Web Analytics Made Easy - Statcounter
ON AMAZON:



https://www.amazon.com/Voice-Desert-Valerio-Stefano-ebook/dp/B0CJLZ2QY5/

CLASSICISTRANIERI HOME PAGE - YOUTUBE CHANNEL
SITEMAP
Make a donation: IBAN: IT36M0708677020000000008016 - BIC/SWIFT:  ICRAITRRU60 - VALERIO DI STEFANO or
Privacy Policy Cookie Policy Terms and Conditions
Il Disinformatico: falle di sicurezza

Cerca nel blog

Visualizzazione post con etichetta falle di sicurezza. Mostra tutti i post
Visualizzazione post con etichetta falle di sicurezza. Mostra tutti i post

2022/10/21

BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni grazie ai cloud malconfigurati

Questo articolo è disponibile anche in versione podcast audio.

Il 19 ottobre scorso Microsoft ha annunciato che i dati riservati di alcuni suoi clienti e potenziali clienti sono stati resi pubblicamente accessibili via Internet a causa di un suo errore di configurazione. I dati includono dettagli delle strutture aziendali, le fatture, i listini prezzi, i dettagli dei progetti, i nomi e numeri di telefono dei dipendenti e il contenuto delle loro mail.

L’azienda minimizza e nota che l’errore è stato corretto poco dopo la sua segnalazione da parte della società di sicurezza informatica SOCRadar il 24 settembre scorso, ma alcuni esperti non sono altrettanto rassicuranti.

I dati sono stati infatti catalogati da siti come Grayhat Warfare e come avviene sempre in questi casi non c’è modo di sapere quanti malintenzionati hanno avuto il tempo di procurarsene una copia.

Secondo l’avviso pubblicato da SOCRadar, il problema non riguarda soltanto Microsoft ma tocca anche Amazon e Google, che hanno malconfigurato vari server contenenti dati sensibili dei propri clienti aziendali.

SOCRadar ha raccolto le informazioni su queste violazioni di riservatezza in un’apposita pagina del proprio sito, che consente di sapere se un’azienda è coinvolta o meno digitandone il nome di dominio nella casella di ricerca, e ha dato alla vicenda il nome BlueBleed.

In totale sono circa 150.000 le aziende interessate, che appartengono a 123 paesi. Le mail rese troppo visibili sono circa un milione e gli utenti sono circa 800.000. Responsabilmente, SOCRadar non rivela i dati ma si limita a dire se sono presenti o meno negli archivi resi eccessivamente accessibili dai servizi cloud di Microsoft, Amazon e Google. Se la vostra azienda usa servizi cloud di questi tre grandi nomi è opportuno dedicare un minuto a un controllo per vedere se è fra quelle coinvolte.

Va ricordato che i dati ottenuti da fughe di questo genere vengono solitamente utilizzati dai criminali online per ricatti ed estorsioni o per carpire illecitamente la fiducia dei dipendenti di un’azienda presa di mira manifestando di conoscere informazioni aziendali riservate, ma vengono anche a volte semplicemente rivenduti al miglior offerente, per cui non è mai il caso di ignorare segnalazioni di cloud colabrodo come questa. 

---

2022/10/27 8:45. I bucket lasciati aperti non sono finiti:

 

Fonte aggiuntiva: Bleeping Computer, Graham Cluley.

2022/06/02

Attenzione ai documenti Word, una falla di Windows consente di usarli per attacchi informatici

Ultimo aggiornamento: 2022/06/02 9:00.

Morto un malware se ne fa un altro, si potrebbe dire: si è appena concluso felicemente il problema di Flubot e già siamo alle prese con un nuovo aggressore informatico, che stavolta colpisce gli utenti di Microsoft Word e Windows tramite documenti Word infettanti.

Lo fa sfruttando una vulnerabilità, presente in tutte le versioni recenti di Office e di Windows, che sorprendentemente riesce ad agire anche se sono state disabilitate le macro, che sono un vettore abituale di attacco, e anche se il documento Word non viene aperto ma soltanto visualizzato da un’anteprima in Esplora file.

Una volta avviato l’attacco, l’aggressore può prendere il controllo sostanzialmente completo del computer della vittima, per esempio installando programmi o guardando, modificando o cancellando dati a suo piacimento. Un bel guaio, insomma.

Microsoft non ha ancora diffuso un aggiornamento di sicurezza che corregga il problema, e la falla viene già sfruttata attivamente dai criminali informatici, ma i principali antivirus riconoscono già i documenti Word infettanti e quindi proteggono abbastanza bene gli utenti.

La vulnerabilità è stata soprannominata Follina dal ricercatore di sicurezza Kevin Beaumont; un nome strano, visto che Follina è una località italiana in provincia di Treviso. Ma non c’è alcun intento di accusare i follinesi di essere artefici di attacchi informatici: Beaumont ha semplicemente visto che uno dei primi esemplari di documento Word infetto si chiamava 05-2022-0438.doc e il significato della prima parte del nome gli pareva ovvio (“maggio 2022”) ma non riusciva a spiegarsi lo 0438. Ha notato che 0438 era il prefisso telefonico di Follina, e così lo ha scelto come nome facilmente ricordabile per questa vulnerabilità, che altrimenti sarebbe identificata formalmente dall’assai meno memorabile sigla tecnica CVE-2022-30190. Gli informatici sono fatti così.

La vulnerabilità viene sfruttata almeno da aprile scorso, quando sono stati segnalati a Microsoft dei documenti Word, costruiti appositamente per utilizzarla, che fingevano di essere richieste di interviste dell’agenzia di notizie russa Sputnik. Ma ci sono anche altri esempi di attacco informatico che usano questa falla, per esempio ad opera di gruppi criminali cinesi e per rubare password

Una volta scoperta, insomma, questa vulnerabilità ha cominciato a circolare fra i malviventi informatici, che stanno usando i pretesti emotivi più disparati per incuriosire le vittime e indurle a scaricare e visualizzare il documento Word infettante. Uno dei primi casi di Follina, per esempio, si presentava come una denuncia di un’infedeltà di coppia, corredata da foto compromettenti e da una promessa di vendetta e ricatto: una tentazione morbosamente irresistibile per molti utenti. 

In attesa che Microsoft distribuisca un aggiornamento correttivo, sono state pubblicate delle istruzioni tecniche per disabilitare le funzioni di Windows che rendono possibile la falla. In sostanza si tratta di modificare una chiave del Registro di Windows che riguarda il servizio Microsoft Support Diagnostic Tool (MSDT), come descritto per esempio da Paul Ducklin di Sophos, cosa che però molti utenti non sono in grado di fare. Per cui se usate Windows vi conviene aggiornare il vostro antivirus, fare molta attenzione ai documenti Word inattesi, specialmente se hanno contenuti che possono stuzzicare la curiosità, e aspettare con impazienza l’aggiornamento di Microsoft. 

Per i più coraggiosi, le istruzioni per disabilitare temporaneamente la chiave del Registro sono queste:

  1. Eseguire il Prompt dei comandi come Amministratore.
  2. Fare una copia di backup della chiave, dando il comando reg export HKEY_CLASSES_ROOT\ms-msdt nome_file (dove nome_file è il nome del file nel quale salvate il backup)
  3. Eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f.

 

Fonti aggiuntive: Huntress, Cisa.gov, Graham Cluley, Ars Technica, The Register, BleepingComputer.

2022/05/25

Aggiornate Zoom, fino alla versione 5.10.0 basta un messaggio in chat per infettare PC, Mac e telefoni

Se usate Zoom, la popolarissima app per videoconferenze, aggiornatela subito: le versioni fino alla 5.10.0 compresa hanno una serie di falle di sicurezza importanti, che hanno un effetto sorprendente. Consentono infatti a un aggressore di usare la funzione di chat di Zoom per installare malware sul dispositivo della vittima, senza che la vittima debba fare nulla. In pratica, se l’aggressore è in una chat di Zoom con voi, può prendere il controllo del vostro computer, tablet o telefonino.

Il problema riguarda l’app di Zoom su Android, iOS, Linux, macOS e Windows. Per risolverlo, Zoom va aggiornato alla versione 5.10.1 o successiva.

La falla, composta in realtà da una serie di difetti concatenati (CVE-2022-22784, 785, 786 e 787) è stata scoperta da Ivan Fratric, un ricercatore informatico che fa parte del Project Zero di Google dedicato alla ricerca di vulnerabilità nelle app. La scoperta risale a febbraio, ma è stata resa pubblica solo il 24 maggio scorso.

Fonti: The Register, Ars Technica, The Hacker News.

 

2022/02/03

Informatico prende il controllo di alcune decine di Tesla. Ha sfruttato una falla di un’app non-Tesla

David Colombo.
Credit: Bloomberg.

