CyberSecurity 1337

Se portate gli occhiali, bevete vino o thé, avete occhi grandi e finestre nella vostra stanza, allora fate attenzione, perché qualcuno potrebbe leggere il vostro monitor LCD riflesso sugli oggetti ad esso vicini. Oggetti appunto come: occhiali, occhi, bicchieri, posate, etc. Non è uno scherzo. Un serissimo articolo pubblicato da Saarland University e Max Planck Institute for Software Systems dimostra sperimentalmente che, con l'aiuto di un telescopio ed una macchina fotografica digitale per un costo complessivo di almeno 1500$, si può portare questo tipo di attacco. Poi se si è disposti ad investire di più, aumentano le prestazioni del "guardone ottico". Quello che viene fatto è analizzare la riflessione delle immagini sulle superfici degli oggetti che comunemente si possono trovare vicini ai nostri monitor LCD. Le sperimentazioni riguardano quindi: gli occhi, che hanno una piccola superficie e un rapido movimento; gli occhiali, ottima superficie; i bicchieri, meglio se...

Google Health ....che bel servizio. E' semplicemente un'idea stupenda quella di organizzare i propri dati sanitari sul Web. Certo negli States è possibile magari connettersi con qualche struttura sanitaria e aggiornare il proprio profilo, condividere la propria cartella clinica con il proprio medico, etc. etc. Ma i dati sono sempre su Internet! Però, direte voi, i dati sono custoditi nei meravigliosi server di Google, protetti da pletore di security man espertissimi (e non potrebbero essere altrimenti, visto che il loro business si basa anche sulla sicurezza dei dati) con computer scintillanti e intrinsecamenti sicuri! Ma poniamo il caso che un hacker...anzi un cracker (no, non quelli con il sale...) pensi di utilizzare in modo illecito questi dati, cosa farebbe? Google+dato sanitario ==> alto livello di sicurezza "bisogna sempre attaccare l'anello più debole della catena" BotNet + trojan su macchina client ==> GoogleHealth logger ...il solito canale IRC e i...

Raffaele segnala che quelli di Metasploit hanno pubblicato i primi tool di cracking che sfruttano la vulnerabilità SSL di Debian vista nei post precedenti. Visto che lo spazio è limitato a 32767 chiavi, basta generare tutte le possibili chiavi private in questo spazio e poi confrontare le corrispondenti chiavi pubbliche con quelle dei sistemi con SSL bacato. Insomma una sorta di Rainbow Table per le chiavi private ! Interessante anche che Verysign tranquillizzi i suoi utenti sul fatto che i loro certificati root e intermedi sino stati generati in modo sicuro (e ci mancherebbe!). I clienti sono comunque caldamente consigliati, nel caso abbiano utilizzato una distribuzione Debian, a rigenerare le coppie di chiavi e richiedere un nuovo certificato alla stessa Verysign senza costi aggiuntivi per il cliente. Comunque rigenerate tutte le chiavi sulle vostre distro Debian e sperate che nessuno vi abbia sniffato il traffico cifrato, perché con questi crack potrebbe riattivarsi e cercare di d...

Vi segnalo questa animazione Flash sul cifrario di Rijndael . E' l'algoritmo di cifratura che ha vinto il contest AES . http://www.formaestudio.com/rijndaelinspector/archivos/rijndaelanimation.html

Il generatore random del package Debian di OpenSSL genera numeri altamente predicibili . Questa pericolosa vulnerabilità è presente nei package delle Debian based dalla versione 0.9.8c-1 (settembre 2006) e quindi anche sulle distribuzioni derivate tipo Ubuntu. Per ovviare a tale problema bisogna prima di tutto eseguire un update del package e poi rigenerare tutte le chiavi utilizzate per gestire per esempio SSH, certificati X.509, etc. Si avete letto bene rigenerare tutte le chiavi... Il post comparso su Slashdot ha ovviamente scatenato una serie di polemiche inevitabili sul fatto che la vulnerabilità sia stata introdotta da un solerte packager del gruppo Debian, che ha commentato delle righe di codice necessarie per la generazione casuale dei numeri di OpenSSL. Il packager, utilizzando Valgrind , un prodotto per l'analisi della qualità del codice, sul package OpenSSL e rilevando un potenziale problema su un buffer di memoria non inizializzato, ha pensato che fosse un errore e ha...

