Mauro Vecchio

Il buco con l'informazione intorno

Un esperto in sicurezza informatica ha reso nota l'intera procedura per leggere gratis le edizioni digitali dei più svariati quotidiani italiani. Tutto partendo dall'aggiramento de i meccanismi di acquisto in-app di Apple

Roma - A lanciare l'allarme era stato un filmato apparso tra le pagine di Over Security, blog italiano specializzato in sicurezza informatica. Poco più di 6 minuti per dimostrare come fosse possibile leggere gratis le edizioni elettroniche dei più svariati quotidiani del Belpaese, aggirando le metodologie di acquisto in-app previste da Apple su iPad o altri dispositivi basati su iOS.

Una dimostrazione piuttosto eloquente - datata 27 novembre 2010 - realizzata dall'esperto Andrea Draghetti per incentivare gli sviluppatori a migliorare le loro applicazioni, progettando "con maggiore accuratezza le infrastrutture di Rete". Allo scopo di tutelare gli ovvi interessi dei vari editori, lo stesso Draghetti aveva deciso di non mostrare al pubblico l'intera procedura per l'aggiramento dei meccanismi noti come in-app purchase.

"La procedura affligge i principali quotidiani e riviste - ha ora spiegato Draghetti in un recente intervento sul blog Over Security - I soggetti interessati nella full disclosure sono stati preventivamente informati tramite email, tramite i canali online del settore Apple e sui loro canali Twitter". L'esperto ha infatti rivelato nel dettaglio la procedura da lui stesso adottata per leggere gratuitamente le versioni digitali di La Repubblica o del Corriere della Sera.
"Dopo un'attenta analisi dei pacchetti di rete ricevuti ed inviati (packet sniffer) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste - ha spiegato l'esperto nel suo intervento - successivamente è possibile accedere direttamente da Safari o da qualsiasi altro browser al contenuto desiderato, digitando un semplice indirizzo web, evitando il pagamento tramite in-app purchase del contributo richiesto dall'editore".

Come noto, le pagine dei quotidiani per iPad sono generalmente in formato PDF, spesso non adeguatamente protette con una password a livello di URL. "Per aggirare il pagamento dovremmo pertanto risalire all'URL del nostro contenuto e accederci direttamente da Safari o da un comune browser", ha aggiunto Draghetti. Quasi una ventina i quotidiani affetti dalla vulnerabilità, tra cui la Gazzetta dello Sport e Il Messaggero.

"La vulnerabilità può essere utilizzata ricorsivamente senza interagire giornalmente con il PC - ha aggiunto l'esperto - in quando vedremo che gli URL utilizzati sono sempre i medesimi con l'unica differenza che cambia la data in esso contenuta. Basterà sostituire ANNO, MESE, GIORNO con i valori interessati per ottenere il quotidiano desiderato, senza l'ausilio di alcun software Proxy o Sniffer".

Sul blog Over Security è dunque stata pubblicata una serie di link che permettono la visualizzazione gratuita delle edizioni digitali per iPad. Pare che i gruppi editoriali in questione abbiano subito provveduto a risolvere la falla, dal momento che molti dei collegamenti proposti da Over Security rimandano a messaggi d'errore o di blocco. Di certo un sistema con le URL in chiaro è meno tecnologico di quanto ci si potrebbe attendere da un paywall dell'anno domini 2011.

Mauro Vecchio
Notizie collegate
27 Commenti alla Notizia Il buco con l'informazione intorno
Ordina
  • Praticamente la logica adottata era: nascondo il cesto dei giornali dietro l'edicola, davanti ci sto io e chiedo i soldi.
    La prima volta ti pago e vedo dove tieni i giornali (leggo l'url) le altre volte leggo a gratis.

    Un sistema così ero capace di farlo anche io.

