CyberSecurity 1337

Aspetto estremamente importante della sicurezza applicativa è la programmazione sicura. Programmare in modo sicuro significa utilizzare i costrutti del linguaggio di programmazione e le caratteristiche dell'ambiente in cui verrà eseguito, in modo sicuro. Proprio per aiutare lo sviluppatore nel compito di scrivere del codice sicuro, vi illustro una tassonomia degli errori di programmazione che, se la si vede come un insieme di errori da non commettere, rappresenta delle "best practice" molto utili. Per definire tale tassonomia vengono considerate due note classificazioni degli errori di programmazione: Seven Pernicious Kingdoms: primo livello della tassomonia che identifica i raggruppamenti degli errori di codifica 19 Deadly Sins: secondo livello della tassonomia che identifica gli errori di codifica Nella tassonomia c'è quindi un primo livello (più astratto) costituito dai "Seven Pernicious Kingdoms" ed un secondo livello (più di dettaglio) con i ...

Da tempo GMail ha inserito una interessante opzione che permette di impostare l'accesso sempre in HTTPS.  Un po' di tempo addietro avevo scritto un post su questo fatto . Le vecchie versioni di GMail mobile però avevano qualche problema a connettersi con questa impostazione attivata.  Ora con GMail mobile v. 2.0 invece è tutto ok.  Perfetto!

Ma non si potrebbero dotare i filtri antispam di un correttore ortografico per le mail in falso-italiano? Se il numero degli errori supera una certa soglia (diciamo due errori di ortografia per mail) ma rimane al di sotto di un massimo (che indica la mail in un'altra lingua diversa dall'italiano), allora l'antispam colpisce.  Funzionerà? Da: yyyopzora@halozatszolgaltatas.hu "Salutiamo Nostra ditta vorrebbe ofrirle un lavoro. Non serve andare in ufficio. 520 eur per 6 giorni. Ci bisognerebbe: 1. Dal 1 a 7,5 ore liberi al giorno. 2. Accesso dal internet. 3. Cellurare. Se questo lavoro e interessa scrive a noi al indirizzio: Monica.Leggieri@gmail.com Scrive via e mail suo nome, eta e citta. Tutte le istruzione sara spedito nella risposta. -- ArrivederLa."

Non so se ridere o preoccuparmi. Pensare però che nell'altra stanza vi sia un'antennona del genere e che qualcuno tenti di intercettare le mie password con quella sorta di armamentario mi fa più ridere che altro. E' come pensare di vedere qualcuno appeso fuori dalla finestra che tenta di leggere quello che sto scrivendo sulla tastiera con un grosso binocolo. Comunque il video è strepitoso : Compromising Electromagnetic Emanations of Keyboards Experiment 2/2 from Martin Vuagnoux on Vimeo . Immagino però che negli uffici di tutti i giorni sia più difficile intercettare le variazioni di campo elettromagnetico e ricondurle a questo o a quel dispositivo elettronico. Un consiglio? Affacciatevi sempre nella stanza del vicino! 

Post veramente ben fatto di Bruce Schneier sul Risk Management e sul perché spesso questa attività non venga condotta in modo opportuno. Solo qualche estratto: This means balancing the costs and benefits of any security decision -- buying and installing a new technology, implementing a new procedure or forgoing a common precaution. It means allocating a security budget to mitigate different risks by different amounts. It means buying insurance to transfer some risks to others. It's what businesses do, all the time, about everything. IT security has its own risk management decisions, based on the threats and the technologies. (...) You can't completely remove emotion from risk management decisions, but the best way to keep risk management focused on the data is to formalize the methodology. That's what companies that manage risk for a living -- insurance companies, financial trading firms and arbitrageurs -- try to do. They try to replace intuition with models, and hunches w...

