CyberSecurity 1337

Visto che siamo in dirittura di arrivo per questo 2009, qualche previsione "pessimistica" da parte di Websense non fa certo male: I nuovi pericoli per la sicurezza informatica sembrano, sempre secondo Websense, essere i seguenti: Smartphone, nuovi target per gli hacker : smartphone come iPhone e Android saranno sembre più appetibili per gli hacker perché sempre più spesso veicolano transazioni finanziarie e bancarie; Falsi software antivirus : sempre più comuni saranno i falsi software di sicurezza che per il 2010 potrebbero essere venduti con pubblicità ingannevoli, anche su testate di tutto rispetto; veri e propri cavalli di troia nei computer degli ignari utenti che li avranno scaricati per proteggersi; Social Network ancora un obiettivo primario : Facebook, Twitter e tutte le piattaforme di Social Networking saranno sempre più attaccate per furto di identità, injection di malware e SPAM; Botnet sempre più aggressive : botnet sempre più aggressive e competitive con botnet ...

Mi perdonerà il gentil sesso, ma questi auguri sono troppo sex...carini! :-) Tanti Auguri di un Buon Natale e Felice Anno Nuovo....e naturalmente Sicuro!

Riprendo il post di Joel per affermare, controcorrente e contro me stesso, che oramai è tempo di smetterla con questa cantilena: backup dei server, backup dei dati, backup di questo o di quello. Sebbene sia vero che fare il backup di "qualsiasi cosa" è importantissimo, lo è altrettanto concentrarsi sull'attività speculare: il " restore ". Joel fa alcuni esempi che trovo estremamente corretti. Esempi di backup a cui però il classico restore dei dati non riuscirà a ripristinare le condizioni iniziali: - avete fatto il backup dei vostri dati ma alcuni di questi sono cifrati con una chiave che era nell'unico sistema non backuppato (questa sembra un'applicazione della legge di Murphy ); - il backup dei vostri video è stato eseguito con successo; peccato che l'avete fatto su un disco con sistema FAT che in modo silente vi ha troncato la dimensione dei file a 2 Gbyte! - il vostro server è al sicuro perché avete salvato tutte le informazioni importanti....o...

Sembra impossibile, ma pare che i ribelli in Iraq riescano con un software a sniffare le immagini che i Predator inviano al satellite. Ovviamente il programma è RUSSO. Vi chiederete come fanno a sniffare del traffico cifrato...ma pare che la risposta sia molto semplice: il traffico è in chiaro . Ammesso che sia vero, se gli americani sperano di vincere così allora stanno freschi. Ma gli interessa veramente vincere? Poi finiranno di girare tutti i soldi che girano ora. Oppure, come qualcuno ipotizzava, è una sottile strategia per depistare i loro movimenti. Quanto sono furbi! --------------------- AGGIORNAMENTO ----------------------------- Bruce Schneier analizza la notizia e offre un punto di vista condivisibile sulla questione: l'encryption in questi casi non è il problema, bensì lo è la gestione delle chiavi, e in teatri di guerra il rischio di non poter accedere legittimamente a queste informazioni potrebbe superare il rischio che questi video vengano utilizzati dal nemico. E...

Il caro amico Abell ha condotto un' analisi di sicurezza estremamente interessante sui Gravatar . Cosa sono i Gravatar? Semplice: degli avatar sempre disponibili ed associati alla propria e-mail. Volete vedere nei vostri forum sempre la solita immagine? Sempre la solita faccia? Ecco, allora quello che desiderate è avere sempre e solo un avatar associato al vostro nick. Gravatar fa tutto questo, e lo fa in un modo estremamente conveniente per loro e per voi...ma forse non così tanto per la vostra privacy . Privacy nel senso che qualche malintenzionato potrebbe sfruttare il meccanismo di associazione dei Gravatar per trovare la vostra e-mail, partendo dal vostro nick (assolutamente di fantasia) e l'MD5 in chiaro nella URL, sempre la stessa, del vostro Gravatar. Una semplice enumerazione ed una verifica con l'MD5 ed il gioco è fatto. Per i dettagli leggetevi l'articolo di Abell.