    GTFS
    non+autenticato
  • - Scritto da: Guybrush Fuorisede
    > Praticamente la logica adottata era: nascondo il
    > cesto dei giornali dietro l'edicola, davanti ci
    > sto io e chiedo i
    > soldi.
    > La prima volta ti pago e vedo dove tieni i
    > giornali (leggo l'url) le altre volte leggo a
    > gratis.
    >
    > Un sistema così ero capace di farlo anche io.
    >
    Ma tu non ruberesti mai un giornale!
    Perchè in digitale è diverso?
    non+autenticato
  • - Scritto da: pippO

    > Ma tu non ruberesti mai un giornale!
    > Perchè in digitale è diverso?

    Perche' non e' cartaceo.
    Non ci sono costi di carta, di stampa, di distribuzione, di niente.
    Un pdf e' gratis, sia che tu me lo dai di tua volonta' sia che me lo prendo di nascosto.
    Perche' non te lo tolgo, sta sempre li', mi faccio solo una copia, accollandomi il costo.
    Non solo, ma posso editare il pdf, ritagliar via tutta l'inutile pubblicita', e ridistribuirlo.

    E' la rivoliuzione digitale.
    Il millennio scorso e' finito da piu' di un decennio.
  • - Scritto da: panda rossa
    Ti stavo aspettandoOcchiolino

    > - Scritto da: pippO
    >
    > > Ma tu non ruberesti mai un giornale!
    > > Perchè in digitale è diverso?
    >
    > Perche' non e' cartaceo.
    > Non ci sono costi di carta, di stampa, di
    > distribuzione, di
    > niente.

    Sempre il solito discorso, server, banda ed eletticità sono costi minori ma CI SONO!
    non+autenticato
  • - Scritto da: pippO
    > - Scritto da: panda rossa
    > Ti stavo aspettandoOcchiolino

    > > - Scritto da: pippO

    > > > Ma tu non ruberesti mai un giornale!
    > > > Perchè in digitale è diverso?

    > > Perche' non e' cartaceo.
    > > Non ci sono costi di carta, di stampa, di
    > > distribuzione, di niente.

    > Sempre il solito discorso, server, banda ed
    > eletticità sono costi minori ma CI SONO!

    Ok, io compro il giornale e pagho la banda e l'elettricita' dei server per il download. Poi la mia copia la passo gratis a Panda Rossa e a chi altro mi pare usando la mia banda e la mia elettricita'
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: pippO
    > > - Scritto da: panda rossa
    > > Ti stavo aspettandoOcchiolino
    >
    > > > - Scritto da: pippO
    >
    > > > > Ma tu non ruberesti mai un giornale!
    > > > > Perchè in digitale è diverso?
    >
    > > > Perche' non e' cartaceo.
    > > > Non ci sono costi di carta, di stampa, di
    > > > distribuzione, di niente.
    >
    > > Sempre il solito discorso, server, banda ed
    > > eletticità sono costi minori ma CI SONO!
    >
    > Ok, io compro il giornale e pagho la banda e
    > l'elettricita' dei server per il download. Poi la
    > mia copia la passo gratis a Panda Rossa e a chi
    > altro mi pare usando la mia banda e la mia
    > elettricita'
    Ti sei dimenticato di pagare il lavoro delle 72 persone che hanno lavorato per un giorno per produrre l'unica copia che pagherai...
    non+autenticato
  • - Scritto da: pippO
    > - Scritto da: krane
    > > - Scritto da: pippO
    > > > - Scritto da: panda rossa
    > > > Ti stavo aspettandoOcchiolino

    > > > > - Scritto da: pippO

    > > > > > Ma tu non ruberesti mai un giornale!
    > > > > > Perchè in digitale è diverso?

    > > > > Perche' non e' cartaceo.
    > > > > Non ci sono costi di carta, di stampa, di
    > > > > distribuzione, di niente.

    > > > Sempre il solito discorso, server, banda ed
    > > > eletticità sono costi minori ma CI SONO!

    > > Ok, io compro il giornale e pagho la banda e
    > > l'elettricita' dei server per il download. Poi
    > > la mia copia la passo gratis a Panda Rossa e
    > > a chi> altro mi pare usando la mia banda e la
    > > mia elettricita'

    > Ti sei dimenticato di pagare il lavoro delle 72
    > persone che hanno lavorato per un giorno per
    > produrre l'unica copia che pagherai...

