CyberSecurity 1337

Tanti auguri per un anno nuovo sereno e felice, con l'augurio che i mostri siano solo quelli di questo spot.

Nuovo blog di sicurezza del gruppo SWI di Microsoft. In questo blog il team discute delle vulnerabilità di sicurezza di prodotti Microsoft e di come queste siano patchate o dei workaround necessari. Microsoft finalmente comincia a condividere la conoscenza interna, anche di sicurezza, con il Web. Una bella iniziativa. " Security Vulnerability Research & Defense Information from Microsoft about vulnerabilities, mitigations and workarounds, active attacks, and other related guidance and information. "

Cercate un tool per creare dischi cifrati dove tenere i vostri dati riservati e/o sensibili? Avete deciso di non tenere più i vostri dati in chiaro sulla chiavetta USB? Siete terrorizzati dal fatto di perdere il portatile e tutti i dati riservati in esso? Allora TrueCrypt fa al caso vostro: è free, open source, sicuro ed efficiente. Sul sito di TrueCrypt (anche presente su SourceForge ) potete scaricare i binari per Windows e Linux e i sorgenti dell'intera applicazione. Dobbiamo, da buoni uomini di sicurezza, ricompilare tutti i sorgenti ed eseguire il binario ricompilato per evitare spiacevoli sorprese (mai sentito parlare di backdoor ?). Ma già il fatto che TrueCrypt sia su SourceForge, con sorgenti e tanto di spiegazioni sul fatto che il compilato potrebbe differire dal binario distribuito a meno dei byte occupati dalla firma del driver Windows, ci rassicura sulla serietà del progetto. " (...) Keep this in mind if you compile TrueCrypt and compare your binaries with the off...

Se qualche cosa va storto possiamo sempre dire: "Santo Schneier"

Gary McGraw , vera autorità per quello che riguarda la sicurezza applicativa, ha scritto questo meraviglioso post sulla validità di insegnare sicurezza tramite fumetti e cartoni animati. Su questo sito un po' di cartoon specifici per la sicurezza. A questo link potete invece trovare un video sul XSS . L'idea è valida non solo per un'alfabetizzazione di sicurezza informatica ma anche per esperti del settore che spesso su tematiche più complesse hanno bisogno di un' aggiornatina . Chi ha capito bene XSS alzi la mano!

Gli articoli: A. Anton, P. Hope, G. McGraw, “ Misuse and Abuses Cases: Getting Past the Positive ”, IEEE Security & Privacy, March 2004; Curphey, Araujo, “ Web Application Security Assessment Tools ”, IEEE Security and Privacy archive, Volume 4 , Issue 4 (July 2006); B. Chess, G. McGraw, “ Static Analysis for Security ”, IEEE Security & Privacy, December 2004; Federal Information Processing Standard (fips) 199, “ Standards for security categorization of federal information and information syst ems”, 2004; G. McGraw, “ Software Security ”, IEEE Security & Privacy, February 2004; G. McGraw, B. Potter, “ Software Security Testing ”, IEEE Security & Privacy, May 2004; G. McGraw, D. Verdon, “ Risk Analysis in Software Design ”, IEEE Security & Privacy, April 2004; Vaclav Rajlich, “ Changing the paradigm of software engineering ”,Communications of the ACM archive,Volume 49 , Issue 8 (August 2006); NIST, “ Security Considerations in the Information SDLC ”, SP 800-64 Rev. ...

La sicurezza delle applicazioni sta assumendo negli ultimi anni un ruolo sempre più importante, che potremmo definire decisivo nella quotidiana battaglia per la sicurezza dei sistemi informatici. Fino ad oggi gli addetti alla sicurezza informatica hanno sempre considerato la sicurezza dei sistemi e delle reti (SSR) come prioritaria, trascurando altri aspetti invece fondamentali. Ma questo ha soprattutto delle motivazioni storiche legate alla evoluzione della sicurezza informatica. In passato gli hacker miravano perlopiù a rendere inservibili i sistemi oppure a manifestare la loro presenza attraverso i cosiddetti "defacement"; l'obiettivo era quindi quello di rendere indisponibile un sistema (interno o esterno) oppure affermare la propria superiorità tecnica. Gli hacker erano quasi sempre adolescenti desiderosi di dimostrare le proprie abilità informatiche al mondo, magari facendosi assumere poi dalle stesse aziende attaccate. Ma la versione romantica dell'hacker og...

Facciamoci una risata che è meglio...

Vi consiglio questo ottimo libro in versione elettronica.