Come saprete già Metasploit è stato acquisito da Rapid7 . La notizia è passata anche per me un po' in sordina e devo dire che in un primo momento non gli avevo dato il giusto peso. Poi, complice qualche amico blogger, ho riletto la notizia e ho pensato a Nessus: gran bel prodotto, opensource, che poi magicamente è diventato a pagamento. Metasploit è un prodotto troppo appetibile ed estremamente conosciuto nella community di sicurezza, ed era logico che qualcuno prima o poi ci avrebbe messo le mani sopra. Del resto il modello di business dell'open source contempla anche le acquisizioni dei progetti da grandi società che poi differenziano l'offerta di solito tra versioni "enterprise" (con supporto) e quelle "community" (senza supporto e senza set di test). Questo nel migliore dei casi. Nessus docet. Speriamo solo che Rapid7, oltre a sviluppare la linea a pagamento del prodotto, mantenga anche quella opensource (o community che dir si voglia). Insomma speri...

Stanno decisamente raggiungendo la perfezione in queste mail di phishing che utilizzano Poste.it come veicolo di Social Engineering. Questa la mail che ho ricevuto questa mattina: Sintassi e grammatica praticamente perfette. Certo quel dominio ".ru" svela il mistero, ma alla fine non si può volere tutto o no? Ricordo per l'ennesima volta di diffidare di qualsiasi mail che richieda l'autenticazione tramite l'inserimento delle proprie credenziali in qualsiasi sito bancario o di social network (tipo Facebook) che sia. Con questa qualità delle mail a dover fare attenzione sono anche le persone che, pur avendo una discreta cultura, non sono così avvezze alla sicurezza informatica. Il livello dello scontro si è alzato, e si vede!

Dopo le segnalazioni arrivate da più parti, sembra proprio che la notizia di Patch Microsoft che modificano le ACL dei sistemi introducendo instabilità negli stessi, sia una sonora Bufala . La segnalazione fatta da una società privata infatti, è stata smentita dalla stessa società che pare aver ammesso candidamente che il problema dello "schermo nero" sia dovuto piuttosto a comunissimi (purtroppo per Windows) malware. E' la stessa società autrice a darne segnalazione sul proprio blog! Dubito sempre di segnalazioni così devastanti fatte da società che possono avere un secondo fine (ma anche il primo) pubblicitario. Quindi: non disinstallate quelle Patch!

Questa poi! Io l'ho già ordinato, anche perché è gratis . Un meraviglioso poster formato A0 che riepiloga tutti gli aspetti di sicurezza da tenere a mente quando si sviluppa in PHP. Certo dovete avere una parete adeguata, se non a casa in ufficio, però volete mettere l'utilità?

Donare il sangue è un dovere ma pochi lo fanno. Pur non essendo un assiduo donatore, di recente mi sono recato presso la locale parrocchia che con l'AVIS ha organizzato la raccolta di sangue. Per chi non lo sapesse, prima di donare il sangue si deve compilare un modulo da consegnare ad un primo medico che lo analizzerà e che poi farà alcune domande al probabile donatore, decidendo se questi potrà o meno appunto donare. Viaggi all'estero, agopuntura, rapporti extraconiugali, cure per malattie recenti, operazioni chirurgiche, uso di sostanze stupefacenti, etc: sono tutti elementi che inducono il medico ad una valutazione ulteriore o eventualmente al rifiuto del donatore. Ma torniamo alla parrocchia. Una volta entrato nei locali adibiti alla donazione del sangue, ho trovato con soddisfazione una fila di 5 persone in attesa per la visita pre-donazione. La stanza che ospitava il medico e il paziente sottoposto a visita però presentava una dislocazione alquanto singolare: la porta di...

Una vulnerabilità di tipo 0-day è stata identificata in Microsoft Internet Explorer 6 e 7. La vulnerabilità, causata da un "dangling pointer" in Microsoft HTML Viewer (mshtml.dll) quando utilizza oggetti CSS/STYLE tramite il metodo "getElementsByTagName()" , può provocare il crash del browser oppure l'esecuzione di codice malizioso, semplicemente inducendo l'utente a visitare pagine Web maliziose. Anche Symantec conferma l'esistenza di tale 0-day e suggerisce come soluzione (in attesa della patch) di disabilitare JavaScript per le zone Internet e local Intranet, e ovviamente un buon antivirus aggiornato. Attendiamo che mamma Microsoft rilasci, con urgenza, la patch.