Devo dire che questi spammer stanno davvero migliorando: Salve! Noi ci occupiamo della realizzazione di automobili di diverse compagnie,quali Alfa Romeo, Hummer, Lamborghini, Jaguar e così via.Noi cerchiamo nuovi partner e vogliamo proporvi una collaborazione con noi. Al giorno d’oggi noi abbiamo 14 posti disponibili. Se siete interessati ad una collaborazione, noi con piacere vi racconteremo tutto quello che sarà necessario fare. A seconda dell’orario di lavoro scelto voi riceverete dai 700 ai 1300 (euro) alla settimana. Tutto il lavoro consisterà nel dare consultazioni ai nostri clienti al telefono. Per prima cosa voi dovrete scrivere al nostro operatore e comunicare le informazioni al vostro riguardo. dovrete mandare alla nostra casella di posta: Vincenzo.Macchia@gmail.com i seguenti dati: 1 Il vostro nome e cognome. 2) il vostro anno di nascità e la città . 3. Desiderate lavorare tutto il giorno o mezzo giorno lavorativo? Vi ringraziamo per l’attenzione! -- Con rispetto. Il Dir...

Dopo il post di Daniele Frongia e il loro paper sugli Hash in PHP (che vi consiglio di leggere) mi è venuto in mente che un po' di tempo fa avevo buttato giù qualche riga di codice in PHP per implementare un meccanismo di memorizzazione e verifica di password utente con il meccanismo del salted hash . Questa è la classe in PHP che modella la logica (potete estenderla anche ad altri algoritmi oltre lo SHA1): /** * Classe per la manipolazioni degli hash di sicurezza * */ class Hasher  { private $text; private $nchar_salt; private $nchar_cycle; function __construct($text, $nchar_salt, $nchar_cycle) { $this->text = $text; $this->nchar_salt = $nchar_salt; $this->nchar_cycle = $nchar_cycle; } static private function get_salt($nchar_salt)  { $s = ""; for ($i=0;$i $s .= chr(rand(32,127)); return $s; } // Calcola lo Sha1 + salt per un certo numero di cicli public function secure_sha1($cycle = 1000)  { $salt = Hasher::get_salt($this->...

Stavo leggendo un post dell'amico Feliciano Intini e vedo un insolito commento al suo post, pieno di puntini di sospensione e frasi in un italiano sgrammaticato. Sicuramente non sarò il primo ma a questo punto provo a coniare un nuovo acronimo: SBAM lo SPAM per Blog. Ecco il commento Spammoso al post di Feliciano : io ho comprato vista premium spendendo ...questo normale sapete da quando ho avuto il notebook con vista e stato un inferno ...si è non si puo dire che cio non si sa che vista non sia proprio un sistema che ci si impazzisce ...no non arriviamo a li ma nel senso di chi sta alle prime armi diventa ossesso chiedere leggere siti in inglese ma non solo la tecnica di fare su pc software e via descritta in inglese è un po piu difficile aggiungiamo anche le varie difficolta che dovrebbero aver carico chi te lo da ma si fa subito se è di una marca si inizia software microsoft hardware dell altra marca qui non dipende da....quindi si rimane come.... e si deve anche lavorarci magar...

Vi segnalo delle slide molto interessanti di Stefan Esser , Guru della PHP Security. Stefan illustra le vulnerabilità meno conosciute di PHP. Per chi usa questo linguaggio forse è il caso di dargli un'occhiata. E non provate a dire che PHP non si deve usare perché è insicuro, perché dovreste buttar giù tutti i portali del Web 2.0 :-) Se invece volete una buona introduzione sulla PHP Security, vi segnalo questo ottimo libricino della O'Reilly: " Essential PHP Securit y".

Ma com'è che ogni 6 mesi (a esser buoni) esce una vulnerabilità TERRIBILE che dovrebbe far finire Internet e quindi il mondo? Ci risiamo, e stavolta sembra che tutte le implementazioni del TCP/IP siano vulnerabili a questo attacco DoS. E bisogna riavviare per forza il server....dicono. Ma se tutte le implementazioni dello stack TCP/IP sono vulnerabili, mi viene il dubbio che il protocollo stesso lo sia! Sembra che sia possibile, abbassando di volta in volta la velocità con cui si inviano pacchetti TCP ad un server, arrivare ad un tempo infinito di risposta da parte del server che a questo punto non rilascerebbe le risorse (la connessione a quanto pare viene chiusa ma le risorse kernel rimarrebbero allocate). Descrizione vaga? Per il momento sono solo "rumors" ma i due ricercatori, che ovviamente hanno tratto beneficio di pubblicità per la loro azienda e per i loro prodotti, promettono di descrivere più in dettaglio la vulnerabilità verso la metà di ottobre. Fantasia, rea...