Ultimo aggiornamento: 2022/02/04 11:30.

Un diciannovenne tedesco, David Colombo, ha fatto prendere uno spavento a tanti possessori di auto elettriche Tesla: ha dichiarato pubblicamente, pochi giorni fa, di essere riuscito a prendere il controllo remoto di una ventina di queste automobili, che come tante auto moderne sono costantemente connesse a Internet. 

Ha detto di aver fatto sbloccare le loro portiere, abbassare i finestrini, suonare il clacson. Colombo ha anche affermato di essere riuscito ad accedere a molti dati personali dei proprietari di questi veicoli e ad attivare la funzione di guida senza chiave, quella che consente di condurre il veicolo anche se il guidatore non ha con sé la speciale chiave o tessera elettronica che sblocca l’auto. 

Una mappa dei viaggi di un utente Tesla in California, acquisita da David Colombo e pubblicata da TechCrunch.

Ma niente panico: David Colombo si è comportato in maniera responsabile e non ha divulgato al mondo i dettagli della sua tecnica. Però li ha comunicati a Tesla e soprattutto ai gestori di TeslaMate, che è una popolare app di telemetria, realizzata da privati non associati a Tesla. Infatti la falla non era nel software originale di Tesla, ma nell’app non ufficiale (TeslaMate), che non custodiva correttamente le chiavi digitali dei proprietari che si affidavano all’app e in particolare non proteggeva adeguatamente la cosiddetta API Key.

Dopo che Tesla e TeslaMate hanno corretto l’errore che aveva consentito a Colombo di prendere il controllo delle auto, il giovane informatico ha pubblicato il metodo di intrusione che aveva utilizzato, spiegando che le auto erano vulnerabili soltanto se i proprietari usavano l’app TeslaMate. Tutti quelli che usavano soltanto l’app ufficiale di Tesla non erano a rischio. Colombo ha ribadito che la colpa della vulnerabilità era principalmente degli utenti incauti.

Gli errori dell’app non ufficiale, comunque, erano piuttosto grossi: il pannello di controllo dell’app consentiva l’accesso anonimo e l’uso di password predefinite che molti utenti non cambiavano.  Quando Colombo si è accorto della situazione, ha avviato una scansione di tutta Internet alla ricerca di pannelli di controllo di TeslaMate accessibili da remoto e ne ha trovati parecchi nel Regno Unito, in Europa (Germania, Belgio, Finlandia, Danimarca, Italia, Irlanda, Francia, Austria e Svizzera), in Canada, in Cina e negli Stati Uniti.

A quel punto il suo problema principale è diventato quello di allertare i proprietari senza violare la loro sicurezza, ma si è dovuto arrendere di fronte all’impossibilità di farlo in troppi casi. E così ha pubblicato la sua generica segnalazione iniziale.

Sia Tesla, sia TeslaMate hanno reagito molto rapidamente, correggendo il problema nel giro di poche ore, ma episodi come questo sottolineano la delicatezza dei veicoli connessi a Internet di qualunque marca: se non vengono adottati standard elevati di sicurezza e se non si educano gli utenti ad essere altrettanto diligenti nell’uso delle password e di app non ufficiali, incidenti come questo capiteranno ancora. 

Siate prudenti e, se avete un’auto iperconnessa o comunque comandabile da remoto, custodite la sua password con la stessa attenzione con la quale custodite le sue chiavi. La gestione remota è una grande comodità, ma comporta anche nuove abitudini di sicurezza.

Fonti: David Colombo (comunicazione personale), TechCrunch, Bloomberg, Business Insider.

2021/12/16

Panico da Log4Shell: cosa c’è da sapere e da fare

Da alcuni giorni, precisamente dal 9 dicembre scorso, c’è un panico informatico diffuso a proposito di Log4Shell, che secondo molti esperti è una delle falle di sicurezza più gravi di sempre e la peggiore del decennio.

Provo a fare il punto della situazione e chiarire cosa possiamo fare noi comuni mortali per evitare problemi.

In estrema sintesi, la falla consiste in questo: in molti siti e giochi online basta scrivere una particolare sequenza di caratteri che inizia con ${jndi: per mandarli in tilt o addirittura prenderne il controllo. Non serve conoscere password o altro.

Per esempio, può essere sufficiente digitare nella chat di Minecraft quella particolare sequenza di lettere e simboli per prendere il controllo dei computer degli altri utenti o di un server Minecraft oppure causare altri danni, come mostra in dettaglio l’informatico John Hammond.

Un altro esempio: nei giorni scorsi se si cambiava il nome del proprio iPhone nelle sue impostazioni e si usava come nome quella sequenza di caratteri, era possibile far scattare questa vulnerabilità nei server di Apple

Fra i siti che sono stati colpiti ci sono Steam, iCloud di Apple, Microsoft, Cisco, Amazon, Twitter, Tesla, Cloudflare e tanti altri. Trovate un elenco di questi siti, con i relativi screenshot, qui su Github.

Gli esperti di sicurezza hanno già pubblicato gli aggiornamenti correttivi, e moltissime aziende li hanno installati e hanno pubblicato apposite pagine informative per i loro utenti, ma non tutti i responsabili dei siti e tutti gli utenti li hanno installati, e quindi restano ancora molte persone e organizzazioni esposte e vulnerabili.

In estrema sintesi: 

  • se gestite un server esposto a Internet, installate subito gli aggiornamenti della cosiddetta libreria software di logging denominata log4j, se la usate;
  • se siete utenti comuni, installate appena possibile tutti gli aggiornamenti di tutte le app che usate su qualunque dispositivo: computer, tablet, smartphone, router, stampanti, eccetera;
  • in ogni caso, non fidatevi di inviti o avvisi che vi propongono di scaricare presunti “antivirus” o correzioni da siti mai visti prima: usate soltanto le normali procedure di aggiornamento;
  • non fate l’errore di pensare “ma io uso Mac / Linux / Windows e quindi non sono vulnerabile”. Questa falla colpisce un po’ tutti: un elenco molto dettagliato dei software vulnerabili è su Github.  

Il Centro nazionale svizzero per la cibersicurezza (Ncsc.admin.ch) ha pubblicato una pagina riassuntiva, disponibile anche in italiano, e un avviso tecnico molto più dettagliato in inglese. Anche Microsoft ha un’apposita pagina informativa e la vulnerabilità è classificata formalmente con la sigla CVE-2021-44228.

Schema d’attacco tratto da Ncsc/Govcert.ch.

Il Govcert svizzero sta contattando le organizzazioni svizzere che risultano ancora vulnerabili. È infatti possibile verificare a distanza se un sito o un server connesso a Internet non è stato aggiornato.

Gli attacchi che sfruttano questa falla e colpiscono chi non si è aggiornato sono già in corso: finora gli aggressori mettono a segno l’attacco installando sui server non aggiornati dei programmi che servono a effettuare altri attacchi (DDOS), tentare estorsioni (ransomware) o sfruttare i computer altrui per generare criptovalute. Secondo quanto scrive Microsoft, molti attacchi provengono da gruppi in Cina, Iran, Corea del Nord e Turchia.

Greynoise pubblica un quadro della situazione qui. Gli attacchi lanciati finora sono almeno 840.000.


 ----

Se vi state chiedendo come sia possibile un disastro del genere, per cui basta scrivere qualcosa in una casella di chat per attaccare un sito, la spiegazione è che Log4J è una libreria software, ossia una serie di istruzioni di programmazione, che viene usata da moltissime applicazioni, soprattutto nei computer collegati in rete. Serve a fare il cosiddetto logging, ossia a registrare tutto quello che avviene sui quei computer: per esempio quale utente ha fatto una certa cosa, quando l’ha fatta, da che dispositivo l’ha fatta, eccetera.

È una libreria libera e gratuita, per cui la possono usare tutti liberamente, e infatti la usano moltissime aziende.

Questa libreria ha un difetto: non controlla bene il contenuto dei dati che registra. Se un utente ostile fa in modo che nel log ci sia quella sequenza di caratteri che ho citato prima (per esempio la usa come nome del proprio telefonino oppure come User agent del proprio browser), Log4J riceve la sequenza e la interpreta come istruzioni da eseguire. Un errore classico e clamoroso, spiegato in dettaglio qui da Sophos.

Se volete saperne di più: LunaSec (anche qui), Minecraft.net (anche qui), Howtogeek, Ars Technica (anche qui e qui), Graham Cluley, Gizmodo, Sophos.


2021/06/25

Disabilitare il Wi-Fi di un iPhone usando semplicemente il nome di una rete Wi-Fi

Per mandare in crisi un iPhone o un iPad è sufficiente collegarlo a una rete Wi-Fi con un nome particolare. Lo ha segnalato Carl Schou su Twitter pochi giorni fa.