Una delle domande che spesso mi sento rivolgere è se sia necessaria la firma digitale nella PEC. Senza indugiare nella risposta. Dipende! La PEC è un meccanismo di recapito con ricevuta di ritorno elettronica. Sostanzialmente l'utente, dotato di indirizzo PEC, invia in modo sicuro e autenticato al suo gestore (chiamato gestore del mittente) di posta la mail da recapitare in PEC. Questi la prende in carico, apponendo la firma digitale del provider stesso con relativa marca temporale ed inviando una ricevuta di presa in consegna al mittente. Come vedete una firma digitale c'è, ma del provider che la prende in carico. A questo punto la busta firmata viene inviata al gestore del destinatario che verifica l'autentiticità della firma digitale del gestore del mittente (e altri controlli) e invia una ricevuta di presa in carico a quest'ultimo. Poi quando consegnerà la mail nella casella del destinatario invierà una ricevuta di consegna al mittente. Ovviamente ogni passaggio è t...

A tempo di record hanno hackerato il sito della Riforma del Ministro Renato Brunetta: www.riformabrunetta.it . Il sito dovrebbe servire a monitorare l'efficienza della PA ed è stato presentato oggi stesso. Questo l'errore che campeggia a tutta pagina nel momento in cui scrivo questo post. E poi dice che nella PA non sono efficienti! Questa volta lo sono stato fin troppo...tempo 3 ore ed il sito era giù. Certo, da parte del Ministro forse un errore di comunicazione: avrebbe dovuto dichiarare "non sono degli hacker....sono solo le innumerevoli richieste. Segno che la gente sente in modo particolare il problema" . Se vi fate un giretto sul WhoIs del NIC.IT potete anche capire la politica con cui il Ministero "di Brunetta" registra i domini. Visto che comunque un Ministero è una Istituzione, si spera che questi domini "Ad personam" se li registri Brunetta come cittadino e non come Ministro della Repubblica. Capisco la "professorite" ma un po...

Poco tempo fa stavo leggendo un articolo in cui si affermava che l'immissione della password oscurata con i soliti asterischi, è cosa oramai superata. Piuttosto che inserire la password due volte oscurata, si dà la possibilità all'utente, dietro attivazione di un opportuno flag, di visualizzare la password che sta scrivendo. A prima vista può sembrare un approccio poco sicuro, ma riflettendoci bene questa piccola deroga alla sicurezza aiuta enormemente l'inserimento di password estremamente lunghe! Dovendo inserire la stessa password "al buio" con i soliti asterischi, la probabilità di sbagliare è alta e ci si potrebbe scoraggiare, riducendone alla fine la lunghezza. Inoltre il solito trucco di copiare e incollare la stessa password due volte rischia di fare ulteriori danni, incollando magari una stringa errata. Con questa piccola deroga invece possiamo inserire le password o le chiavi segrete controllando a video la corretta immissione. E se sono particolarmente ...

Ricordate l'attacco del cavernicolo ? Ecco perché bisognerebbe considerare terroristi anche degli (innocui) scoiattoli. Decine infatti sono i problemi in centrali elettriche americane provocate da degli scoiattoli che intrufolandosi nelle centrali di trasformazione provocherebbero dei blackout. I poverini ovviamente non ne escono vivi. Se degli scoiattoli riescono a provocare questi danni, prima o poi a qualcuno verrà in mente di addestrarli. E non pensiate che la notizia sia surreale: negli States gli scoiattoli sono molto comuni e problemi del genere anche. Insomma il bug (nel senso di scarafaggio) sta al software come lo squirrel (scoiattolo) sta alla sicurezza fisica!

Il 5 Novembre 2009 si è tenuto nell'Auditorium di Via Rieti a Roma il primo OWASP Day per la PA organizzato appunto da OWASP e CONSIP . Devo dire che sono rimasto impressionato per il numero di partecipanti, a occhio e croce circa una sessantina di rappresentanti delle varie PA, locali o centrali e SpA collegate. Gli speaker, tutti di notevole spessore tecnico, hanno illustrato non solo cosa sia l'Application Security e la Software Security, ma anche come queste tematiche stiano diventando di interesse per la PA e come questa possa e debba gestirle. La PA infatti è uno dei principali motori di outsourcing, almeno nel Lazio, e spesso si trova a confrontarsi con prodotti software sviluppati da società private. E' quindi chiaro che anche una garanzia sulla sicurezza del software comincia a divenire estremamente importante, vista anche l'esposizione delle stesse PA sul Web con applicazioni Web sempre più pervasive e esposte all'esterno. Matteo Meucci, responsabile del ...

