Security on Marcello Barnaba

Come ho rimpiazzato l'app Verisure con Home Assistant

Sat, 04 Apr 2026 00:00:00 +0000

L’app Verisure fa schifo. Lì, l’ho detto.

Non che l’allarme funzioni male — il pannello SDVECU è solido, i sensori sono affidabili, l’installazione è professionale. Ma l’app. Dio santo, l’app.

Il problema

Apri l’app per controllare lo stato dell’allarme e ti accoglie una pubblicità di Verisure stessa. Io pago fior di quattrini per il servizio e loro mi piazzano le ads dentro l’app. È il 2026 e un’azienda di sicurezza mi fa vedere banner pubblicitari quando provo a verificare se casa mia è protetta.

Ma le ads sono il meno. I veri problemi sono:

Routine cieche. Sì, l’app ha le “routine” — attiva a mezzanotte, disattiva alle 7. Ma non sanno dove sei. Mezzanotte e sei ancora in giardino? L’allarme si attiva e i sensori scattano. Finestra aperta? Il pannello annuncia che non riesce ad attivare, ma se non lo senti l’allarme resta spento. Vai in vacanza e dimentichi di disabilitare la routine di disattivazione mattutina? Allarme spento con la casa vuota. E le modifiche alle routine impiegano 20 minuti a propagarsi — “o il giorno dopo”. Nel 2026.
Zero presenza. L’app non sa dove sei. Non sa chi è in casa. Non sa se la donna delle pulizie è andata via. Nessuna automazione basata sulla posizione.
Una telecamera alla volta. Vuoi vedere tutte le camere? Tocca, aspetta, torna indietro, tocca la prossima, aspetta. Nessuna vista d’insieme. Nessun “cattura tutto”.
Lentezza biblica. Richiedi un’immagine, aspetti, aspetti, forse arriva. A volte ricarichi l’app e riprovi. Nel 2026.
Nessuno storage permanente. Le immagini catturate spariscono. Non c’è uno storico consultabile.
Nessun timestamp sulle immagini. Catturi una foto e non sai quando è stata scattata né da quale camera. Devi ricordartelo tu. Per un sistema di sicurezza è imbarazzante.
Notifiche generiche. Una notifica uguale per tutti. Niente notifiche actionable, niente notifiche critiche che bypassano il “Non Disturbare”.

Quello che volevo: il mio allarme, integrato nella mia domotica, con automazioni intelligenti, notifiche per tutti i residenti, e una dashboard che mostra tutto in un colpo d’occhio. Senza pubblicità.

pfasciilogd: collegare pf e fail2ban

Thu, 17 Aug 2023 00:00:00 +0000

TL;DR

FreeBSD: come bloccare i port scanner dall’enumerare le porte aperte sul tuo server, usando fail2ban e una rappresentazione ASCII dei log di pf.

Premessa

Uso fail2ban per tenere alla larga attaccanti e bot che tentano di scansionare i miei siti web o di forzare le mie caselle di posta. Fail2ban funziona scansionando i file di log alla ricerca di pattern specifici e mantenendo un conteggio delle corrispondenze per IP, e permette all’amministratore di sistema di definire cosa fare quando quel conteggio supera una soglia definita.

I pattern sono indicativi di attività malevola, come il tentativo di indovinare la password di una casella di posta, o il tentativo di scansionare lo spazio di un sito web alla ricerca di vulnerabilità.

L’azione da eseguire nella maggior parte dei casi è bloccare l’indirizzo IP incriminato tramite il firewall della macchina, ma fail2ban supporta qualsiasi meccanismo che tu possa concepire, purché possa essere attuato da un comando UNIX.

PF e i suoi log

Sul mio server FreeBSD uso l’eccellente pf, il packet filter, per gestire il traffico in entrata e per eseguire la normalizzazione del traffico.

