!!

OpenWRT su AGPWI Router Pirelli ADB ADSL2+ Telecom WiFi N

Dopo un lungo periodo di inattività sul mio blog (dovuto a impegni lavorativi), quest’ oggi vi propongo una breve guida su come poter installare il firmware OpenWRT sul nostro Router AGPWI telecom e trasformarlo così in un access point, hotspot, ecc..

La guida è stata testata e non ha causato alcun tipo di brick.

al momento installando questa versione di OpenWRT non è possibile utilizzare il modulo WiFi nè il modulo USB.

NON MI ASSUMO COMUNQUE ALCUNA RESPONSABILITA’ IN CASO DI BRICK, CHE RIMANE IN OGNI CASO UN RISCHIO CONSIDEREVOLE!!!

INOLTRE QUESTA PROCEDURA AL MOMENTO NON è REVERSIBILE;
SIGNIFICA CHE SE INSTALLATE OPENWRT SUL VOSTRO AGPWI, NON POTRETE PIU’ TORNARE AL FIRMWARE TELECOM ORIGINALE!!!!

La procedura è finalmente reversibile. Basta flashare il file AGPWI_1.1.0_013.bin scaricabile da http://repofulm.dyndns.org/index.php?dir=BrainStorm/AGPWI/OpenWRT/ .Ringrazio Miguel89 di http://www.ilpuntotecnicoeadsl.com per aver effettuato il backup della flash ufficiale e per avermela segnalata.

INIZIAMO!!!

Scaricate i files presenti in questo repository (grazie come sempre a fulmine500 per lo spazio): http://repofulm.dyndns.org/index.php?dir=BrainStorm/AGPWI/OpenWRT/

Impostate l’ IP della vostra scheda di rete lan su 192.168.1.4 con gateway 192.168.1.1 (e ovviamente subnet mask 255.255.255.0).

Fatto questo prendete il vostro AGPWI e, armati di un cacciavite, svitate le due viti presenti sul retro del vostro apparecchio. Tenete presente che ad entrambi i lati dell’ apparecchio, all’ interno c’è una linguetta di plastica che blocca ulteriormente il coperchio. Inserendo tra i buchi un cacciavite più piccolo spostare la levetta e sollevare, facendo una decisa pressione, il coperchio del router.

Ora che il nostro router è finalmente aperto, colleghiamolo al PC con un cavo ethernet e alla corrente ma non accendetelo ancora.

Successivamente, con una graffetta oppure con un filo elettrico, ponticellare le due resistenze come in figura e accendere il router.

La luce power del nostro router diventerà così rossa e ci permetterà di entare nel pannello all’ indirizzo http://192.168.1.1

Comparirà la classica schermata di caricamento firmware di emergenza dei firmware broadcom.

Ora dovete fare la massima attenzione nel caricare i firmware presenti dentro al file che avete scaricato nel seguente ordine!!!

Il primo firmware da caricare l’ ho chiamato appunto 1.bin

Una volta caricato, il modem si riavvia e ricompare di nuovo la luce rossa; quindi andiamo di nuovo alla pagina http://192.168.1.1 e carichiamo il file 2.bin

Dopo aver caricato questo firmware, il router si riavvia senza problemi e accessibile alla pagina http://192.168.1.1

Quando riusciremo ad accedere a quella pagina, inseriamo username root e password 12345, andiamo nel menu e diamo un bel factory reset al dispositivo.

Quando il router si sarà riavviato, spegnamolo, ponticelliamo di nuovo le due resistenze seguendo lo schema sopra indicato e riaccendiamolo.

Ci troveremo di fronte ancora una volta la pagina di emergenza del firmware broadcom e questa volta dovremo caricare il firmware openwrt-963281T_TEF-generic-squashfs-cfe_r32934.bin

Ecco che avremo finalmente installato OpenWRT sul nostro AGPWI e avremo a disposizione accesso SSH e una gradevole interfaccia HTTP offerta da Luci.

N.B. non sempre OpenWRT parte al primo colpo, quindi se non riuscite ad accedere in ssh all’ indirizzo 192.168.1.1 dovrete ripetere il caricamento del firmware OpenWRT tramite ponticello.