Posto qui un'interessante intervista di LinuxSexurity.it a Eddy Nigg, fondatore di StartSSL, Certification Authority "alternativa". Buona lettura :-) ((( LinuxSecurity.it ))) Linux Security ha avuto modo di scambiare qualche domanda con Eddy Nigg, fondatore di StartSSL, una CA “alternativa”, in tutti i sensi. Il modello di business adottato è abbastanza diverso da quello di altre CA più conosciute, con una politica di prezzi assolutamente controtendenza: una volta effettuata la verifica dell’identità è possibile richiedere quanti certificati si desidera, il pagamento è richiesto solo per quelle attività che richiedono un intervento umano (tipicamente solo quelle di identificazione o il rilascio di certificati EV). Linux Security : Ciao Eddy, prima di tutto grazie per averci dedicato un po’ del tuo tempo. Eddy Nigg: Grazie a te per avermi contattato, è un piacere poter spiegare cosa è StartSSL e cosa StartCOM significhi. LS: Allora, prima di tutto: sul vostro sito f...

Per essere un sito istituzionale non è male, no!

Il backup dei dati è un aspetto fondamentale nella vita di ogni utente. Quindi che lo facciate su un disco esterno o su altri supporti, o magari con Time-Machine non importa, l'importante è che lo facciate. Ma se volete evitare di perdervi nei meandri degli scheduler, dei parametri da mettere, oppure siete preoccupati perché il vostro appartamento o studio o azienda può essere oggetto di visite inaspettate, allora l'unica soluzione è un servizio di backup on-line. Mozy.com , società americana situata nello Utah, vi permette tramite un client Windows o Mac, di effettuare il backup dei vostri dati sui loro server remoti ed in modo cifrato e sicuro. La cifratura è a scelta con una chiave generata da Mozy, BlowFish a 448 bit, o con una vostra chiave, AES a 256 bit . La comunicazione tra il client e i server è su SSL. Il recupero dei dati è automatico nel caso del client installato, oppure, nel caso di perdita del computer, contattando Mozy che vi invierà un disco esterno con i vost...

Ok ragazzi adesso ci siamo veramente: italiano perfetto; passaggio indolore da tutti i filtri anti-spam, anti-phishing; sito clone perfetto; Si vede che è opera di italiani :-) Gentile Cliente, la ringraziamo per aver scelto Conto BancoPosta. A seguito della modalità di identificazione scelta da lei o dal suo cointestatario, le ricordiamo che è necessario che entrambi vi rechiate presso l'Ufficio Postale da voi prescelto per concludere la richiesta del Conto. Di seguito le riassumiamo quindi i prossimi passi: 1) Firmi subito il contratto precompilato (la copia è anche disponibile nella sezione "apri il conto" del sito www.poste.it); Il contratto deve essere firmato da entrambi gli intestatari. 2) Raccolga la seguente documentazione (di ogni eventuale intestatario): • fotocopia documento di identità (fronte retro); • fotocopia codice fiscale o tessera sanitaria. 3) Si rechi, con il suo cointestatario, presso il suo ufficio Postale per portare a termine la richiesta del...

Joanna stupisce ancora: l'attacco della "domestica" a partizioni cifrate TrueCrypt è a dir poco preoccupante e la risposta dei signori di Truecrypt, seppur formalmente corretta, non è che sia così soddisfacente. In breve la nostra domestica, dotata di chiavetta USB con a bordo il software malevolo, si introduce nella stanza del malcapitato e riavvia il computer con tale chiavetta. Allo start-up viene iniettato un codice nel boot loader della partizione cifrata che sniffa la password di accesso e la registra su disco (oppure si collega a qualche server remoto per inviare le credenziali). A questo punto, dopo aver lasciato passare un tempo ragionevole, il solito borseggiatore entrerà in azione et voilà, la cifratura non sarà più un problema. Non stiamo parlando di un attacco teorico che Joanna e i suoi hanno elaborato, ma di una vera e propria implementazione con tanto di immagine USB! Una considerazione è d'obbligo: spesso si tende a sottovalutare l'aspetto fisic...

Bob : "Ma hai visto cosa hanno fatto questi Hacker al sito delle Poste?" Tg 1: "...il sito delle Poste Italiane è stato oggetto di un attacco Hacker ..." Old -Alice: "Ma che cosa fanno questi ACARI ?" Bob : " Ahahahaha .... Hacker non ACARI, ma in effetti..."

