CyberSecurity 1337

Vi ricordate la pubblicità dell'Apple che prendeva in giro Vista per le continue richieste dello UAC ? E adesso dopo la megapatch è proprio il SO della mela a cadere per primo in un contest di hacking in cui il primo premio era un bel Airbook . Ancora una volta si dimostra che tutti i SO, come del resto le applicazioni in generale, soffrono di problemi di sicurezza e che solo l'estrema diffusione e quindi l'interesse da parte degli hacker portano alla luce le vulnerabilità esistenti. Possibile che fior fiore di Informatici cadano sempre nelle solite, banali guerre di religione?

Un po' di tempo fa è uscita una top ten dei disastri causati da errori nello sviluppo o nella gestione di progetti IT. Ve la propongo così come l'ha fornita la testate on-line: Errore nel sistema sovietico per la segnalazione di attacchi missilistici (1983) : un errore nel sistema di segnalazione di attacchi missilistici, segnalò cinque missili americani verso l'unione sovietica. Per fortuna un militare dotato di molta materia grigia ha capito che un attacco americano non avrebbe impegnato SOLO cinque missili! Si è sfiorata la terza guerra mondiale? Collasso della rete AT&T (1990) : un problema nel codice generato da un upgrade ha scatenato un DoS sul network telefonico della AT&T che ha reso mute 75 milioni di telefonate. L'esplosione dell'Ariane 5 (1996) : come sanno in molti l'esplosione è stata provocata da un buffer overflow provocato da una tentata conversione di un numero a 64bit in uno a 16 bit. Purtroppo anche l'unità ridondata aveva lo stes...

Con tutti i soldi che fanno potrebbero anche pagare un traduttore! Ecco una mail che mi è arrivata poco fa. Gli "orrori" di grammatica sono evidenziati, semmai ce ne fosse bisogno... Caro membro di Banca Fideuram , Per i motivi di sicurezza abbiamo sospeso il vostro conto di operazioni bancarie in linea a Banca Fideuram . Dovete confermare che non siete una vittima del furto di identitr per ristabilire il vostro conto . Dovete scattare il collegamento qui sotto e riempire la forma alla seguente pagina per realizzare il processo di verifica. https://www/ ..... Li ringraziamo per la vostra attenzione rapida a questa materia . Capisca prego che questa e una misura di sicurezza progettata per contribuire a proteggere voi ed il vostro conto . Chiediamo scusa per eventuali inconvenienti. Non risponda prego a questo E-mail. La posta trasmessa a questo indirizzo non puo essere risposta a. © Banca Fideuram e una societa del Gruppo Bancario Intesa Sanpaolo Mi raccomando consigl...

Ok non c'entra nulla con la sicurezza, non voglio fare pubblicità, non amo i gadget, ..... ma questo stavolta lo compro e credo che, visto il prezzo e l'utilità, sia giusto fare un bel post :-) Chi di voi non si è lessato le gambe per reggere il portatile comodamente seduti sul divano? Del resto si chiamano Laptop apposta ;-)

Continuiamo la saga sulla sicurezza applicativa e precisamente con le best practice per una buona analisi dei rischi architetturale. L'analisi dei rischi architetturale è volta ad evidenziare eventuali falle di tipo architetturale, e quindi progettuale, che non potrebbero essere scoperte con la sola analisi del codice sorgente . Si possono infatti distinguere due tipologie di errori che conducono a problemi di sicurezza applicativa: falle e bachi . Mentre per individuare i bachi nel codice potrebbe essere sufficiente la sola revisione del codice sorgente, per individuare le falle non è sufficiente il solo codice, ma è necessario invece avere la visione dell'intera architettura e degli elementi che la compongono. Su tale architettura andrà fatta quindi una valutazione dei possibili rischi ovvero della probabilità che qualche tipologia di minaccia, sfruttando una o più vulnerabilità, arrechi un danno di un determinato impatto sul sistema applicativo. Le best practice per questo t...

Come ogni giorno, tra tutti i vari blog che leggo, c'è anche Punto Informatico. Scorro velocemente le notizie...le varie vulnerabilità della piattaforma X, Y, Apple, ...., sistemate 90 vulnerabilità , il caso del nuovo rootkit per il DRM... UN ATTIMO! Apple rilascia una MegaPatch che corregge 90 vulnerabilità? Guardo la lista e c'è di tutto: XSS, vulnerabilità di terze parti, buffer overflow. Sono cica 100 Mbyte di pacchetto che si può avere comodamente con il servizio di update di Apple. Ma non vi sembra di aver già visto questo film? Ahi ahi ahi Steve. Ma come, dei gingilli elettronici venduti a caro prezzo bucati come scolapasta? "Zio Bill, sì sì non ti preoccupare, adesso arriva anche Steve e così potrete affrontare il problema una volta per tutte. Chiamate Howard che almeno vi dà qualche dritta su come sviluppare applicazioni sicure. Ma Howard non lavora in Microsoft?" O forse Steve Jobs con tutti questi cartoni animati alla PIXAR ha dimenticato che il software d...