Se il nome (SSID) della rete Wi-Fi al quale si collega è %p%s%s%s%s%n, il dispositivo Apple perde completamente la capacità di collegarsi a qualunque rete Wi-Fi, e riavviarlo non risolve il problema. Il difetto è presente in tutte le versioni recenti di iOS/iPadOS, compresa la 14.6.

L’unico modo per riattivare il Wi-Fi sull’iPad o iPhone è andare in Impostazioni - Generali - Ripristina - Ripristina impostazioni rete. Bisognerà poi reimmettere tutti i parametri della propria connessione Wi-Fi.

Perché mai qualcuno dovrebbe usare un nome così bizzarro per una rete Wi-Fi? Per esempio per fare burle pesanti o vandalismi. Un malintenzionato potrebbe dare questo nome alla propria rete Wi-Fi in modo da paralizzare gli iPhone o iPad altrui che tentano di collegarsi a scrocco. Questa falla non colpisce i dispositivi Android o Windows, per cui qualcuno che ce l’ha con Apple potrebbe sfruttarla per danneggiare soltanto i dispositivi di questa marca. 

Sì, gente così esiste. Già circolano gli scherzi, tipo questo, che consiglia crudelmente agli utenti iPhone di usare quel nome per il proprio Wi-Fi per rendere più veloce la connessione:

Apple non ha rilasciato dichiarazioni in proposito e non si sa se il difetto verrà corretto. 

Il motivo per cui questo nome di Wi-Fi ha quest’effetto è che questi caratteri con il simbolo di percentuale vengono usati come istruzioni di formattazione in alcuni linguaggi di programmazione, ed iOS e iPadOS accettano questi caratteri come nome di Wi-Fi senza controllarli, scartarli o convertirli: è una uncontrolled format string, una vulnerabilità classica che non dovrebbe esserci in un sistema operativo moderno.

Il consiglio, ovviamente, è non collegarsi mai ai Wi-Fi di sconosciuti, specialmente se hanno nomi che contengono caratteri bizzarri. E di non credere ciecamente a tutti i “consigli per velocizzare” che si trovano su Internet.


Fonti aggiuntive: Ars Technica, Engadget, BleepingComputer, AppleInsider.

2021/06/11

Usate Microsoft Office? Aggiornatelo: ci sono vecchie falle da turare

Cybersecurity360.it segnala che ci sono quattro vulnerabilità di sicurezza in Microsoft Office che “se sfruttate con successo, potrebbero consentire a un attaccante di creare documenti Word ed Excel contenenti codici malevoli con cui attaccare i sistemi non aggiornati.“

Le falle (CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 e CVE-2021-31939)  sono state scoperte a febbraio e rese note ora, in occasione del rilascio dei rispettivi aggiornamenti correttivi. Le prime tre sono state corrette con gli aggiornamenti di maggio 2021, mentre l’ultima è stata corretta con il Patch Tuesday di giugno.

Si sospetta che queste falle siano presenti da anni in Office, perché sono state trovate nel codice legacy per Excel 95, per cui chi usa versioni vecchie di questa suite può essere a rischio. Installate quindi subito gli aggiornamenti di sicurezza di MS Office e installate la versione più recente della suite.

2021/02/12

Florida, impianto di depurazione delle acque “hackerato” con rischio di avvelenamento di massa. Sicurezza sottozero

C’è parecchio clamore intorno alla notizia che aggressori informatici ignoti sono entrati via Internet nei sistemi di controllo di un impianto di trattamento delle acque a Oldsmar, in Florida, e ne hanno alterato i valori delle sostanze chimiche immesse per la depurazione, con conseguente rischio di avvelenamento della popolazione servita dall’impianto (circa 15.000 residenti).

Il Tampa Bay Times riferisce che uno degli addetti all’impianto stava monitorando i sistemi quando ha visto che il cursore del mouse si stava muovendo da solo e che qualcuno lo stava usando per cambiare la quantità di idrossido di sodio (soda caustica) da 100 parti per milione a 11.100 parti per milione. L’operatore ha subito ripristinato il valore originale. La vicenda viene ora investigata dall’FBI oltre che dalle autorità locali.

A prima vista sembrerebbe un attacco molto sofisticato, opera di terroristi o altri grandi malfattori. Ma leggendo il resoconto ufficiale delle autorità emerge un quadro ben diverso: gli intrusi sono entrati facilmente perché la gestione remota dell’impianto usava un semplice TeamViewer che permetteva di accedere a tutti i computer usando la stessa password di accesso remoto, e i computer erano collegati direttamente a Internet senza alcuna protezione (firewall o simili). Inoltre tutti i computer erano connessi al sistema SCADA di gestione dell’impianto e usavano ancora Windows 7.

Come se non bastasse, l’impianto aveva smesso di usare TeamViewer sei mesi fa, ma l’aveva lasciato installato.

Insomma, un disastro annunciato. Probabilmente si tratta di un ex dipendente oppure di qualcuno che pigramente ha usato i motori di ricerca che trovano gli impianti lasciati aperti online, come Shodan, e fra i tanti honeypot (trappole) ha trovato quel bersaglio assurdamente facile.

Se avete impianti di qualunque tipo comandabili da remoto, pensate alla sicurezza; aggiornateli, usate password robuste e differenti, e non lasciate tutto spalancato sperando che nessuno vi trovi. Esistono motori di ricerca appositi: vi troveranno. Non fate come quell’impianto idrico italiano che è rimasto aperto e visibile per mesi nonostante le mie segnalazioni.


Fonti aggiuntive: The Verge, AP.


2021/01/24

Perché Senato.it e altri siti istituzionali pubblicano la password per richiedere un certificato per corrieri fiduciari?

Un documento PDF pubblico su Senato.it contiene login e password per richiedere un certificato digitale per “corrieri fiduciari”. Le stesse istruzioni sono presenti su molti altri siti istituzionali dell’UE, facilmente reperibili con una ricerca in Google.

Non capisco il senso di mettere una password su una procedura, se poi si pubblica quella password. Dove sto sbagliando?

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Un altro giorno, un altro documento con password del server visibile in Google: Regione Veneto

Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:

Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it. Gli ho scritto subito questa mail:

Buongiorno,

sono un giornalista informatico, collaboratore della Radiotelevisione
Svizzera. Vi segnalo questo vostro documento, accessibile via web,
contenente le credenziali di accesso.

http://repository.regione.veneto.it/[OMISSIS].doc

Credo sia opportuno rimuoverlo e aggiornare le credenziali citate,
specificamente la password, qualora sia ancora corrente.

Cordiali saluti

Paolo Attivissimo

Sul sito, a quell’URL, c’era infatti un documento Word, scritto da andrea-altinier, contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).

Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Il Touring Club Italiano pubblica login e password di accesso a un suo sito

Ultimo aggiornamento: 2021/01/24 16:45. 

Poi la gente si chiede come mai i siti vengono “hackerati” così spesso e immaginano chissà quali acrobazie hanno fatto i criminali per violarli. Magari, in realtà, hanno semplicemente trovato con Google un documento PDF messo online che contiene login e password.

È quello che è successo al Touring Club Italiano qualche giorno fa. Sul suo sito www.bandierearancioni.it c’era un documento (qui), in formato PDF, che conteneva dettagliate istruzioni su come accedere all’area riservata del sito e quali credenziali inserire.

Ho segnalato la cosa pubblicamente al Touring Club Italiano:

Ho ricevuto risposta:

Il documento è stato rimosso, per cui ne posso parlare pubblicamente.

Il problema è che quella login e quella password sono pubblicati da vari altri siti, non solo in PDF ma esplicitamente su pagine web pubbliche, e sono facilmente reperibili in Google. Per cui è sostanzialmente inutile che io li mascheri. Posso solo sperare che nel frattempo i responsabili abbiano cambiato login e password (ovviamente non ho potuto verificarlo). I documenti sembrano risalire ad alcuni anni fa, per cui c’è qualche speranza. Ma va considerato che all’epoca quella password era sicuramente valida ed era pubblicata.

 

 

In ogni caso, questa vicenda è un buon promemoria del fatto che le password non si mettono mai online in cartelle pubblicamente accessibili contando sul fatto che tanto nessuno ne conosce il link, perché se sono pubblicamente accessibili verranno esplorate dai motori di ricerca e il link verrà pubblicato.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

2020/11/06

Sito per testare la competenza di sicurezza informatica aveva falle di sicurezza informatica

Il sito Test your Hacker IQ è partito con buoni propositi: mettere alla prova la competenza degli utenti nel riconoscere i sintomi di un attacco informatico. Ma non provate a visitarlo, perché al momento non è raggiungibile.