Chi di voi ha mai sentito parlare di HSM ? Lo immaginavo. HSM è l'acronimo di " Hardware Security Module ", un dispositivo hardware atto a contenere chiavi crittografiche o di firma di una certa rilevanza che devono essere utilizzate per dati e documenti particolarmente sensibili. Se volete potete pensare ad un HSM come ad una grande Smartcard (appunto quella di James Bond) con caratteristiche di sicurezza, resistenza ed efficienza estremamente elevate . Gli HSM, nella stragrande maggioranza dei casi, sono utilizzati per la firma elettronica e/o digitale. Possono contenere sia chiavi simmetriche che asimmetriche (coppie di chiavi pubblico/private e relativi certificati X.509) e, cosa estremamente importante, non importano (o esportano) mai tali chiavi dall'esterno ma le generano o distruggono direttamente al loro interno . E' una questione di sicurezza e affidabilità delle chiavi che solo con una gestione interna dell'HSM può garantire. Le chiavi asimmetric...

Sarà la prossima bolla? Here Comes Another Bubble : The Richter Scales Caricato da balr0g

Su qualche blog è girata questa bufala: aprendo una shell su Windows con un utente non amministratore e digitando il comando: "AT [ora:min] /interactive cmd" si riesce ad ottenere una shell con diritti di Amministratore! In effetti se provate, molto probabilmente vi aprirà una nuova shell, ma solo perché siete Amministratori della vostra macchina. Su XP e VISTA se provate con un utente non privilegiato il nostro Windows-Calimero vi risponde un bel "Access Denied"!!! E come disse un presentatore a Bill Gates in TV "Signor Gates, lo sa lei che se la lavatrice in casa non funziona è colpa di Windows?" mha!

No MetaSploit Framework? Ahi ahi ahi.... Metasploit Framework (MSF) è un insieme di applicazioni che permettono, scegliendo l'exploit e il payload che più ci piace, di effettuare un penetration test su uno o più nodi di una rete. Selezionare però l'exploit giusto, avendo cura di fare un'analisi del sistema oggetto del nostro interesse, e poi il payload opportuno, definendo sostanzialmente il tipo di attacco, potrebbe non essere così facile e soprattutto è molto ripetitivo e noioso. E allora? Quelli di MSF hanno deciso di semplificarci la vita implementato delle feature molto interessanti che permettono di automatizzare il processo. In sostanza da MSF, utilizzando un DB relazionale come strato di persistenza e tramite NMAP o NESSUS , possiamo eseguire la scansione di una rete, individuare le eventuali vulnerabilità e lasciare che MSF applichi gli opportuni exploit e payload, restituendoci se possibile delle belle shell. E ora vediamo come configurare il tutto su una Ubuntu...

Se fossi in te gli darei un'occhiata.

Attacco del dizionario? Nooooooo ..... meglio Google. Un ricercatore di Cambridge ha scoperto questo trucchetto che ha del geniale... Le applicazioni Web spesso utilizzano le funzioni hash MD5 o SHA1 per evitare di codificare i campi passati nelle URL e quindi gestire caratteri particolari non permessi appunto in una URL. Google naturalmente indicizza tutto quello che c'è sul Web! Possiamo quindi, con una semplice ricerchina dell'hash della password, scoprire se qualche applicazione Web utilizza lo stesso hash per un suo campo. Ravanando infatti nei risultati della ricerca (sempre che ce ne siano) potremmo risalire magari al campo che è stato passato alla funzione hash. Questo ripropone il problema di sicurezza di salvare solo l'hash (MD5 o SHA1) delle password senza utilizzare il cosiddetto " salt ". Con il salt sono praticamente inefficaci gli attacchi del dizionario perché si aumenta la complessità computazionale dell'operazione di confronto con il diziona...

Quante volte avete letto metodologie per l'analisi e la gestione del rischio? Spesso ci si perde in questa giungla di sigle, acronimi, concetti e alla fine si perde l'essenza di cosa è veramente il rischio e come gestirlo. Analizzare il rischio connesso con un'attività, non vuol dire unicamente aprire un libro, scegliere la metodologia che più ci piace ed applicare pedissequamente tutti e soli i passi contemplati in essa. In realtà in ogni momento della nostra vita analizziamo i rischi connessi alle diverse attività in cui siamo coinvolti e cerchiamo di gestirli nel modo più opportuno . Cerco di spiegarmi con un esempio: Poniamo il caso di dover attraversare una strada. Che cosa facciamo? Guardiamo alla nostra sinistra per vedere se sopraggiungono macchine. Nel caso sopraggiungano, valutiamo la distanza che intercorre tra noi e la/le macchina/e, per capire se sia o meno "rischioso" attraversare la strada. Se decidiamo di sì, valutiamo allora la velocità della ma...

Certo non si sentiva la mancanza di un nuovo blog! Specialmente nel campo della sicurezza informatica. Ma io insisto e lo pubblico ugualmente ;-) Quindi benvenuti a tutti su questo nuovo blog, dove pubblicherò prevalentemente idee, concetti, considerazioni, opinioni sulla sicurezza informatica dal punto di vista di un geek. Qualche digressione su altri argomenti ogni tanto me la concederete però!