    E quando la leggo al bar le ha pagate il proprietario del bar ?
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: pippO
    > > - Scritto da: krane
    > > > - Scritto da: pippO
    > > > > - Scritto da: panda rossa
    > > > > Ti stavo aspettandoOcchiolino
    >
    > > > > > - Scritto da: pippO
    >
    > > > > > > Ma tu non ruberesti mai un giornale!
    > > > > > > Perchè in digitale è diverso?
    >
    > > > > > Perche' non e' cartaceo.
    > > > > > Non ci sono costi di carta, di stampa, di
    > > > > > distribuzione, di niente.
    >
    > > > > Sempre il solito discorso, server, banda ed
    > > > > eletticità sono costi minori ma CI SONO!
    >
    > > > Ok, io compro il giornale e pagho la banda e
    > > > l'elettricita' dei server per il download. Poi
    > > > la mia copia la passo gratis a Panda Rossa e
    > > > a chi> altro mi pare usando la mia banda e la
    > > > mia elettricita'
    >
    > > Ti sei dimenticato di pagare il lavoro delle 72
    > > persone che hanno lavorato per un giorno per
    > > produrre l'unica copia che pagherai...
    >
    > E quando la leggo al bar le ha pagate il
    > proprietario del bar
    > ?
    si, lui PAGA!
    non+autenticato
  • - Scritto da: pippO
    > - Scritto da: krane
    > > - Scritto da: pippO
    > > > - Scritto da: krane
    > > > > - Scritto da: pippO
    > > > > > - Scritto da: panda rossa
    > > > > > Ti stavo aspettandoOcchiolino

    > > > > > > - Scritto da: pippO

    > > > > > > > Ma tu non ruberesti mai un giornale!
    > > > > > > > Perchè in digitale è diverso?

    > > > > > > Perche' non e' cartaceo.
    > > > > > > Non ci sono costi di carta, di stampa,
    > > > > > > di distribuzione, di niente.
    > > > > > Sempre il solito discorso, server, banda
    > > > > > ed eletticità sono costi minori ma CI SONO!

    > > > > Ok, io compro il giornale e pagho la banda
    > > > > e l'elettricita' dei server per il download.
    > > > > Poi la mia copia la passo gratis a Panda
    > > > > Rossa e a chi altro mi pare usando la mia
    > > > > banda e la mia elettricita'

    > > > Ti sei dimenticato di pagare il lavoro delle
    > > > 72 persone che hanno lavorato per un giorno
    > > > per produrre l'unica copia che pagherai...

    > > E quando la leggo al bar le ha pagate il
    > > proprietario del bar ?
    > si, lui PAGA!