Quante volte vi capita di parlare con amici che sono "tifosi" di un particolare SO, oppure di una piattaforma applicativa, o peggio di un linguaggio? Ricordo ai tempi dell' Amiga gli scontri con i DOS siani e il mitico Apple II , e oggi è invece il tempo delle battaglie tra Microsoft e Linux . E intanto...come si dice: "il terzo litigante gode". Ed il terzo litigante è GOOGLE :-) Analizziamo un attimo che cosa sta facendo Google. Google sta diventando di fatto il Grande Fratello di orwelliana memoria (da qui il titolo del post). Il dominio delle informazioni in Internet è senza ombra di dubbio suo. Perché? Perché le informazioni disponibili sono il più delle volte ricercate tramite il loro motore di ricerca; Perché con GMail riescono praticamente a monitorare la vita privata e professionale di molte persone che, ignare, continuano a mandare mail con GMail; Perché hanno piattaforme di Blogging (come questa) con le quali i blogger esprimono opinioni, preferenze,...

Non vorrei togliere del lavoro al buon Paolo Attivissimo, ma del famigerato "buco" in Ebay se ne parla da settembre dello scorso anno . Ero indeciso se pubblicare o meno un post su questo argomento. Degli amici mi dicono infatti che il forward di notizie non commentate non è di molto interesse. Vero! E allora la commento; anche perché leggendo la notizia su Repubblica si potrebbe pensare che qualcuno si sia introdotto nei sistemi di Ebay, trafugando i dati personali con i numeri delle carte di credito. Niente di più falso. La vulnerabilità, se così si può definire, è nell'uso delle API che Ebay mette a disposizione delle società che vogliano interagire con i suoi sistemi. Evidentemente le API sono di manica larga e rivelano troppe informazioni che possono poi essere sfruttate con del Cross Site Scripting o del Phishing per carpire la buona fede, e insieme le credenziali, del vincitore dell'asta. La vulnerabilità è stata provata solo per Ebay.de (quello tedesco) e qui...

Per chi si trovasse a passare dalle parti di Roma, il 31 marzo si terrà la seconda edizione dell' OWASP Day italiano . Dopo il successo dell'anno scorso si replicherà anche questo anno. Il gruppo di sicurezza del Dipartimento di Informatica dell'Università "La Sapienza" ha fatto in modo di preparare l'evento nel miglior modo possibile. OWASP, per chi non la conoscesse, è una community mondiale che si occupa di sicurezza applicativa del Web. Il nome è proprio l'acronimo di Open Web Application Security Project . Ecco l'agenda: 9:00h - Registration 9.30h - "Welcome and opening of the works" Prof. L.Mancini - Director of the Master in Information Security, Università "La Sapienza" Rome. 9.45h - "Introduction to the OWASP Day II" Matteo Meucci - OWASP-Italy Chair, CEO Minded Security 10.00h - "L'approccio di Telecom Italia allo sviluppo sicuro delle applicazioni" Marco Bavazzano - CISO TELECOM Italia 10.30h - ...

No, non è uno scherzo. Quante volte pensiamo all'hacker di turno che, con conoscenze sicuramente approfondite, buca un sistema fino ad allora ritenuto inviolabile? Bene, in realtà una tipologia di attacchi potrebbero essere portati anche da un semplice "cavernicolo" , ovvero da una persona che non ha la minima conoscenza della tecnologia sottostante l'infrastruttura che sta attaccando. Questi attacchi tipicamente sono del tipo Denial of Service (DoS) a sistemi e reti. E' quindi principalmente un problema di sicurezza delle reti e dei sistemi ovvero di sicurezza informatica connessa ad apparati fisici che possano essere manomessi in qualche modo. Una storiella (americana) narra di un black out provocato da un castoro che, nottetempo, si introdusse in una centrale elettrica, mandò in corto tutto (morendo, purtroppo per lui) e provocò appunto un black out in migliaia di abitazioni. E se qualcuno si recasse nei pressi di una centrale elettrica con un camion di castor...

Notizia passata quasi inosservata che ripropone violentemente l'attenzione sulla sicurezza informatica nella PA e di come questa si ponga nei suoi confronti. Giorni fa è stato annunciato un furto telematico di 13.000.000 di euro (dicasi milioni di euro) da un conto corrente on-line delle Poste gestito dallo stesso Ministero. Ora, non voglio fare il pierino della situazione, ma come si fanno a tenere 13 milioni di euro su un conto on-line? Saggezza vorrebbe che, superata una certa cifra di denaro, i soldi transitassero su altri depositi meno accessibili. Transito che potrebbe essere svolto da un funzionario accreditato dal Ministero non necessariamente telematico ma anche "manuale". Lasciando stare la presunta debolezza informatica del conto on-line, qui il problema è proprio nelle procedure della PA in questione. Procedure che hanno fatto sì di tenere questa ingentissima somma su un unico conto on-line. Certo poi se il conto on-line è quello dei comuni mortali con userna...

Per noi informatici spesso Internet è un meraviglioso mondo incantato. Noi ci sappiamo difendere, ma c'è chi invece è indifeso: i bambini. Bisogna sempre controllare i bimbi che navigano e se ci sono strumenti a supporto della loro navigazione usiamoli! Questo video della Polizia Postale, con un insuperabile Giancarlo Giannini, può essere di aiuto per chi è a digiuno di Internet e magari ha necessità di essere scosso a dovere. Spesso la prevenzione è il miglior modo di aumentare la sicurezza anche fisica dei nostri cari.

Mai fidarsi di programmi che trattano le nostre credenziali per fare qualche cosa: A Question of Programming Ethics . Rimarrete a bocca aperta!

Ottimo il post " Crawling " Toward SDL . Per chi sviluppa con tecnologie Microsoft è un buon vademecum sui punti essenziali per implementare un ciclo di vita del software sicuro ( SSDLC ). Se non vi ricordate di cosa si parla, potete dare un'occhiata ai miei post passati: Sicurezza Applicativa: introduzione Sicurezza Applicativa: riferimenti Sicurezza Applicativa: linee guida Sicurezza Applicativa: best practice per i casi di abuso e i requisiti di sicurezza Sicurezza Applicativa: il modello STRIDE per i pattern di attacco Resta inteso che il SSDLC non è solo per piattaforme Microsoft (anche se Microsoft ci sta puntando molto e con molta "evangelizzazione"). Consiglio sempre il mitico libro di Gary McGraw : “Software Security : Building Security In” . Ecco i riferimenti "libreschi" :-) Sicurezza Applicativa: riferimenti

Il celeberrimo CDC (Cult of the Dead Cow) ha rilasciato un tool standalone per Windows (serve il framework .NET) per automatizzare il Google hacking di un sito. E' lo stesso Bruce Schneier che lo comunica. Una sorta di sistema esperto con tutte le possibili tecniche di Google Hacking. L'unica cosa noiosa è che Google dopo un certo numero di richieste banna l'IP, e richiede tramite il CAPTCHA di verificare che chi sta facendo tali richieste sia effettivamente un essere umano! Oppure è un modo per il CDC di bucare il CAPTCHA? ;-) Interessante...veramente interessante. Certo però potevano inserire un randomizzatore dell'intervallo di tempo tra due scansioni consecutive in modo da diminuire la possibilità che Google si accorga dell'attività automatica. Comunque scaricate traquillamente il file binario, non è un virus e non contiene malware. Interessante anche navigare nel codice sorgente. Chissà se si può contribuire allo sviluppo del tool ;-)

Ecco un ottimo video tutorial di Matteo G.P. Flora che illustra come le varie stampanti inseriscano dei codice invisibili alla normale luce che indicano: modello della stampante, data, ora e codice seriale. Anche il buon Bruce Schneier ogni tanto ritorna sull'argomento. Casa LastKnight - Episodio 2 from Matteo G.P. Flora on Vimeo .

E' un po' di tempo che leggo sui vari blog e news di sicurezza (e non solo) di laptop rubati con dati sensibili e/o riservati, che gettano nel panico le aziende proprietarie dei dati. Questo uno degli ultimi: Home Office Disk Found Hidden in Laptop Sold on eBay (February 28 & 29, 2008) Che il problema esista, non vi sono dubbi. La facilità infatti di copiare i dati da una realtà aziendale su un laptop per poi portarselo a casa è disarmante; a meno di non mettere in piedi soluzioni di vaulting e di hardening dei sistemi che però mi lasciano perplesso sull'efficacia e su un rapporto costi/benefici favorevole. Pensiamo solo alle chiavette USB e alla facilità (e velocità) con cui si possono trasferire dati da un qualsiasi computer (anche senza diritti elevati) e andarsene via indisturbati. Una sorta di Social-USB-Engineering :-) Ma ritorniamo al problema del laptop rubato con i numeri di carte di credito di una ipotetica azienda di e-commerce. Problema che secondo me non è ...