Dopo aver letto molti post di illustri colleghi che magnificavano l'OWASP Day II , mi sono deciso a scriverne uno anche io. Ho partecipato a tutta la giornata del convegno e ho avuto modo di vagliare uno per uno gli interventi. Il convegno, con luci ed ombre, ha avuto interventi di sicuro rilievo ma purtroppo alcuni (non molti) sono stati assolutamente insufficienti. Il chairman, Matteo Meucci, da lodare per l'impegno che mette nell'organizzazione di questi eventi, è però da redarguire amichevolmente per due aspetti: più carattere nel dirigere questi convegni, cercando di acquisire più carisma anche nella moderazione degli interventi (ci sono stati interventi che sono continuati per un'ora...) una selezione più rigida degli interventi, magari con l'apporto di revisori esterni (qualche intervento era insufficiente anche per una tesina all'Università...) Per quello che riguarda gli interventi, ecco le mie opinioni confortate spesso dai commenti della platea (anche...

Non ho nulla in contrario al caro vecchio metodo della busta di carta con password di accesso a sistemi critici, chiusa con la ceralacca e messa in cassaforte. Ma nel 2008 ci sono sistemi più moderni! Immaginiamo uno scenario, tipicamente di Business Continuity Planning (BCP), in cui particolari utenti, in condizioni critiche, debbano poter accedere a credenziali riservate. Come possiamo progettare una infrastruttura informatica che permetta ciò, rendendo l'accesso veloce e sicuro al tempo stesso? Potremmo usare PGP o GnuPG nella sua versione FOSS e delineare due processi: Processo di inizializzazione dell'infrastruttura di cifratura e firma Installazione sulle macchine degli utenti selezionati di una versione di PGP o GnuPG: Gpg4win su Windows o GnuPG su Linux & Windows o, se avete voglia di spendere soldi, PGP ; Per ogni utente, creazione di una coppia di chiavi PGP; la passphrase di accesso alla chiave privata sarà scelta dallo stesso utente e dovrà rispettare alcune ...

Questa storia ha un protagonista: Mario . Mario si reca in una grande struttura pubblica per fare degli esami sanitari sulla sua condizione di salute. Gli viene consegnato un foglio in cui si dice che il risultato delle analisi verrà consegnato unicamente a lui o, in alternativa, ad un suo delegato munito di documento di riconoscimento. " Bene! " pensa tra sé e sé (illuso...) Gli esami sono pronti e Mario, solerte, si reca nella grande struttura, gironzola un po' prima di trovare la fatidica stanza e bussa alla porta: Mario: "E' permesso? dovrei ritirare i risultati delle mie analisi per XXXXXXX" Infermiera: "Come si chiama?" Mario: "Mario Esposito" L'infermiera: "Aspetti che cerco..." Mario (balbettando quasi incredulo) "ma...le devo dare il documento?" L'infermiera: "No no. Ecco a lei la busta con i risultati delle analisi" (busta rigorosamente aperta) Ma dico io, possibile che ancora succedano que...

Pochi anni dopo il PDP-8 e l'IBM System/360 , un articolo dell' Atlantic del 1967 prevedeva in modo sorprendente i problemi di privacy dei giorni nostri. L'articolo è impressionante. Se fosse stato pubblicato di questi tempi, potrebbe rappresentare una lucida analisi della situazione attuale, ma essendo stato pubblicato ben 40 anni fa ha veramente dell'incredibile. Di seguito qualche estratto (tradotto e con delle piccole note) dall'articolo in inglese: " I moderni computer sono più che sofisticate macchine ordinatrici o calcolatrici o delle piccole librerie; sono piuttosto la chiave di volta per nuovi media (n.d.r. Internet ) di comunicazione la cui capacità e implicazioni cominciano solo ora a manifestarsi. Nel prossimo futuro i computer saranno collegati insieme a televisioni, satelliti, laser e muoveranno quantità di informazioni enormi su lunghe distanze in un tempo irrisorio (n.d.r. fibra ottica )" " ...enormi banche dati con informazioni san...

Confermo anche l'ultima delle voci rimbalzate su Internet: le dichiarazioni si trovano su E-mule liberamente scaricabili. Ci sono anche in formato MDB per facilitarne la consultazione! Questa vicenda mi dà lo spunto per una riflessione. Sebbene il dato sia pubblico, la sua diffusione su Internet non permette solo la giusta visualizzazione da parte di tutti gli utenti, ma purtroppo anche la "manipolazione" e la diffusione incontrastata su qualsiasi mezzo, senza nessuna garanzia dell'integrità del dato stesso e quindi dell'informazione in esso contenuta. Cosa succederebbe se qualcuno modificasse un po' di redditi di personaggi più o meno famosi e li immettesse su E-mule? Non parlo dell'atto goliardico, ma di una manovra concertata e distribuita per orientare un po' di "indignazione" popolare. Del resto questo è quello che succede continuamente su Internet... Trovo giusto rendere pubblici questi dati, ma forse andava organizzato in modo leggerme...