    Paga il lavoro delle 72 persone che hanno lavorato per un giorno per produrre l'unica copia che la gente legge nel suo bar ? Paga quanto me che poi lo regalo a Panda ?
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: pippO
    > > - Scritto da: krane
    > > > - Scritto da: pippO
    > > > > - Scritto da: krane
    > > > > > - Scritto da: pippO
    > > > > > > - Scritto da: panda rossa
    > > > > > > Ti stavo aspettandoOcchiolino
    >
    > > > > > > > - Scritto da: pippO
    >
    > > > > > > > > Ma tu non ruberesti mai un giornale!
    > > > > > > > > Perchè in digitale è diverso?
    >
    > > > > > > > Perche' non e' cartaceo.
    > > > > > > > Non ci sono costi di carta, di stampa,
    > > > > > > > di distribuzione, di niente.
    > > > > > > Sempre il solito discorso, server, banda
    > > > > > > ed eletticità sono costi minori ma CI
    > SONO!
    >
    > > > > > Ok, io compro il giornale e pagho la banda
    > > > > > e l'elettricita' dei server per il
    > download.
    > > > > > Poi la mia copia la passo gratis a Panda
    > > > > > Rossa e a chi altro mi pare usando la mia
    > > > > > banda e la mia elettricita'
    >
    > > > > Ti sei dimenticato di pagare il lavoro delle
    > > > > 72 persone che hanno lavorato per un giorno
    > > > > per produrre l'unica copia che pagherai...
    >
    > > > E quando la leggo al bar le ha pagate il
    > > > proprietario del bar ?
    > > si, lui PAGA!
    >
    > Paga il lavoro delle 72 persone che hanno
    > lavorato per un giorno per produrre l'unica copia
    > che la gente legge nel suo bar ? Paga quanto me
    > che poi lo regalo a Panda
    > ?
    Paga in cappuccini, ma al contrario di te, lui PAGA il lavoro altrui...
    non+autenticato
  • - Scritto da: pippO
    > - Scritto da: krane
    > > - Scritto da: pippO
    > > > - Scritto da: krane
    > > > > - Scritto da: pippO
    > > > > > - Scritto da: krane
    > > > > > > - Scritto da: pippO
    > > > > > > > - Scritto da: panda rossa
    > > > > > > > Ti stavo aspettandoOcchiolino
    > >
    > > > > > > > > - Scritto da: pippO
    > >
    > > > > > > > > > Ma tu non ruberesti mai un
    > giornale!
    > > > > > > > > > Perchè in digitale è diverso?
    > >
    > > > > > > > > Perche' non e' cartaceo.
    > > > > > > > > Non ci sono costi di carta, di
    > stampa,
    > > > > > > > > di distribuzione, di niente.
    > > > > > > > Sempre il solito discorso, server,
    > banda
    > > > > > > > ed eletticità sono costi minori ma CI
    > > SONO!
    > >
    > > > > > > Ok, io compro il giornale e pagho la
    > banda
    > > > > > > e l'elettricita' dei server per il
    > > download.
    > > > > > > Poi la mia copia la passo gratis a
    > Panda
    >
    > > > > > > Rossa e a chi altro mi pare usando la
    > mia
    >
    > > > > > > banda e la mia elettricita'
    > >
    > > > > > Ti sei dimenticato di pagare il lavoro
    > delle
    > > > > > 72 persone che hanno lavorato per un
    > giorno
    >
    > > > > > per produrre l'unica copia che pagherai...
    > >
    > > > > E quando la leggo al bar le ha pagate il
    > > > > proprietario del bar ?
    > > > si, lui PAGA!
    > >
    > > Paga il lavoro delle 72 persone che hanno
    > > lavorato per un giorno per produrre l'unica
    > copia
    > > che la gente legge nel suo bar ? Paga quanto me
    > > che poi lo regalo a Panda ?

    > Paga in cappuccini, ma al contrario di te, lui
    > PAGA il lavoro altrui...

    Contraddizione: io il giornale l'ho pagato quando l'ho passato a panda, non hai letto bene....
    krane
    22544
  • Siccome non c'è la barra degli indirizzi, non si può vedere l'URL a cui ti stai collegando, pensano loro.
    Cavolo, ci arrivavo io che non sono un programmatore, e il mio massimo è stato uno script bash per scaricarmi Tuttoscienze in pdf dalla pagina della Stampa (li sì che l'URL è in chiaro)A bocca aperta
    Funz
    12995
  • - Scritto da: Funz
    > Siccome non c'è la barra degli indirizzi, non si
    > può vedere l'URL a cui ti stai collegando,
    > pensano loro.
    >
    > Cavolo, ci arrivavo io che non sono un
    > programmatore, e il mio massimo è stato uno
    > script bash per scaricarmi Tuttoscienze in pdf
    > dalla pagina della Stampa (li sì che l'URL è in
    > chiaro)
    >A bocca aperta

    E adesso vedrai che invece di chiudere il buco, voleranno denunce all'indirizzo di chi ha indicato la luna.

    (intanto si raccomanda di scaricare tutto finche' e' scaricabile, e di condividere con coloro che non hanno fatto in tempo a scaricare).
  • - Scritto da: panda rossa
    > E adesso vedrai che invece di chiudere il buco,
    > voleranno denunce all'indirizzo di chi ha
    > indicato la
    > luna.
    >
    > (intanto si raccomanda di scaricare tutto finche'
    > e' scaricabile, e di condividere con coloro che
    > non hanno fatto in tempo a
    > scaricare).

    Tanto c'è già chi fa il lavoro di scardinare i siti / craccare le versioni elettroniche / scannerizzare le riviste, e chi vuole va a cercarsi il link megaupload o fileserve...
    Funz
    12995
  • - Scritto da: panda rossa
    ...
    >
    > E adesso vedrai che invece di chiudere il buco,
    > voleranno denunce all'indirizzo di chi ha
    > indicato la
    > luna.

    Diritto e web non vanno tanto d'accordo, ok...., i giudici non capiranno un tubo etc.., ma le due cose non sono in relazioneOcchiolino l'errore di uno non giustifica quello dell'altro...

    E' difficile dire se l'indicazione sia lecita o illecita, io ci rifletterei un po'.. ..perdonate l'auto-link http://dirittodigitale.com/notizie-utili-a-crackar.../


    >
    > (intanto si raccomanda di scaricare tutto finche'
    > e' scaricabile, e di condividere con coloro che
    > non hanno fatto in tempo a
    > scaricare).

    Altra indicazione.. "delicata" oh.. è solo una riflessione, forse sto esagerando, ma il codice è del 1930 anche se viene applicato nel 2011.... non vorrei che qualcuno interpretasse "male..."

    Di fatto ci sono 2 articoli che potrebbero rilevare nel caso di "raccomandazione a scaricare..."

    Articolo 115. "(Accordo per commettere un reato. Istigazione). 1. Salvo che la legge disponga altrimenti, qualora due o più persone si accordino allo scopo di commettere un reato, e questo non sia commesso, nessuna di esse è punibile per il solo fatto dell’accordo.
    2. Nondimeno, nel caso di accordo per commettere un delitto, il giudice può applicare una misura di sicurezza.
    3. Le stesse disposizioni si applicano nel caso di istigazione a commettere un reato, se la istigazione è stata accolta, ma il reato non è stato commesso.
    4. Qualora la istigazione non sia stata accolta, e si sia trattato d’istigazione a un delitto, l’istigatore può essere sottoposto a misura di sicurezza."

    Rileva in particolare questo ultimo periodo (4° comma).

    C'è poi quest'altro articolo: Art. 414 c.p. (Istigazione a delinquere.) Chiunque pubblicamente istiga a commettere uno o più reati è punito, per il solo fatto dell'istigazione:
    1) con la reclusione da uno a cinque anni, se trattasi di istigazione a commettere delitti;
    2) con la reclusione fino a un anno, ovvero con la multa fino a euro 206, se trattasi di istigazione a commettere contravvenzioni.

    Saluti, AB
    non+autenticato
  • Incredibile..

    Cioè url in chiaro e pure prevedibile (basta aggiornare la data a quanto detto dall'articolo) questi si che peccano di ingenuitàA bocca aperta
    non+autenticato
  • Immagino quanto avranno pagato i quotidiani a questi "IT consultant" per questi nuovi mirabolanti servizi...
  • che vuoi farci, in mezzo a una massa di ignoranti, un mediocre sembra un genio...
    Sorride
  • - Scritto da: MarcelloRomani
    > Immagino quanto avranno pagato i quotidiani a
    > questi "IT consultant" per questi nuovi
    > mirabolanti
    > servizi...

    Forse volevi dire quanto AVREMO pagato visto che i patetici giornali (di partito) italiani vanno avanti SOLO grazie ai nostri soldi.
    non+autenticato
  • Già... tendo sempre a dimenticarlo: autodifesa ? Sorride
  • Di sicuro molto... vigono sempre l'equazioni visibilità!=competenza ed incompetenza=costo
    non+autenticato