Il meccanismo di logging di PF è molto UNIX-iano: fornisce un’interfaccia di rete virtuale (pflog0) sulla quale vengono inoltrati i primi byte dei pacchetti bloccati da una regola con lo specificatore log, così che i log dei blocchi in tempo reale possano essere ispezionati con un semplice:

# tcpdump -eni pflog0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 262144 bytes
01:48:13.748353 rule 1/0(match): block in on vtnet0: 121.224.77.46.41854 > 46.38.233.77.6379: Flags [S], seq 1929621329, win 29200, options [mss 1460,sackOK,TS val 840989709 ecr 0,nop,wscale 7], length 0
01:48:15.726215 rule 1/0(match): block in on vtnet0: 192.241.235.20.37422 > 46.38.233.77.5632: UDP, length 3
01:48:17.993439 rule 1/0(match): block in on vtnet0: 145.239.244.34.54154 > 46.38.233.77.1024: Flags [S], seq 3365362952, win 1024, length 0
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel

Questi log possono essere salvati da pflogd in un file formato pcap in /var/log/pflog, che può essere usato per troubleshooting e ispezione asincrona, sempre con tcpdump o qualsiasi cosa che sappia leggere file pcap (come Wireshark).

PH-Neutral 0x7db

Sat, 02 Jul 2011 17:00:00 +0000

“If it is good, they stop making it”, il payoff stampato sui laccetti della conferenza, distribuiti a ogni partecipante, insieme a un badge über-l33t personalizzato con il nostro nickname e l'hash della chiave.

Essendo la mia prima esperienza a una conferenza di sicurezza internazionale (sono stato solo al camp ccc2k+7), ed essendo un outsider di ph dato che non avevo mai partecipato alle edizioni precedenti, il keynote di apertura tenuto da FX, staffer e frontman, è stato illuminante: “you ought to be here!”, ha urlato indicando il palco, indossando una camicia bianca col logo Phenoelit stampato su entrambe le maniche.

“Questa conferenza non è mai iniziata in orario”, ha continuato, “quindi non c'era motivo di farlo per quest'ultima”. Il programma è lineare: festa, il giorno dopo talk dalle 12:00 alle 19:30, poi festa, e l'ultimo giorno talk dalle 12:00 alle 17:30. Decisamente un setup che si sposa bene con l'alcol disponibile :-D.

Subito dopo, un altro speaker ci ha informato che le chiavi di accesso wifi ricevute alla registrazione ci permettono di usare una bestia con 6 AP/3 repeater pilotata da un box OpenBSD — vogliono che il pubblico la hacki perché, beh, “you are the Worst Case Scenario.” :-)

Poi è stato presentato il divertente video Hacker Hacker:

:-D

Dopo una prima serata fiacca e non troppo entusiasmante (per la stanchezza), vedremo cosa porta il giorno dopo.

Sniffjoke – un toolkit per eludere gli sniffer

Gli sniffer ad alta capacità usati nelle grandi aziende e sui gateway di frontiera nazionali che raccolgono traffico generato dagli utenti per trovare pattern potenzialmente “criminali” sono oggi generalmente disponibili per larghezze di banda fino a 10Gbps, e presto ci saranno appliance che elaboreranno flussi da 100Gbps. Sniffjoke, di vecna e evilaliv3, è uno strumento che può iniettare nelle connessioni TCP pacchetti estranei che ingannano lo sniffer intercettante ma senza effetti significativi sul destinatario. Questi pacchetti, per esempio, fanno credere allo sniffer che la connessione sia stata resettata anche se non è vero — iniettando un RST con checksum errato o un pacchetto con TTL inferiore di 1 rispetto al conteggio degli hop — oppure cercano di consumare la sua potenza di calcolo usando interpretazioni vendor-specific note del TCP RFC. Dettagli: sito web, slide, thread su Wireshark.

Sull'exploit PDF e kernel dell'iPhone

Wed, 04 Aug 2010 00:00:00 +0000

Come la maggior parte di voi già sa, ci sono due vulnerabilità aperte e critiche nelle versioni di iPhone OS dalla 3.x in su. La prima risiede nel componente Compact Font Format del renderer PDF, la seconda è un errore nel kernel che permette agli attaccanti di bypassare la sandbox (SeatBelt) dentro cui le applicazioni vengono eseguite sull’iPhone.

Le due vulnerabilità sono state scoperte da @comex, @chpwn e altre persone.

Solo poche settimane dopo il difetto di design .lnk su Windows (ragazzi, usate LoadLibraryW per caricare una dannata icona!), queste vulnerabilità di iPhone OS sono ancora più interessanti, per il modo in cui il rilascio viene gestito dalla community e dal vendor.

Ho passato 3 ore ieri notte a cercare informazioni dettagliate sul bug, e a parte confusi (e propagandistici) blog post, le uniche briciole di informazione sono in questo tweet e nell’exploit PDF vero e proprio su jailbreakme.com. Dove sono i post sulle security mailing list? Dov’è il CVE? Persino il CERT ancora non dice niente su questa vulnerabilità.

C’è qualcosa di terribilmente sbagliato in corso: il gioco del gatto col topo che porta i ricercatori dell’iphone-dev team a non divulgare nessuna delle vulnerabilità che trovano è diventato molto pericoloso per gli utenti finali: un exploit che permette l’esecuzione di codice remoto e l’uscita dalla jail senza nessuna interazione da parte dell’utente, veicolato tramite qualcosa che si considera “sicuro” (un file PDF) è quello che si chiama una falla critica; mentre l’exploit che la sfrutta si chiama 0-day. È la prima volta nella mia vita che vedo un 0-day pacchettizzato e distribuito esplicitamente tramite un sito web.

E-Privacy 2009: Verso il Controllo Globale

Thu, 28 May 2009 13:00:00 +0000

Indice

La Ricetta

Ingredienti

L'ambiente sociale del 2009
Un mucchio di ha ck er s
Qualche avvocato competente
Un portavoce di Google
I Big Brother Awards
Una consistente dose di paranoia

Preparazione

Prendete l'intero ambiente sociale, completamente impreparato alla (r)evoluzione mediatica avvenuta negli ultimi anni, e lasciate che gli hacker osservino e ne parlino/scrivano. Portate gli avvocati, e lasciate che riconoscano “Houston! Abbiamo un problema!”, definendolo al contempo in legalese. Fate domande e partecipate a dibattiti interessanti.

Ora, consegnate il Big Brother Award 2007 al rappresentante di Google, lasciate che il sole si tuffi nelle colline, aggiungete una notevole quantita' di vino rosso toscano, e preparatevi per il giorno dopo. Lasciate fluire la paranoia, mentre gli hacker mostrano come si puo' essere tracciati e trovati tramite la rete cellulare e spiati tramite telecamere collegate via wifi piazzate li' per la vostra sicurezza.

Guardate i Big Brother Awards 2009 non consegnati restare sulla scrivania dei relatori e improvvisamente messi in vendita su eBay, e tornate a casa, dove leggete e guardate un'intervista video-editata al premier italiano.

Mettete tutto in frigo e date al vostro cervello due giorni per metabolizzarlo. Poi scrivetelo tutto A VOCE ALTA.

Foto di lorelei-ranveig

#top

Lo scenario

Siamo connessi. Siamo completamente connessi. Stiamo condividendo, stiamo creando identita' multiple, stiamo esagerando e diventando dipendenti, stiamo guadagnando soldi (forse) da tutto cio', e se da un lato ci stiamo aprendo la mente a culture e punti di vista diversi, dall'altro stiamo solo restringendo le nostre visioni perche' troviamo solo le informazioni che cerchiamo, trattando Internet come un surrogato morbido della TV, annichilendo il pensiero critico, e ancora peggio, demonizzando la rete (non nel significato unix del termine) a causa delle dichiarazioni di alcuni «politici», dimenticando che tutto cio' che gli uomini hanno costruito nella storia sono strumenti, e qualsiasi problema causato dagli strumenti e' solo questione di come altri uomini li usano effettivamente, non degli strumenti stessi.