CyberSecurity 1337

Se non fosse per l'autista sarebbe stata una strage :-) Learn how to hack at 5min.com

Proprio stamane stavo pensando al fatto che la connessione a GMail, che da sempre è possibile sia in HTTP che in HTTPS, fosse poco sicura. Questo perché non rendeva l'HTTPS obbligatorio come protocollo ed era quindi possibile con uno sniffer, e con un po' di distrazione dell'utente, intercettare le credenziali di accesso alla casella di posta elettronica. E quasi per caso leggo il post di Claudia , dove segnala che GMail ha reso da oggi la scelta di HTTPS permanente per ognuno di noi. Questa impostazione verrà ricordata per le future connessioni a prescindere dalla postazione utilizzata. Per abilitare l'impostazione basta andare nella sezione "Impostazioni - > Generali", dove in basso troverete l'opzione: Finalmente qualche cosa che aumenta notevolmente la sicurezza delle caselle di posta su GMail.

Il loro post mi sembra abbastanza chiaro: If you haven't already noticed by now, we've recently published two modules which exploit Kaminsky's DNS cache poisoning flaw. I'll get to those in a second, but first a word about disclosure.... Se volete sperimentare un po', non vi resta che provare!

In merito all'indagine di Fortify sulla sicurezza del software Open Source e dell'articolo di Alessandro Bottoni su PI vorrei fare qualche breve considerazione in merito: - l'analisi di sicurezza del codice prevede la disponibilità del codice sorgente, è quindi del tutto evidente che Fortify può farla solo sul software Open Source e non sul closed! Chiaramente non si può additare la ricerca come di parte solo per questo motivo. - nel report si parla di bug o flaw rilevanti per la sicurezza e non in generale di errori del codice. Bisognerebbe capire che cosa è uno SCA (Source Code Analysis) per la sicurezza del software e non fare considerazioni generiche sul fatto che ogni software contiene degli (e molti) errori: questa è vero a prescindere. Ma non significa che tutti gli errori daranno vita a vulnerabilità di sicurezza! - che il software open sia più sicuro perché, essendo open, può essere ispezionato ed eventualmente corretto è una "pia illusione": per mette...

La notizia era già circolata un po' di tempo fa. Ma adesso finalmente anche l'italica GMail si è decisa ad incorporare queste caratteristiche di tracciabilità sull'utilizzo del client GMail. Per chi non avesse seguito la vicenda: GMail ha introdotto ua nuova voce "dettagli", disponibile subito al di sotto della scritta verde che indica l'occupazione dello spazio per le mail: Cliccando su "dettagli" si accede ad una nuova schermata in cui è possibile monitorare quanti accessi sono stati effettuati, da dove ci si è connessi, ed è possibile sconnettere in modo istantaneo tutti i client collegati. Possiamo quindi capire se qualcuno sta utilizzando la nostra casella di posta elettronica anche in modo malizioso. Se anche qualche Banca si decidesse a farlo non sarebbe male ;-)

Vi segnalo questa sezione del sito della NSA con diverse linee guida di sicurezza informatica. Qualche documento interessante: VMware ESX Server 3 Configuration Guide Web Application Security Overview Disabling USB Storage Drives Guide to the Secure Configuration of Red Hat Enterprise Linux 5 Minimize the Effectiveness of SQL Injection Attacks E molto altro.... Spero solo che non contengano qualche malware ;-)

Dunque....ci sono pochi commenti ai miei post. Qual'è il motivo? Attendo fiducioso :-)

Io lo regalerei alla moglie...sempre che non lo usi contro di voi :-)

Molti di voi già ne avranno sentito parlare. E' impressionante la velocità con cui questo tipo di attacco fisico può essere portato ai vostri portoncini blindati. Alle volte anche la presenza dell'allarme non aiuta più di tanto: oramai ne suonano molti e non ci fa più caso nessuno. Forse è il caso di applicare qualche "patch" a questa "vulnerabilità" :-) Ecco il video (molti sono gli operatori che forniscono soluzioni a questo problema, non solo quelli che hanno fatto il video...)

Sono vulnerabilità veramente preoccupanti. Ve le segnalo perché la VM Java è molto pervasiva sui sistemi e può rappresentare un punto di ingresso per eventuali attaccanti. Ecco un estratto del bollettino di sicurezza FrSIRT : Multiple vulnerabilities have been identified in Sun Java, which could be exploited by remote attackers to bypass security restrictions, disclose sensitive information, cause a denial of service or take complete control of an affected system. The first issue is caused by an unspecified error in the Java Management Extensions (JMX) management agent , which may allow a JMX client running on a remote host to perform unauthorized operations on a system running JMX with local monitoring enabled. The second weakness is caused by an unspecified error in the Java Runtime Environment, which may allow an untrusted applet that is loaded from a remote system to circumvent network access restrictions and establish socket connections to certain services running on the loc...

Una bufala? Non so...ma potrebbe essere interessante come metodo per non farsi riprendere dalle numerose telecamere in giro per il mondo. Certo se ci si mette di profilo funziona meno... Ecco il video: http://www.abrutis.com/video-lunettes+anti+paparazzi-11937.html

E'uscita la nuova versione di TrueCrypt 6.0. Miglioramenti nelle performance (sfruttando il multicore ) e qualche interessante caratteristica .

Cosa significa " falso senso di sicurezza "? Consiste nel percepire un livello di sicurezza più elevato rispetto a quello che effettivamente abbiamo. Questo grazie a fattori che ci inducono in questa falsa percezione. Un esempio è l'utilizzo della automobile. Il fatto di viaggiare a 20 cm. da terra e poter fermare in qualsiasi momento il veicolo e scendere, ci fa percepire una sicurezza maggiore nell'utilizzare questo mezzo rispetto al fatto di viaggiare in aereo. Ma la sicurezza di un viaggio in aereo è più elevata rispetto alla sicurezza di un viaggio in macchina. Il fatto che l'aero sia a migliaia di metri sopra il livello del mare aumenta ancora di più questo falso senso di "insicurezza" dell'aereo . Inoltre percepire un livello di sicurezza più elevato nella guida di un autoveicolo ci porta magari a compiere delle azioni poco prudenti mentre guidiamo. E questo vale anche se siamo dei semplici passeggeri e non possiamo che subire i fattori estern...

Non voglio rubare del lavoro al caro Paolo Attivissimo, ma chi di voi ha seguito la vicenda nei giorni scorsi, sa di per certo che è stato sollevato un gran polverone per un problema nel processo di firma digitale molto noto. Il prof. Buccafurri e il suo team di ricerca hanno presentato un articolo ad una conferenza IEEE su un (presunto) nuovo attacco alla firma digitale . L'articolo è stato accettato e questo è indice di sicuro interesse da parte della comunità scientifica nonché di validità dell'articolo stesso. In sostanza il gruppo di ricerca ha dimostrato che creando un file "polimorfo", nel caso specifico un file BMP con appeso un file HTML, e firmando tale file mediante una busta crittografica p7m, il contenuto del file visualizzato prima e dopo la firma potrebbe non coincidere. Tenete a mente il termine " visualizzato " :-) I passi dell'attacco sono i seguenti. Fase di apposizione della firma : apro un file BMP che mi è stato inviato e non mi ac...

Visto che facciamo parte della community dei blogger, faccio un brutale blogpost - forwarding : Allarme rosso per Wordpress Per chi avesse Wordpress come piattaforma di blogging , forse varrebbe la pena di indagare in merito.