Che Facebook sia un ambiente molto "sensibile" ai malware del Web 2.0 è cosa risaputa. Ma cosa succede se dopo aver collezionato centinaia di amicizie, relazioni, appuntamenti, qualche simpatica applicazione ce ne rende impossibile l'utilizzo? Come? Semplicemente scaricando sul computer CSS e JavaScript maliziosi per il tramite di una maledetta applicazione che abbiamo (incautamente) sottoscritto. Nel caso migliore il nostro antivirus se ne accorgerà e ne impedirà l'esecuzione, nel caso peggiore avrete il computer con qualche malware in più. Ma quindi il problema non c'è, perché il caro vecchio antivirus fa il suo dovere, no? SBAGLIATO! L'antivirus inserisce una barriera tra browser e computer ma nel caso più sfortunato sarete impossibilitati nel cancellare le applicazioni malevole e ripristinare il vostro account FB. Se siete smanettoni potete eseguire FB in una Virtual Machine, aprendo il browser e tentando di disabilitare le applicazioni, ma è molto macchin...

Segnalo a chi mi segue, questo bel blog sulla sicurezza delle informazioni con un particolare occhio al Mondo di Linus. www.linuxsecurity.it Se poi il webmaster è anche un amico, oltre ad essere un dovere "professionale" è anche un piacere :-)

Il limite della Computer Forensic? Possiamo determinare il "come", il "quando", il "dove" ma è veramente difficile determinare il "CHI" . Analizzando un supporto informatico, possiamo definire tutti gli aspetti del dato: date, permessi, correlazioni con altri dati, ma stabilire il o i soggetti fisici (non le utenze) che l'hanno generato/modificato è aspetto controverso. Se un computer viene utilizzato per la maggior parte del tempo da un soggetto, questo non implica necessariamente che un particolare dato sia stato generato da egli. Un esempio? un Worm che installato in modo silenzioso compia azioni illegali (ovviamente con i privilegi dell'utente o con una escalation). A quel punto chi è il vero attore all'interno del computer? Il worm o l'utente? E se fosse stato l'utente ad installare quel Worm per sviare le indagini? Il legame utenza/utente non è indissolubile e va appunto dimostrato che l'utilizzo di quel computer ...

No comment!

Dalle 19:00 di ieri sera (sabato) fino alle prime ore dell'alba di oggi, il sito di Poste Italiane è stato oggetto di un defacement ad opera di sconosciuti. La notizia sta rimbalzando ovunque: Facebook, Repubblica , Sole24Ore , etc. Le prime parole a caldo dei responsabili di Poste sono abbastanza sorprendenti: "E' solo un dafacement! E' abbastanza comune". Mi raccomando, tutti tranquilli eh! Tanto è solo un dafacement...Peccato che il sito di Poste Italiane non sia il sitarello sconosciuto, ma il sito di un'istituzione attenzionata dalle forze dell'ordine. Comunque lascio a voi le considerazioni del caso. Questa la homepage hackerata: Questo è invece il messaggio flottante che campeggiava nell'homepage: (immagini prese da www.macitynet.it) Dal messaggio si capisce che l'attacco è opera di italiani (o gente che sa molto bene l'italiano). Non so se traspare la gravità di un attacco del genere a un'istituzione che viene continuamente monitora...

Le politiche di controllo degli accessi sono da sempre molto affascinanti perché coniugano aspetti teorici, come modelli e quant'altro, con aspetti estremamente pratici. Se quindi vi sembra che le ACL e gli ACE siano dei meccanismi all'avanguardia, vi consiglio di leggere questo survey (presentato in un Workshop organizzato dal NIST e dalla NSA) molto interessante. Personalmente mi ero fermato a RBAC3 , ma devo dire che la scienza per fortuna va sempre avanti. Quindi smettetela di leggere la solita rivista che parla di Firewall, scaricatevi il Survey e soprattutto leggetelo.

Non che ci sia da star tranquilli, ma l'attacco di cui si parla in queste ore a Hotmail, Windows Live e GMail è un attacco di "ingegneria sociale" attraverso mail di Phishing . Quindi non è imputabile a vulnerabilità di sistemi o applicazioni, ma piuttosto e purtroppo è imputabile al solito anello debole della catena: l'utente. Vi rimando al post di Feliciano con le sue considerazioni sempre utili. Per il resto non vi preoccupate più di tanto...a meno che non siate troppo sprovveduti da farvi ingannare da mail fasulle!

