CyberSecurity 1337

Il Report 2008 di Verizon sulla fuga di dati mette in luce che gli attacchi dall'esterno sono in percentuale molto maggiori di quelli effettuati dall'interno di una struttura: 75% contro 18% (e il 39% di attacchi effettuati da business partner). Lo studio sembra contraddire il comune sentire che afferma che " la maggior parte degli attacchi proviene dall'interno ". In realtà, come Bruce afferma, è naturale che vi sia una quantità maggiore di attacchi dall'esterno per il fatto che vi sono molti più attacker potenziali all'esterno che all'interno. Ma è pur vero, afferma sempre lo stesso Bruce, che gli attacchi dall'interno sono molto più pericolosi. Conoscono la struttura e invece di un approccio black box, possono utilizzare un approccio Gray-box. L'andante dovrà quindi essere modificato in: " gli attacchi dall'esterno sono più numerosi di quelli dall'interno, ma questi ultimi sono sicuramente più pericolosi dei primi ". Ecco...

Segnalo questa vulnerabilità sembra molto pericolosa . Certamente il parco di installato di Acrobat Reader eleva il rischio. La descrizione nel bollettino di sicurezza non è molto esplicativa, ma da quello che capisco l'apertura di alcuni PDF malformati provocherebbe un buffer-overflow con l'esecuzione di codice malizioso. Strano che Adobe parli di "possibilità di prendere il controllo del sistema". Questo significa che in qualche modo il buffer-overflow è fatto su una componente che gira con privilegi elevati. Ecco il dettaglio del bollettino: A critical vulnerability has been identified in Adobe Reader and Acrobat 8.1.2. This vulnerability would cause the application to crash and could potentially allow an attacker to take control of the affected system. Adobe recommends users of Acrobat 8 and Adobe Reader install the 8.1.2 Security Update 1 patch. Per installare il Security Update aprite il Reader->Help->Check for Updates.

Beh ogni tanto bisogna anche riderci su! "Silenzio. Vi uccido!"

Tenete a mente queste tre classificazioni degli errori di codifica. Quella che preferisco: 7 Kingdom (in order of importance) Input Validation and Representation API Abuse Security Features Time and State  Errors Code Quality Encapsulation Environment Quella a cui guardo con interesse ma che mi lascia perplesso: OWASP Top 10 2007 A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access Quella che rende più l'idea: 19 Deadly Sins Cross Site Scripting (XSS) problem SQL Injection Command Injection Format string problem Buffer overrun Integer Overflow problem Trusting Network Name resolution Failing to protect network traffic Failing to store and protect data securely Failing to use ...

Finalmente si sono decisi a sostituire le vecchie carte di credito: Visa presenta la carta di credito col display Cambiare lo strumento non basterà e cambiare il processo non sarà cosa facile, soprattutto per conservare la compatibilità con le "vecchie" carte di credito. Comunque da qualche parte bisognerà pur cominciare !

Posto con piacere il riferimento ad un articolo veramente interessante di Fabrizio Sinopoli dal titolo " Un video su come sfruttare il Google Hacking ". Sul post di Fabrizio non solo vengono elencate alcune chiavi di ricerca classiche per hackerare ma anche un video preso da Youtube che mostra l'applicazione di tali tecniche. Qualche esempio (sempre dal blog di Fabrizio): Trovare videocamere di sicurezza, tramite la ricerca : “inurl “videoframe?mode=motion” oppure “intile “Live View / - AXIS”; Siti un-spidered, tramite la ricerca : “robots.txt” “disallow:” “filetype:txt”; Ottenere informazioni (password) di un utente su FrontPage, tramite la ricerca: “inurl:_vti_pvt “service.pwd”; Accesso ai file sfruttando prodotti PHP per l’upload di fotografie, tramite la ricerca : “iurl:”phphotoalbum/upload”; Ottenere informazioni (password) di un utente VNC, tramite la ricerca : “vnc desktop” inurl:5800″; Accedere al pannello di configurazione di stampanti di rete, tramite la ricerca...

Quando uscirà in italia? http://www.secrecyfilm.com/trailer.html

Qualcuno di voi mi dirà: "ancora?" Sì sì ancora! Con mio grande stupore questo argomento non è ancora ben conosciuto e compreso nella comunità dei developer che, pur avendo capito che le password non si scrivono in chiaro ma conviene comunque hasharle con una funzione one-way, si dimenticano (o peggio non sanno) che nel caso di hash per autenticazioni devono aggiungere il cosiddetto SALT (sale). Il concetto di SALT è ben vecchio e consiste nell'aggiungere una stringa binaria casuale di lunghezza prefissata e sufficientemente lunga alla password in chiaro, per poi passare il risultato ad una funzione hash (MD5, SHA1, etc.). Questo componendo N volte la funzione di Hash. Poi, nel passo finale, aggiungere il SALT e il numero di iterazioni N in chiaro. Con una notazione un po' più formale: se H è la funzione di hash prescelta, N il numero di volte che viene applicata, PASSWORD(k) è la k-esima password e SALT(k) è una stringa binaria casuale di lunghezza prefissata (e p...

Video intervista a Gary McGraw sul software sicuro. Gary è l'autore di " Software Security: building security in " ed il suo libro (oltre ai numerosi articoli su S&P) rappresenta il seme da cui ha germinato l'enorme interesse e business che girano oggigiorno attorno all'argomento "software sicuro" (e sul quale dedico una serie di post su questo blog). Buon video!

Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...

Leggevo un articolo di Scott Aaronson su " Le Scienze " (la versione italiana di Scientific American ) e devo dire che ho trovato molto interessante la sua analisi sui "futuribili" computer quantistici e sui loro limiti. Scott spiega cosa è un computer quantistico, cosa non è, e quello che non sarà mai probabilmente in grado di fare. Su una cosa non vi è dubbio: la fattorizzazione in numeri primi (che non è un problema NP-completo ma solo NP, anzi per essere precisi ricade nella classe BPQ ) è un problema risolvibile dai computer quantistici in un tempo polinomiale, unicamente perché vi sono algoritmi anch'essi quantistici in grado di farlo. Un computer quantistico quindi non è ancora in grado di risolvere in tempo polinomiale alcun problema NP-completo e questo proprio perché non sono stati elaborati algoritmi efficienti per questo tipo di computer. La congettura " P diverso da NP " rimane quindi tale anche con i computer quantistici. Se però qualcun...