Come segnalato da The Register, il sito dedicato alla sicurezza informatica aveva dimenticato di proteggere il proprio file di configurazione, che era quindi pubblicamente accessibile. 

All’interno di questo file, in chiaro, c'erano il nome utente e la password di accesso al database mySQL del sito. La falla è stata scoperta da una persona svizzera che si occupa di informatica ed è nota con il nome Twitter @antiproprietary

Il sito, come se non bastasse, usava Ubuntu Linux 14.04, che non riceve più aggiornamenti da aprile del 2019 e ha 11 falle note.

Il sito era stato creato alcuni anni fa nell’ambito di una campagna promozionale ma era evidentemente stato abbandonato senza manutenzione. Anche i siti non aggiornati e dimenticati sono appigli molto preziosi per i criminali informatici e sono una falla classica in molte aziende.

Insomma, la lezione di sicurezza informatica c’è stata, ma non quella prevista.

2020/08/25

Come farsi mandare file sensibili con un link e un gattino in MacOs e iOS

Falle di sicurezza così epiche e ridicolmente facili da sfruttare non càpitano spesso. Basta mandare una mail o un messaggio a un utente MacOS o iOS per rubargli file sensibili, come la cronologia di navigazione di Safari, se non è particolarmente attento. Sì, prendetevi pure il tempo di rileggere questa frase.

La trappola funziona così: l’aggressore manda alla vittima una mail o un messaggio contenente un link a una foto di un gattino (o altra immagine accattivante) e l’invito a condividere la foto con un amico. Una cosa tutto sommato normale.

Quando la vittima clicca sul link per vedere la foto (tipo quella mostrata qui sopra) e clicca sul pulsantino di condivisione, MacOS o iOS compone automaticamente una mail o un messaggio che contiene un allegato. Quell’allegato è il file history.db della vittima. Se la vittima invia la mail, invia anche quel file, che l’aggressore può esplorare per trovare informazioni compromettenti. Ta-da!

Una dimostrazione pratica di questa tecnica è stata pubblicata qui e i dettagli tecnici sono spiegati su Redteam.pl. Questo è il banalissimo codice, inseribile in qualsiasi sito Web, che fa scattare la trappola.


La dimostrazione qui sopra preleva il file /etc/passwd, che non contiene le password ma comunque contiene informazioni sensibili come i nomi degli account esistenti sul dispositivo bersaglio. Per ottenere il file con la cronologia di navigazione è sufficiente linkarlo come segue:

file:///private/var/mobile/Library/Safari/History.db


In sintesi: viene usata la funzione navigator.share abbinata a uno schema file:, che MacOS e iOS autorizzano ad andare a prendere file dal disco della vittima. Il resto del codice (la fila di \n) serve solo a creare un po’ di a capo per nascondere meglio la presenza dell’allegato.

La mail risultante (di Mail.app) ha un aspetto del tutto innocuo: solo scorrendo in basso si nota che è allegato un file di nome passwd o altro.


Anche il messaggio composto da Messages cliccando sul pulsante di condivisione non rivela dettagli dell’allegato.


Certo, in questa dimostrazione il file rubato viene mandato a una persona scelta dalla vittima. La tecnica per far mandare il file a un destinatario complice viene lasciata alla creatività e all’immaginazione del lettore.

Al momento non esiste alcun aggiornamento correttivo: Apple è stata avvisata del problema ad aprile scorso e secondo Redteam.pl dice che non rimedierà prima della primavera del 2021.

Morale della storia: se usate MacOs o iOS, fate attenzione agli inviti di questo genere.


Ringrazio @Decio per la segnalazione.

2020/04/03

Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.

In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.

Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).

Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.

Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.

Se vi interessano i dettagli tecnici delle scoperte di Pickren, li trovate qui in versione estesa e qui in sintesi.

2020/01/24

Usate ancora Internet Explorer? Meglio smettere

Lo so che sembra il classico annuncio-bufala che gira nelle catene di Sant’Antonio, ma stavolta è vero che Microsoft ha pubblicato un avviso che segnala un difetto importante nella sicurezza di Internet Explorer (CVE-2020-0674), che permette a un aggressore di prendere il controllo del computer della vittima, per esempio installando programmi, leggendo i dati oppure cambiandoli o cancellandoli.

L’attacco richiede soltanto che la vittima venga indotta a visitare un sito Web appositamente confezionato.

Il difetto al momento non ha un rimedio sotto forma di aggiornamento correttivo, ma Microsoft dice che ci sta lavorando. L’azienda precisa inoltre di aver già rilevato casi di attacco mirato che sfruttano questa falla.

La soluzione, per il momento, è semplice: non usare Internet Explorer per accedere a siti Internet e sostituirlo con qualunque altro browser, come Firefox, Google Chrome, Opera o Edge della stessa Microsoft.

2020/01/17

Come “hackerare” una Tesla legalmente e vincere oltre mezzo milione di dollari

Le auto di oggi sono sempre più dei computer su ruote. Sono quindi “hackerabili” come lo sono i computer? Spesso sì, e per risolvere questo problema bisogna trovare il modo di incoraggiare gli esperti a scoprire le falle informatiche delle auto e permettere ai costruttori di turarle.

Uno di questi modi è la gara annuale di hacking denominata Pwn2Own (si pronuncia “poun-tu-oun”), organizzata da Trend Micro, si terrà a Vancouver, in Canada, dal 18 al 20 marzo 2020. Anche quest’anno, come nel 2019, oltre ai premi per chi supera le difese di sistemi operativi e browser per computer verrà messa in palio anche una delle auto più informatizzate del mondo: una Tesla Model 3. Chi riuscirà a prenderne il controllo informatico se la porterà a casa, probabilmente insieme a qualche centinaio di migliaia di dollari in premi aggiuntivi.

Le regole della sfida sono strutturate in vari livelli: al primo livello (Tier 1) ci si aggiudica l’auto e mezzo milione di dollari se si riesce a prendere pieno controllo dei tre sottosistemi informatici del veicolo passando attraverso la sua connessione Wi-Fi o Bluetooth o il suo modem o sintonizzatore per raggiungere il sistema di infotainment e poi arrivare al sottosistema di guida assistita (Autopilot). Se poi l’attacco è persistente (ossia sopravvive a un riavvio dell’auto, ci sono altri 200.000 dollari.

Al secondo livello (Tier 2) il premio in denaro scende leggermente ma è sufficiente prendere il controllo di due sottosistemi su tre; al terzo livello (Tier 3) è sufficiente prendere il controllo di un solo sottosistema.

L’altra regola fondamentale è che la tecnica usata deve restare segreta e deve essere comunicata soltanto al costruttore (in questo caso Tesla).

Nel 2019 due ricercatori erano riusciti a prendere il controllo del browser del sottosistema di infotainment dell’auto con questa tecnica. Tesla aggiornò subito il software di tutte le auto per eliminare la falla.



Fonti aggiuntive: Macrumors, Zero Day Initiative.

2019/12/20

Campanelli digitali colabrodo, Amazon incolpa gli utenti, ma EFF non ci sta

Pochi giorni fa degli intrusi digitali sono entrati nella telecamera di sorveglianza Ring nella cameretta di una bambina di 8 anni in Mississippi e hanno cominciato a parlarle e prenderla in giro (c`è anche il video), sono avvenute varie altre intrusioni ed è emerso che sono stati pubblicati online 3600 indirizzi di mail, password, localizzazioni e altri dati personali di utenti Ring.

Amazon, fabbricante dei sistemi di sicurezza interconnessi Ring, si è difesa dando la colpa agli utenti: gli attacchi sarebbero andati a segno, dice Amazon, perché gli utenti hanno riutilizzato per i propri Ring delle password che usavano altrove ed erano già state rivelate da altri attacchi a questi altri servizi, e non hanno attivato l’autenticazione a due fattori.

La Electronic Frontier Foundation, però, nota che Amazon ha dimenticato un dettaglio tecnico importante: l’azienda si è accorta degli attacchi soltanto quando glieli hanno segnalati i ricercatori di sicurezza. E se le cose sono andate come dice Amazon, ossia se gli aggressori hanno tentato decine di migliaia di nomi utenti e password sul sito di Ring, Amazon avrebbe dovuto notare questo enorme numero di tentativi falliti e allertare gli utenti: un limite al numero di tentativi falliti è una prassi di sicurezza fondamentale, soprattutto quando ci sono di mezzo dati enormemente sensibili.

Le telecamere e i campanelli “smart”, infatti, vedono anche dentro gli spazi privati delle case, consentendo a criminali e ficcanaso di vedere in diretta chi c’è e non c’è, di riguardare le registrazioni video dei locali sorvegliati, acquisire la geolocalizzazione delle telecamere e quindi andare a colpo sicuro. Sicuro per loro.