Alice: "E quindi questo è il nuovo MacBook Pro?" Bob : "Sì, guarda questo e...bla...bla..bla..." Alice: "Sì ma fammi vedere come si vede Facebook" Bob : "(ma che vedrà? tanto compare la pagina di log-on)" Alice: "Dai dai" Bob : "Si ma guarda il Trackpad multi touch, e...bla..bla...bla" Alice: "Voglio vedere Facebook!!!" Bob : "Uff..Asp che carico Safari, www.facebook.com...BOOOMMMMM" Alice: "Ma..ma...ma!!!!" Bob : "L'ignaro u-tonto ha lasciato la sessione loggata. Ora, il diavoletto sulla spalla mi dice di cambiargli la password o altre nefandezze, l'angioletto di fare il log-off" Alice: "?" Bob : "Angioletto vince su diavoletto 2-1" Bob : "Log-off" A proposito di de-autenticazione !

Realizzare un keylogger con gli Addon di Firefox non è poi così difficile! In questo video, sorprendentemente corto, ci viene mostrato appunto come programmare un Add-on di Firefox con poche righe di Javascript. Il keylogger, per chi non lo sapesse, intercetta tutti i tasti premuti all'interno delle pagine visualizzate dal browser e li invia ad un server remoto. Sul server un semplice script PHP riceve le stringhe e le memorizza in un file. Le estensioni di Firefox vanno sempre scaricate dal sito ufficiale , mai da altri siti! Qualcuno potrebbe infatti modificare un add-on molto conosciuto spacciandolo per un nuovo aggiornamento e inserire codice trojano per il keylogging. Insomma, come per le ActiveX, gli XPI possono essere dei cavalli di troia per la vostra macchina, quindi attenzione a ciò che fate :-)

Siamo così immersi nei concetti usuali della sicurezza che spesso ci dimentichiamo di considerare quelli collaterali ma ugualmente importanti. I meccanismi di identificazione, autenticazione, autorizzazione ci sono infatti arcinoti e ben sappiamo che servono per mantenere l'Integrità e la Confidenzialità delle nostre informazioni. Ma oltre ad accedere ad un sistema, dopo essersi correttamente qualificati, è altrettanto importante sconnettersi da esso non appena il nostro compito sia terminato. Ecco quindi il concetto di " de-autenticazione ". Per cui se vi collegate al vostro sito bancario on-line, dovreste eseguire il log-off non appena avrete terminato le vostre transazioni bancarie. Se invece siete su Windows (o su un qualsiasi altro SO), dovreste attivare quel maledetto ScreenSaver con richiesta password (quanti non lo fanno?); o fare il log-off quando vi alzate per prendere un caffé. Lasciare che un sistema consenta ad una sessione interattiva con le nostre credenzia...

Mi sono imbattuto casualmente in un CAPTCHA alquanto singolare di un sito di forum molto conosciuto. Queste sono le domande poste dal sistema di sicurezza a cui l'eventuale "umano" dovrà dare una risposta: La palla da calcio è SFERICA o CUBICA? Di che colore è il cavallo BIANCO di Garibaldi? Sei MASCHIO o FEMMINA? Salta subito all'occhio che le possibili risposte sono in UpperCase e quindi non è affatto difficile per un sistema automatico isolarle nella domanda. Se ce ne sono due vorrà dire che avrà la probabilità del 50% di "azzeccare" quella giusta e così via. Il secondo punto è che le domande poste sono scelte a rotazione tra un massimo di 5. Basta quindi enumerarle, con le relative risposte corrette, ed inserirle in una tabella hash che metta in corrispondenza domanda e risposta. Per le eventuali coppie non enumerate si va invece con la ricerca delle parole tutte in maiuscolo e con dei tentativi. Ma la ciliegina sulla torta è l'ultima domanda: ...