Sblocco Router Telecom ADSL2+ Wi-Fi N (AGPWI) senza cacciaviti e ponticelli

In questo thread ho racchiuso tutte le informazioni necessarie alla modifica del nuovo router di casa Pirelli.

Vista Anteriore:

Vista Posteriore:

Software utilizzati:

Windows XP

Google Chrome

Colasoft Capsa 6.9 Enterprise

Backdoor di saxdax e drPepperOne reperibile qui: http://repofulm.dyndns.org/plg/ (Il generatore del payload funzionante su tutti i modem pirelli fino ad oggi 19/11/2012 è costantemente aggiornato da fulmine500).

INIZIAMO!!!

Come prima operazione dobbiamo configurare la nostra scheda ethernet con indirizzo ip statico. In questo esempio setteremo l’ ip del nostro computer con 192.168.1.2, subnet mask 255.255.255.0 e gateway predefinito 192.168.1.1.

Ricordatevi che per il vostro pc potete scegliere qualsiasi indirizzo che va da 192.168.1.2 a 192.168.1.254, l’ importante è che durante lo sblocco non ci siano altre periferiche configurate sul router e che non utilizziate lo stesso ip del router (normalmente 192.168.1.1). Una volta configurato l’ ip statico, possiamo accendere il router e collegarlo al nostro PC.

Fatto questo, apriamo il nostro browser e colleghiamoci all’ indirizzo http://192.168.1.1/index.html

Su Dati Identificativi Modem segnatevi la versione software che nel mio caso è AGPWI_1.0.1 (ci serve conoscere la versione del nostro router perchè il paylod della backdoor Pirelli cambia da versione a versione).

Successivamente andate sul repository di fulmine500 indicato all’ inizio della guida e seguite le istruzioni.)

Estraiamo il contenuto del file zip in c:\ e apriamo dunque il prompt dei comandi di windows digitando:

arp -a 192.168.1.1

per conoscere il mac address del nostro router e successivamente:

ipconfig /all

per conoscere il mac address della nostra scheda di rete.

Una volta segnate queste informazioni, navighiamo all’ indirizzo http://repofulm.dyndns.org/plg/ e calcoliamo la stringa del payload che utilizzeremo successivamente. (NON ABUSARE DEL SERVIZIO.  SE UTILIZZATE IL SERVIZIO A SCOPO DI LUCRO, POSSIBILMENTE FATE UNA DONAZIONE.  NON E’ BELLO LUCRARE SUL LAVORO ALTRUI!!!!)

Non ci resta che aprire Colasoft Packet Builder e importare il nostro pacchetto di esempio reperibile qui: https://rapidshare.com/files/4204465070/apwi_esempio.zip  (i link verranno ripristinati a tempo debito, nel frattempo potete dare un piccolo contributo a chi fornisce GRATUITAMENTE il servizio del payload online) ricordandoci di modificare il mac address sorgente (mac del computer), il mac address destinazione (mac del router), Source IP (ip del computer), Destination IP (ip del router) e di inserire il payload (gli ultimi 8 byte del pacchetto). Una volta modificate le informazioni, andate su export e salvate il vostro pacchetto modificato.

Fatto questo, apriamo colasoft capsa 6.9 enterprise, andiamo su open, selezioniamo il nostro pacchetto modificato, poi clicchiamo su packets, clicchiamo col pulsante destro sul pacchetto e selezioniamo Send Packet. All’apertura della finestra, andiamo sul bottone select e selezioniamo la scheda di rete. Non ci resta che premere start e se avete fatto tutto correttamente, il nostro router è SBLOCCATO!!!

Non ci resta che andare su http://192.168.1.1/admin.cgi?active_page=730&user_name=admin&password=riattizzati e modificare il nostro router a nostro piacimento e per qualsiasi gestore.

Vi riporto dei link per scaricare 2 configurazioni funzionanti infostrada per AGPWI 1.0.1 e 1.0.3:

https://rapidshare.com/files/4125214943/AGPWI_Infostrada.zip

https://rapidshare.com/files/3094469071/Infostrada_1.0.3.zip

Ringraziamenti:

il forum di www.ilpuntotecnicoeadsl.com per le informazioni.

saxdax & DrPepperOne per aver scoperto la backdoor nei router pirelli.

fulmine500 per il repository dei files.