2019/11/22

Telefonini Android che scattano foto e video di nascosto? Aggiornateli e passa la paura

I ricercatori di sicurezza di CheckMarx hanno scoperto una vulnerabilità degli smartphone Android che consentirebbe a un aggressore di prenderne il controllo e scattare foto e video di nascosto, anche quando il telefono è bloccato e lo schermo è disattivato.

Sembra l’incubo peggiore di ogni utente Android, ma niente panico. La falla, denominata CVE-2019-2234, è stata risolta distribuendo a luglio scorso un aggiornamento delle app usate per gestire la fotocamera.

I ricercatori hanno dimostrato in un video la sfruttabilità della falla: era sufficiente creare un’app che aggirava i permessi che normalmente le app devono chiedere se vogliono scattare foto e si limitava a chiedere il permesso di accedere alla memoria, cosa che fanno tantissime app e non è considerata particolarmente pericolosa.

Grazie a questo espediente, l’app ostile riusciva non solo a riprendere foto e video, ma poteva anche accedere alle foto e ai video già presenti sullo smartphone e inviarli all’aggressore.

Visto che foto e video contengono quasi sempre le coordinate GPS, oltre alle immagini potenzialmente imbarazzanti o confidenziali era possibile ottenere una cronologia degli spostamenti della vittima.

Morale della storia: installate prontamente gli aggiornamenti delle app e non installate app di provenienza sospetta.


Fonti aggiuntive: Hot For Security, Ars Technica, Gizmodo.




2019/06/07

La TV smart non è mica tanto smart

Una TV Supra. Fonte: Amazon.
I televisori “smart” vanno molto di moda, e in generale l’etichetta “smart” viene appiccicata a qualunque dispositivo da reparti di marketing disposti a tutto.

Ma come dice da anni Mikko Hypponen di F-Secure, “ogni volta che un dispositivo viene descritto come ‘smart’, è vulnerabile” (“Whenever an appliance is described as being ‘smart’, it’s vulnerable”).

Esempio concreto: secondo le ricerche pubblicate da Inputzero, i televisori “smart” della Supra, specificamente i modelli “Smart Cloud TV”, sono vulnerabili al punto che un aggressore (o un semplice burlone) che stia sulla stessa rete Wi-Fi usata dal televisore può prendere il controllo dell’apparecchio e fargli mostrare sullo schermo qualunque video a sua scelta. Non occorre nessuna password: è sufficiente inviare al televisore una semplice istruzione HTTP GET.

Lo scopritore della falla, Dhiraj Mishra, ha pubblicato un video dimostrativo.


Se il televisore è collegato senza protezioni direttamente a Internet, è comandabile da remoto da qualunque parte del mondo sapendone soltanto l’indirizzo IP (cosa piuttosto facile da scoprire con Shodan e simili).

Il fatto che l’aggressore debba essere sulla stessa rete locale Wi-Fi non è un ostacolo molto serio: basta pensare a qualunque negozio, albergo o centro commerciale che offra Wi-Fi ai clienti e abbia messo i televisori sulla stessa rete usata dai clienti.

Per il momento il fabbricante non ha reso disponibile un aggiornamento; l’unica soluzione possibile, per chi ha comprato questo apparecchio, è scollegarlo dal Wi-Fi oppure collegarlo a una rete Wi-Fi separata alla quale non ha accesso nessun altro.

2019/05/17

Paura per falla WhatsApp? Aggiornate senza panico

WhatsApp aveva una falla, segnalata inizialmente dal Financial Times (paywall), che consentiva a un aggressore di installare spyware sui dispositivi iOS e Android semplicemente effettuando una chiamata WhatsApp al bersaglio. Un difetto gravissimo, che è stato corretto da WhatsApp con il rilascio di una versione aggiornata dell’app.

Le versioni vulnerabili sono le seguenti:

  • WhatsApp standard per Android: fino alla 2.19.134 esclusa
  • WhatsApp Business per Android: fino alla 2.19.44 esclusa
  • WhatsApp standard per iOS: fino alla 2.19.51 esclusa
  • WhatsApp Business per iOS: fino alla 2.19.51 esclusa
  • WhatsApp per Windows Phone: fino alla 2.18.348 esclusa
  • WhatsApp per Tizen: fino alla 2.18.15 esclusa

Niente panico. Tutto quello che dovete fare, se siete uno degli 1,5 miliardi di utenti dell’app di proprietà di Facebook, è scaricare l’aggiornamento già disponibile da vari giorni e installarlo; meglio ancora, attivate gli aggiornamenti automatici (istruzioni per iOS e per Android). Fine del problema.

Se vi viene il dubbio che qualcuno possa aver sfruttato questa falla per attaccarvi e vi stia spiando, niente panico: questo tipo di attacco così potente è molto costoso e prezioso, e quindi viene tenuto segreto e usato solo per bersagli particolarmente interessanti a livello governativo. Le probabilità che siate stati attaccati sono modestissime, se non occupate una posizione di altissimo livello politico o commerciale. Tuttavia questo genere di vulnerabilità finisce prima o poi per essere sfruttata anche dai piccoli criminali, che la usano per attaccare chi non si è aggiornato, per cui è comunque altamente consigliabile aggiornare l’app.

Attacchi spettacolari come questo, che non richiedono alcuna azione da parte delle vittime, possono far pensare che la crittografia end-to-end offerta da applicazioni come WhatsApp sia inutile. Ma in realtà la crittografia serve a proteggere contro la sorveglianza di massa, e in questo senso funziona e continua a funzionare egregiamente.
Static Wikipedia 2008 (no images)

aa - ab - af - ak - als - am - an - ang - ar - arc - as - ast - av - ay - az - ba - bar - bat_smg - bcl - be - be_x_old - bg - bh - bi - bm - bn - bo - bpy - br - bs - bug - bxr - ca - cbk_zam - cdo - ce - ceb - ch - cho - chr - chy - co - cr - crh - cs - csb - cu - cv - cy - da - de - diq - dsb - dv - dz - ee - el - eml - en - eo - es - et - eu - ext - fa - ff - fi - fiu_vro - fj - fo - fr - frp - fur - fy - ga - gan - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - hi - hif - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - ja - jbo - jv - ka - kaa - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mdf - mg - mh - mi - mk - ml - mn - mo - mr - mt - mus - my - myv - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nl - nn - no - nov - nrm - nv - ny - oc - om - or - os - pa - pag - pam - pap - pdc - pi - pih - pl - pms - ps - pt - qu - quality - rm - rmy - rn - ro - roa_rup - roa_tara - ru - rw - sa - sah - sc - scn - sco - sd - se - sg - sh - si - simple - sk - sl - sm - sn - so - sr - srn - ss - st - stq - su - sv - sw - szl - ta - te - tet - tg - th - ti - tk - tl - tlh - tn - to - tpi - tr - ts - tt - tum - tw - ty - udm - ug - uk - ur - uz - ve - vec - vi - vls - vo - wa - war - wo - wuu - xal - xh - yi - yo - za - zea - zh - zh_classical - zh_min_nan - zh_yue - zu -

Static Wikipedia 2007 (no images)

aa - ab - af - ak - als - am - an - ang - ar - arc - as - ast - av - ay - az - ba - bar - bat_smg - bcl - be - be_x_old - bg - bh - bi - bm - bn - bo - bpy - br - bs - bug - bxr - ca - cbk_zam - cdo - ce - ceb - ch - cho - chr - chy - co - cr - crh - cs - csb - cu - cv - cy - da - de - diq - dsb - dv - dz - ee - el - eml - en - eo - es - et - eu - ext - fa - ff - fi - fiu_vro - fj - fo - fr - frp - fur - fy - ga - gan - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - hi - hif - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - ja - jbo - jv - ka - kaa - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mdf - mg - mh - mi - mk - ml - mn - mo - mr - mt - mus - my - myv - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nl - nn - no - nov - nrm - nv - ny - oc - om - or - os - pa - pag - pam - pap - pdc - pi - pih - pl - pms - ps - pt - qu - quality - rm - rmy - rn - ro - roa_rup - roa_tara - ru - rw - sa - sah - sc - scn - sco - sd - se - sg - sh - si - simple - sk - sl - sm - sn - so - sr - srn - ss - st - stq - su - sv - sw - szl - ta - te - tet - tg - th - ti - tk - tl - tlh - tn - to - tpi - tr - ts - tt - tum - tw - ty - udm - ug - uk - ur - uz - ve - vec - vi - vls - vo - wa - war - wo - wuu - xal - xh - yi - yo - za - zea - zh - zh_classical - zh_min_nan - zh_yue - zu -

Static Wikipedia 2006 (no images)

aa - ab - af - ak - als - am - an - ang - ar - arc - as - ast - av - ay - az - ba - bar - bat_smg - bcl - be - be_x_old - bg - bh - bi - bm - bn - bo - bpy - br - bs - bug - bxr - ca - cbk_zam - cdo - ce - ceb - ch - cho - chr - chy - co - cr - crh - cs - csb - cu - cv - cy - da - de - diq - dsb - dv - dz - ee - el - eml - eo - es - et - eu - ext - fa - ff - fi - fiu_vro - fj - fo - fr - frp - fur - fy - ga - gan - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - hi - hif - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - ja - jbo - jv - ka - kaa - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mdf - mg - mh - mi - mk - ml - mn - mo - mr - mt - mus - my - myv - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nl - nn - no - nov - nrm - nv - ny - oc - om - or - os - pa - pag - pam - pap - pdc - pi - pih - pl - pms - ps - pt - qu - quality - rm - rmy - rn - ro - roa_rup - roa_tara - ru - rw - sa - sah - sc - scn - sco - sd - se - sg - sh - si - simple - sk - sl - sm - sn - so - sr - srn - ss - st - stq - su - sv - sw - szl - ta - te - tet - tg - th - ti - tk - tl - tlh - tn - to - tpi - tr - ts - tt - tum - tw - ty - udm - ug - uk - ur - uz - ve - vec - vi - vls - vo - wa - war - wo - wuu - xal - xh - yi - yo - za - zea - zh - zh_classical - zh_min_nan - zh_yue - zu -

Sub-domains

CDRoms - Magnatune - Librivox - Liber Liber - Encyclopaedia Britannica - Project Gutenberg - Wikipedia 2008 - Wikipedia 2007 - Wikipedia 2006 -

Other Domains

https://www.classicistranieri.it - https://www.ebooksgratis.com - https://www.gutenbergaustralia.com - https://www.englishwikipedia.com - https://www.wikipediazim.com - https://www.wikisourcezim.com - https://www.projectgutenberg.net - https://www.projectgutenberg.es - https://www.radioascolto.com - https://www.debitoformtivo.it - https://www.wikipediaforschools.org - https://www.projectgutenbergzim.com

Static Wikipedia 2008 (March - no images)

aa - ab - als - am - an - ang - ar - arc - as - bar - bat_smg - bi - bug - bxr - cho - co - cr - csb - cv - cy - eo - es - et - eu - fa - ff - fi - fiu_vro - fj - fo - frp - fur - fy - ga - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - jbo - jv - ka - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mg - mh - mi - mk - ml - mn - mo - mr - ms - mt - mus - my - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nn -

Liber Liber 2023 - Authors

abati - abba - abbate - accademia_degli_intronati - accati - accetto - acerbi - adami - agabiti - agamennone - aganoor - agaraff - agostini - agraives - agresti - agrippa - alamanni - albergati_capacelli - albert - albertazzi - albertelli - alberti - alberti_leandro - alberti_tommaso - albini - albinoni - albori_della_vita_italiana - alcott - aleardi - alfa - alfieri - algarotti - ali - alighieri - alighieri_jacopo - allen - aloysius - amabile - amalteo - amari - amati - ambrogini - amidei - amodeo - andersen - anderson - andrea_da_barberino - andreis - angiolieri - angiolini - anile - anonimo - antiquarie_prospettiche_romane - antoccia - antona_traversi - antonelli - appelius - apuleius - aragona - arbib - archinti - arenskij - aretino - ariosto - aristoteles - armaroli - aroldi - arouet - arrhenius - arrieta - arrighi - arrigoni - arsinov - artom - artusi - atlante - auber - audran - auto_da_fe_in_bologna - avancini - azeglio - bacci - baccini - bacci_peleo - bach - bachi - bachi_riccardo - bachofen - bach_carl_philipp_emanuel - bach_johann_bernhard - bach_johann_ludwig - bach_wilhelm_friedemann - bacigalupo - badia_y_leblich - baffo - bakunin - balakirev - balbo - balbo_italo - baldacci - balsamo - balzac - balzani - banchieri - bandello - bandi - baratono - baratono_adelchi - barbagallo - barbaranelli - barbarani - barbarich - barberini - barbiera - barbieri - barbieri_francisco - barbusse - barella - bargiacchi - baricelli - barla - barni - barrie - barrili - bartok - bartoli - bartoli_daniello - barzini - basile - bassano - bassano_anthony - bastianelli - baudelaire - baunard - bazzero - bazzoni - becattini - beccari - beccaria - beccaria_antonella - beckford - beethoven - belgioioso - belgiojoso - bellacchi - bellani - belli - bellini - belloc_lowndes - bellone - belo - beltrame - beltramelli - bembo - benaglio - benamozegh - benco - benco_delia - benedetti - benelli - beolco - berchet - berchet_guglielmo - berg - berlioz - bernard - bernardino_da_siena - berneri - berneri_camillo - berneri_maria_luisa - berni - bersezio - bertacchi - bertacchi_cosimo - bertelli - berti - bertinetti - bertini - bertola - bertoni - bertoni_brenno - bertoni_luigi - berwald - besana - bestiario_moralizzato - betteloni - betti - bettinelli - bettoni - bevilacqua - beyle - bhagavad_gita - biagi - bianchi - bianchi_giovini - bianco - bianconi - bianconi_giovanni_lodovico - bibbia - bibbiena - biber - biffoli - binazzi - bini - biografie_e_ritratti_d_illustri_siciliani - bisciola - bisi - bizet - bizzarri - bizzozero - blackwood - blake - blanch - blanchard - blaserna - boccaccio - boccalini - boccardi - boccardo - boccherini - bocchi - bodrero - boerio - boghen_conegliani - boiardo - boieldieu - boine - boito - boito_a - bolza - bon - bonacini - bonaparte - bonarelli - bonatelli - bonaventura - bonaventura_enzo - bond - bonfadini - bonghi - bonizzi - bonola - bonomo - bonvesin_de_la_riva - bordenave - borgese - borgese_giuseppe - borghi - borghi_armando - borodin - borri - bortolotti - boschetti_alberti - boscovich - bosio - bossi - botta - bottazzi - bottero - bouchardy - bourcet - bourdet - bouvier - bovio - bovio_libero - bozzano - bozzini - bracco - brahms - brancaccio - brera - bresadola - breton - brocchi - brofferio - broglio - bronte - bronzino - bruch - bruckner - bruna - brunelli - brunetti - bruni - bruni_giuseppe - bruno - brusoni - bufardeci - buia - buonaiuti - buonarroti - buonarroti_il_giovane - buoninsegni - buozzi - burchiello - burckhardt - burke - burnaby - burroughs - burzio - buschi - busetto - busoni - butti - buxtehude - buzzanca - byrne - byron - caccianiga - cacciatore - caccini - cafiero - cagna - cagni - cajkovskij - calandra - calcagno - caldarella - calestani - calvo - calza - camillo - camis - cammarano - camoes - campana - campanella - campolonghi - campra - canestrini - canestrini_alessandro - canina - cannabich - cannizzaro - cantalupo - cantoni - cantoni_giovanni - canto_gregoriano - cantu - capasso - capefigue - capella - capocci - capparoni - capponi - capranica - caprile - capuana - carabellese - caracciolo - caracciolo_enrichetta - carafa_capecelatro - carcano - cardano - cardile - carducci - carlyle - carmina_burana - carnevali - carocci - carpenter - carrera - carroll - carubia - casadei - casanova - casas - cassini - castelli - castelli_david - castelnuovo - castelvetro - casti - castiglione - castiglioni - catalani - caterina_da_siena - cather - cattaneo - cava - cavalcanti - cavallotti - cavara - caversazzi - caviglia - cefali - celesia - cellini - celoria - cena - cenni - cennini - cerlone - cernysevskij - cerro - cervantes - cervesato - cesarotti - cesi - chabrier - chanson_de_roland - chapi - charpentier - chaucer - chausson - chelli - cherubini - cherubini_eugenio - chesterton - cheyney - chiabrera - chiara - chiarelli - chiaretti - chiarini - chiesa - chigi - chiocchetti - chiosso - chiurlo - chopin - christiansen - chueca - ciaceri - ciamician - ciampoli - cian - ciano - cicero - cicogna - cielo - cifra - cimarosa - cinelli - cipriani - cittadella - claps - clarke - clementi - club_alpino_italiano - cocchi - codemo - coffa_caruso - coglitore - colagrossi - colajanni - coleridge - collenuccio - colletta - collins - collodi - colombe - colombo_fernando - colombo_michele - colonna - colonna_vittoria - colorni - columba - cominelli - compagni - compagnia_del_mantellaccio - comparetti - confucius - contessa_lara - conti - coperario - coppi - corano - corbino - cordelia - corelli - coresio - corio - cornaro - cornelius - cornoldi - corradini - cortesi - cosmi - cossa - costa - costa_andrea - coster - couperin - crawford - crawford_morris - cremonese - crispi - croce - crocella - croce_benedetto - croce_enrico - cronica_vita_di_cola_di_rienzo - cucca - cummins - cuneo - cuoco - cuomo - curiel - curti - curti_pier_ambrogio - cusani - cyrano_de_bergerac - dadone - dall_ongaro - dalmasso - dandrieu - danti - darwin - darwin_erasmus - daudet - dauli - da_ponte - da_porto - da_verona - debay - debenedetti - debussy - deledda - delibes - delius - della_casa - della_chiesa - della_porta - della_seta - della_valle - della_valle_pietro - delpino - del_lungo - del_lungo_carlo - dering - desanctis - descalzo - descartes - descuret - despres - devienne - dewey - de_amicis - de_angelis - de_astis - de_blasio - de_boni - de_bosis - de_cesare - de_cleyre - de_filippi - de_foe - de_franchi - de_gamerra - de_giovanni - de_gubernatis - de_marchi - de_maria - de_orestis - de_paoli - de_pellegrini - de_pretto - de_quincey - de_roberto - de_rubris - de_ruggiero - de_sanctis - de_vries - diabelli - diamante - dickens - diderot - difensore_degli_ebrei - dini - dito - dittersdorf - di_blasi - di_genio - di_giacomo - di_giovanni - di_giovanni_alessio - di_grazia - di_monaco - di_san_giusto - dolce - domenichi - donati - donaver - doni - donizetti - dorso - dossi - dostoevskij - douhet - doyle - draeseke - driesch - drigo - drosso - ducati - dukas - dumas - dunant - duparc - durante - du_mage - dvorak - d_albert - d_ambra - d_ancona - d_andrea - d_annunzio - d_arzo - d_emilio - d_india - eco - economisti_del_cinque_e_seicento - eisner - electronic_frontier_foundation - elgar - elia - emanuelli - emerson - emiliani_giudici - emma - emmanuel - engels - enriques - epictetus - epicurus - erasmus_roterodamus - eredia - ermacora - errante - errera - euclides - fabbri - fabiani - fabula_de_etc - faldella - fanciullacci - fanciulli - fanfani - fantazzini - fantoni - farga - fargion - farina - farinelli - farnaby - faure - favaro - fazello - federici - fernandez_caballero - fernandez_guardia - ferrabosco_il_giovane - ferrari - ferrari_carlotta - ferrari_giuseppe - ferrari_giuseppe_1720 - ferrari_paolo - ferrari_pietro - ferrari_pio_vittorio - ferrari_severino - ferrer - ferrero - ferretti - ferri - ferrieri - ferri_dina - ferri_giustino - ferroni - ferruggia - feuerbach - fiacchi - fibich - figner - figuier - filicaia - filippi - fillak - filopanti - finella - fioravanti - fioretti_di_san_francesco - fiore_di_leggende_cantari_antichi_etc - fiorini - firenzuola - flammarion - flaubert - fletcher - flies - florenzi - florio - flotow - fogazzaro - folengo - folgore - fontana - fontanarosa - fontane - fontefrancesco - fontenelle - formichi - fornaciari - forteguerri - fortis - foscolo - fraccacreta - fracchia - france - francesco_d_assisi - franchetti - franck - franco - frari - freud - frezzi - frugoni - fucini - fugassa - funck_brentano - gabetti - gabrieli - gabrieli_giovanni - galassi - galiani - galilei - gallaccini - galleani - galleria_palatina - gallina - gallo - galuppi - gamberi - gandhi - ganot - gargiulo - garibaldi - garrone - gatti - gautier - geminiani - gentile - gentile_iginio - gerard - geremicca - gerli - german - gershwin - gervasoni - gherardi - ghersi - ghislanzoni - ghisleri - giaccani - giacometti - giacosa - giamboni - gianelli - giannone - gibbon - gibellini - gide - gigli - giglioli - gille - gilles - ginzburg - gioberti - giolitti - giordana - giordano - giornale_per_i_bambini - giostra_delle_virtu_e_dei_vizi - giovannetti - giovannitti - giovio - giraud - giraudoux - giretti - giribaldi - giuseppe_da_forio - giusta_idea - giusti - glazunov - glinka - gluck - gobetti - goethe - gogol - goldoni - goldsmith - golgi - goll - gomes - gonin - gori - gori_pietro_1854_1930 - gorkij - gossec - gothein - gounod - gozzano - gozzi - gozzi_gasparo - graf - gramsci - granados - grande - grandi - grassi - grasso - grave - gray - graziani - gregorovius - gretry - grieg - grimaldi - grimm_jakob - grippa - grossi - grossi_vincenzo - groto - guadagnoli - gualandris - gualdo - guardione - guareschi - guarini - guelfi - guerrazzi - guerrini - guglielminetti - guglielmotti - guicciardini - guidetti - guidi - guidiccioni - guidi_michelangelo - guiducci - gulli - guy - haeckel - haendel - hamsun - harding - hasse - hauptmann - hawthorne - haydn - heron - herschel - hewlett - heywood - hichens - historia_di_papa - holborne - holst - homerus - hubay - huch - hugo - hummel - humperdinck - huxley - iacopone_da_todi - iacopo_da_sanseverino - iberti - ibn_gubayr - ibn_miskawayh - ibsen - imbriani - indy - ingrassia - innocentius_papa_12 - intorcetta - invernizio - ippolita_comunita_di_scriventi - ippolitov_ivanov - issel - istoria_critica - italia - jacobsen - james - janacek - jarro - jatta - jeans - jefferson - jenna - jennings - jerome - johansson - johnson - joinville - jolanda - joplin - jovine - joyce - juvalta - kaffka - kahn - kalevala - kalidasa - kant - karr - keynes - kipling - kleist - kollo - komzak - kovalevskaja - kropotkin - labriola - ladenarda - lady_gregory - lafargue - lagerlof - lalande - lalli - lalo - lancillotti - lando - landriani - lanzalone - lao_tzu - lasca - laser - lasso - latini - lattes - lattes_dante - lavater - lawrence - lazzarelli - lazzaretti - lazzeri - la_boetie - la_fontaine - la_lumia - leetherland - leggenda_di_tristano - legouve - lehar - leibniz - leitgeb - lemery - lemonnier - lenti_boero - leonardo - leoncavallo - leoni - leopardi - leroux - lesca - lessig - lessona - lettera_a_diogneto - levati - levi - levi_adolfo - levi_giulio_augusto - lewis - libri_piu_letti - libro_della_cucina - liebig - liesegang - liguria - linati - lipparini - lippi - liszt - littre - lizio_bruno - ljadov - lleo - locatelli - lockyer - lodi - lomazzo - lombardini - lombroso - lombroso_gina - london - longo - longus_sophista - lopez - lorentz - lorenzo - lorenzoni - lori - loria - lortzing - lo_valvo - lucatelli - lucchesini - lucianus - lucini - lucretius - luigini_federico - luini - lully - luna - lupo - lusitania - luther_blissett - luzio - macaulay - maccrie - machiavelli - mackay - maes - maeterlinck - maffei - magalotti - maggi - mahler - maineri - maistre - malamani - malatesta - malinverni - malon - malpassuti - mameli - mamiani - mannarino - manni - manno - mannu - mantegazza - manucci - manzoni - marais - marcelli - marcello - marchand - marchesani - marchesa_colombi - marchetti - marchi - marconi - maresca - mariani - marinelli - marinetti - marino - mario - marrama - marselli - marsili - martello - martineau - martinelli - martinelli_vincenzo - martinetti - martini - martini_ferdinando - martoglio - martucci - marugi - marx - mascagni - masci - masi - massarani - massenet - massimi - mastriani - mastro_titta - mattei - matteucci - mattirolo - maupassant - mazzarino - mazzini - medici - medici_ferdinando_i - medici_lorenzino - mehul - meli - melville - mendelssohn - menghini - mengozzi - merlini - merlino - messa_di_requiem - messina - metastasio - meyer - meyerbeer - meyrink - micanzio - michaelis - michel - michelstaedter - mieli - milani - mill - mille_e_una_notte - milton - mioni - mirbeau - misasi - misefari - moderata_fonte - modigliani - molinari - molnar - mommsen - monchablon - mondaini - moneta - mongai - mongitore - monicelli - monnier - montanelli - montesquieu - montessori - monteverde - monteverdi - monti - monti_achille - montpensier - moore - morandi - morandi_carlo - morando - morasso - more - moresco - moretti - morra - morris - morselli - morselli_ercole - mosca - moscardelli - mosso - mozart - mozzoni - mudge - mulazzi - mule - mule_bertolo - munthe - mura - muratori - muratori_lodovico - murger - murri - musorgskij - mussolini - musumeci - muzzi - nagy - nardini - narrazione_critico_storica_etc - natale - navigazione_di_san_brandano - nazioni_unite - neera - negri - negri_ada - negri_francesco - negri_gaetano - nencioni - nerucci - nettlau - nibby - nibelunghi - niccolini - nicolai - nicolaus_cusanus - nielsen - nieri - nietzsche - nievo - nivers - nobili - nordau - nordhoff - norsa - nota - notari - notturno_napoletano - novacek - novaro - novaro_mario - novatore - novella_del_grasso_legnajuolo - novelle_cinesi - novelle_indo_americane - novelle_italiane_dalle_origini_al_cinquecento - novellino - nucera_abenavoli - nuovi_misteri_del_chiostro_napoletano_etc - offenbach - ojetti - olper_monis - omodeo - onesto - oppenheim - orestano - oriani - orsi - orsini - ortolani - pachelbel - pacini - pacioli - padoa - padula - pagani - paganini - pagliaro - pailleron - paisiello - palazzi - paleologue - palladio - pallavicini - pallavicino - palli_bartolommei - palma - palmeri - palomba - pananti - pani - pannocchieschi - panzacchi - panzini - paolieri - pareto - parini - paris - parlatore - parmeggiani - pascal - pascal_carlo - pascarella - pascoli - pasinetti - pasolini - paterno - pausanias - pavese - peano - pellico - pellizzari - penzig - pepoli - percoto - pergolesi - perlman - perodi - perrault - petrarca - petrocchi - petruccelli_della_gattina - piave - piazza - piazza_antonio - piazzi - pico_della_mirandola - pierantoni_mancini - pieri - pierne - pigafetta - pignata - pinamonti - pinchetti - pindemonte - pino - pintor - pinza - pioda - piola - pirandello - pisacane - piscel - pissilenko - pitre - piva - pizzagalli - pizzigoni - pizzigoni_giuseppina - pizzirani - planche - plato - plinius_caecilius_saecundus - podesta - podrecca - poe - poli - polidori - polidori_francesco - polimanti - poliziano - polo - polybius - pompilj - ponchielli - popper - porati - porta - pov_ray_team - pozzi - pozzi_antonia - praetorius - praga - praga_marco - prati - previati - prevost - prose_e_poesie_giapponesi - proudhon - proust - prunas - puccini - puini - pulci - purcell - purgotti - puskin - puviani - quadrio - quel_libro_nel_cammino_della_mia_vita - quevedo - rabelais - rabizzani - raccolta_di_lettere_ecc - racconti_popolari_dell_ottocento_ligure - rachmaninov - racquet - radcliffe - raffaello_sanzio - raga - ragazzoni - rajberti - rajna - ramazzini - rameau - ramusio - randi - ranieri - rapisardi - rastrelli - ravagli - ravel - razzaguta - reclus - redi - regaldi - regalia - reger - reghini - regina_di_luanto - regnani - regno_d_italia_1805_1814 - reinecke - relazione_dell_atto_della_fede_etc - renan - renier_michiel - rensi - repubblica_romana_1849 - respighi - retif_de_la_bretonne - reuze - reyer - rezzonico - ricchi - ricchieri - ricci - ricci_paterno_castello - ricci_umberto - riccoboni - righetti - righi - rignano - rilke - rimatori_siculo_toscani_del_dugento - rime_dei_memoriali_bolognesi - rimini - rimskij_korsakov - rinaldini - ringhieri - ripa - ripamonti - rizzatti - roberti - robida - rocca - roccatagliata_ceccardi - rocca_enrico - rocco - roggero - rohlfs - rolando - romagnoli - romagnoli_augusto - romani - roma_e_la_opinione_etc - romberg - romussi - roncaglia_gino - rosa - rosadi - rosa_daniele - rose - rosetti - rosi - rosmini - rosselli_carlo - rosselli_nello - rossi - rossini - rossi_emanuele - rossi_giovanni - rostand - rousseau - roussel - rovani - rovetta - rubinstejn - ruffini - ruffini_francesco - russo - russolo - ruzzante - ryner - sabatini - sabatini_rafael - sabbadini - sacchetti - sacchetti_roberto - sacchi - sacheli - sacher_masoch - saffi - saffi_antonio - saint_evremond - saint_saens - salanitro - salfi - salgari - salimbene_da_parma - sallustius - salucci - saluzzo_roero - sangiorgio - sannazaro - santucci - sanudo - sanvittore - sarasate - sardegna_regno - saredo - sarno - sarpi - satta - savarese - savasta - savinio - savio - savioli - savi_lopez - savonarola - scarfoglio - scarlatti - scarpetta - scarpetta_maria - scartabellati - schein - schiaparelli - schiavini - schicchi - schiller - schioppa - schmid - schmidt - schopenhauer - schubert - schumann - schutz - schwarz - scilla - scina - scott - scrofani - scuto - sebastian - secchi - sella - seneca - serafini - serafino_aquilano - serao - sercambi - serena - serge - sergi - serra - servi - settembrini - sfinge - sforza - shakespeare - shaw - shelley - sicilia - siciliani - sidrac - sienkiewicz - sigonio - siliprandi - silva - simpson - sinding - sismondi - skrjabin - slataper - smetana - sobrero - sobrero_mario - socci - soler - solera - solmi - solovev - sommerfeld - sonzogno - sophocles - sorbelli - spampanato - spaventa - spaventa_filippi - sperani - speroni - spinazzola - spinelli - spinoso - spinoza - spohr - spontini - stacpoole - stael - stampa - statius - stefanoni - stein - steiner - stendhal - stenhammar - steno - stephens - sterne - stevenson - stewart - stirner - stoker - storia_dei_paladini_di_francia - storia_di_fra_michele_minorita - stowe - straparola - strauss - strauss_josef - strauss_jr - strauss_richard - strenna_di_ascolti_per_il_natale - stromboli - suk - sullivan - supino - suppe - supplica_degli_stampatori_e_etc - suzzara_verdi - svendsen - svevo - swift - sylos_labini - synge - szanto - szymanowski - tagore - tanini - tanini_alighiero - tarabotti - tarchetti - targioni_tozzetti - tartaglia - tartini - tartufari - tassini - tasso - tassoni - telemann - teloni - tempio - tenca - terentius - tesoro_di_scienze_etc - tessa - testoni - tettoni - theuriet - tholozan - thomas - thoreau - thorpe - thouar - thovez - thucydides - tigri - tilgher - timmermans - timpanaro - tiraboschi - titelouze - tocco - tolstoj - tomei - tommaseo - torelli - torelli_luigi - torricelli - tosco - tosti - tozzi - traina - trebbi - treitschke - trentin - tresca - trilussa - trimmer - troya - tucci - tumiati - turco - turgenev - ubaldini - uccellini - uda - ughetti - ultimi_fatti_di_milano - unesco - unione_europea - untersteiner - urgnani - vailati - valera - valery - vallardi - valles - valletta - valli - valvason - vannicola - vanzetti - varthema - varvaro - vasari - vassallo - vaticano - venerandi - venexiana - veneziani - venier - veniero - venosta - venturi - venturini - venturi_adolfo - verdi - verdinois - verdi_de_suzzara - veresaev - verga - vergilius - verne - veronese - verri_alessandro - verri_pietro - vertua - vettori - viaggi_di_gio_da_mandavilla - viani - vico - vieuxtemps - vigoni - villa - villabianca - villani - villani_matteo - villari - villiers_de_l_isle_adam - vinci - violante - viotti - viriglio - viscnu_sarma - vismara - vitali - vita_delitti - vita_italiana_nel_cinquecento - vita_italiana_nel_rinascimento - vita_italiana_nel_risorgimento - vita_italiana_nel_seicento - vita_italiana_nel_settecento - vita_italiana_nel_trecento - vitruvius - vivaldi - vivante - vivanti - vives - viviani - viviani_raffaele - vogue_melchior_de - volin - volpi - volta - voltaire - volterra - wagenaar - wagner - waldteufel - wallace - wallace_edgar - wallace_lewis - walpole - wassermann - weber - wells - wessely - white_mario - widmann - wieniawski - wilde - wolf - wolf_ferrari - woolf - world_wide_web_consortium - wundt - wu_ming - wu_ming_1 - wu_ming_2 - wu_ming_5 - yambo - yeats - yriarte - zagarrio - zanazzo - zandonai - zanella - zanghi - zanotelli - zavattero - zena - zhuang_zi - zola - zuccoli -