Alice: "hai sentito di quel problema con le schede Nvidia GeForce 8400, 8600, etc.? I chipset sono costruiti con saldature di scarsa qualità e con il tempo e il surriscaldamento portano a malfunzionamenti della scheda grafica" Bob : "SOB! Purtroppo sì! Mi è successo proprio ieri sera. Ho acceso il portatile e dopo un po' BOOOM! La scheda grafica era partita" Alice: "e per i dati?" Bob : "Naaaa, su quelli non ho timore: il disco rigido interno non è stato inficiato e poi ho due backup fisici su dischi esterni e uno on-line con Mozy!" Alice: "Eh eh, con i dati sei a posto, ma il portatile ora è fuori uso (tié)" Bob : "Per fortuna che ho sempre il vecchio "muletto" :-) ho già fatto ripartire il restore dal servizio di backup on-line..." Alice: "Tu non sei normale!" Bob : "Mai detto!"

Joanna è strabiliante! il suo team chiamato " Invisible Things ", dopo aver esordito con degli hack sugli Hypervisor dei processi, continua ad approfondire le tecniche di attacco a bassissimo livello: la CPU. Vi segnalo quindi le slide che hanno presentato ad una conferenza di security interna alla Intel e he Joanna ha cortesemente reso pubbliche . Mi raccomando, le slide vanno viste a partire dalla 09.00 di mattina, dopo un bel caffé e una sostanziosa colazione.

Questa non la sapevo! Provocare un DoS di un sistema iniettando un payload che mette in crisi il parser delle espressioni regolari . Le espressioni regolari sono delle particolari sintassi che permettono di rappresentare dei "linguaggi" che rispettano una particolare grammatica (detta appunto grammatica regolare). L'appartenenza di un linguaggio ad una grammatica regolare viene determinata attraverso un automa a stati finiti (NFA e DFA). In particolari casi, ossia con particolari stringhe da processare, il numero possibile di percorsi nell'automa cresce esponenzialmente e questo può portare ad un DoS del sistema. Quindi una tecnica di injection che non punta ad un buffer overflow o ad una SQL Injection, ma che forza il processore di espressioni regolari ad intraprendere delle politiche di parsing troppo onerose. E questo succede perché i parser sono progettati senza la sicurezza in mente. Siamo alle solite insomma! Qualche esempio: –Person Name •Regex: ^[a-zA-Z]+((...

Intervento un po' lunghetto, ma vista l'autorevolezza dello speaker, vale la pena di seguirlo fino in fondo. Le considerazioni fatte da Bruce sono illuminanti e tracciano il futuro (se non già il presente) della Sicurezza Informatica come IT business. Dunque in soldoni quello che ci viene detto è sostanzialmente: "l'abitudine di comprare sicurezza informatica da aggiungere a questo o a quel prodotto sta finendo. Da ora in poi pretenderemo dei prodotti gradevoli, funzionanti e sicuri." L'analogia automobilistica paga sempre, per cui pensiamo ad un sistema software come ad una automobile. Comprare un'automobile e poi andare da un meccanico con la fatidica domanda "Quanto spenderei per renderla sicura?" sembrerebbe alquanto strano o no? Il sistema informatico quindi verrà venduto con tutti i suoi accessori, funzionalità e garanzie di funzionamento e sicurezza. Chi vi garantirà sarà il produttore che si assumerà l'onere di garantire ciò che affer...

Alice: "Abbiamo sotto mano un computer con un Virus, probabilmente Conficker" Bob : "Bene e che cosa pensate di fare?" Alice: "Pensavamo di connettere in rete il PC per aggiornare l'antivirus e poi fare una bella pulizia e..." Bob : "IN RETE!" Alice: "Sì perché?" Bob : "O niente, solo un piccolo particolare: questi Virus si diffondono via rete, quindi nel momento stesso in cui il PC sarà connesso, il tuo caro Virus si diffonderà su tutti i computer della rete aziendale e l'unico argine saranno i firewall" Alice: "Ah!" Bob : "Eh!"

I video in questione sono abbastanza introduttivi ma per chi di voi non è pratico di kernel space, user space, ring dei processori e quant'altro, è consigliata la visione: Se inoltre riuscite a capire il meccanismo di invocazione delle System Call (anche dette in Windows "Native API") attraverso la NTDDL.DLL, la funzione "SysEnter" con la SSDT e la "KiSystemService()", vuol dire che probabilmente non avevate bisogno di guardare il video e che avete perso solo del tempo ;-) Per approfondire l'argomento vi consiglio l'ottimo libro: " Subverting the Windows kernel ". Attenzione però qui è puro hacking a basso livello e il C non deve essere assolutamente un problema per voi: