CyberSecurity 1337

Dal blog dei Security Engineer Microsoft si legge che è stato deciso di disabilitare l'Autorun (non l'autoplay che è cosa diversa) per le chiavi USB in Windows 7. Seguiranno le patch anche per VISTA e Windows XP.  AutoPlay will no longer support the AutoRun functionality for non-optical removable media. In other words, AutoPlay will still work for CD/DVDs but it will no longer work for USB drives. For example, if an infected USB drive is inserted on a machine then the AutoRun task will not be displayed. This will block the increasing social engineer threat highlighted in the SIR. The dialogs below highlight the difference that users will see after this change. Before the change, the malware is leveraging AutoRun (box in red) to conf use the user. After the change, AutoRun will no longer work, so the AutoPlay options are safe. Con questa limitazione malware come Conficker avranno un vettore d'attacco in meno.

A parte i soliti allarmismi sulle presunte pandemie che servono solo a far vendere più farmaci, se volete tenere d'occhio i casi di febbre suina nel mondo c'è questa interessante mappa su Google Maps . Mi raccomando pronti con le mascherine eh!

L' ultima versione di Nmap permette di rilevare host infettati da Conficker. Mi sembra un'ottima notizia! nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [target networks]  nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [target networks]  Io una passata nella vostra LAN la farei. Giusto per levarmi il dubbio :-)

Report sulla fuga di dati: Il report è estremamente leggibile perché è pieno di diagrammi, comprensibili anche a CEO e dirigenti che mal digeriscono la lettura :-) Interessante questa tabellina che racchiude l'essenza dell'analisi del rischio: Come si può vedere la percentuale maggiore di fuge di dati è a causa di sorgenti esterne, ma con un impatto basso. Viceversa le sorgenti interne hanno una percentuale minore ma un impatto decisamente più elevato.  La somma delle percentuali è maggiore di uno perché i Partner possono essere interni o esterni.

Alice: "Ehi Bob ma quanto è lunga la chiave di cifratura della tua rete WiFi?" Bob: " 63 caratteri generati tramite apposito software di generazione casuale " Alice: "Ma dai? 63 caratteri? ma è assurdo? Che senso ha? Basta una chiave lunga la metà o anche meno?" Bob: "Probabilmente sì, ma visto e considerato che a me non costa nulla, e che non devo ricordarla a memoria, preferisco che sia parecchio più lunga in modo da star tranquillo per un bel po' di tempo" Alice: "Ma dai, chi vuoi che provi ad entrare nella tua rete WiFi! Nemmeno fossi la Banca d'Italia e poi devi trovare l'hacker davvero esperto." Bob: "Sicuramente non sono una banca, ma se lasci una cassaforte in mezzo alla strada qualcuno prima o poi che tenta di scassinarla lo trovi, e allora è meglio che sia una bella cassaforte!" Bob: "E poi non credere che ci vogliano i reparti speciali della NSA per craccare chiavi di 13 caratteri in un rete WiFi co...

Ricordate il malware presente nelle copie di iWorks  per Mac? Bene (si fa per dire). Pare che Symantec abbia messo in relazione tale malware con quella che sembra essere la prima botnet su Mac . E sembra che la botnet abbia già cominciato a lavorare! Ma come mi ha detto qualcuno: almeno questa botnet sarà più user-friendly :-)

Venerdì 24 Aprile 2009 dalle ore 9:30 si terrà all'Università "La Sapienza" di Roma (Via Salaria 113) il convegno intitolato: "Massima trasparenza sull'operato degli Amministratori di Sistema" Il convegno analizzerà le nuove implicazioni per gli amministratori di sistema dal punto di vista della privacy alla luce del nuovo provvedimento del Garante per la Privacy. Accesso gratuito previa prenotazione mediante e-mail. Questa l'agenda del convegno: 09.30 Registrazione partecipanti 10.00 Apertura lavori Luigi Vincenzo Mancini -  Professore Ordinario - Università di Roma "La Sapienza" 10.15 Il ruolo degli Amministratori di Sistema nella protezione dei dati personali Cosimo Comella  - Dirigente Dipartimento di Informatica e Tecnologie - Garante per la Protezione dei Dati Personali 10.45 Question Time 11.00 Coffee Break 11.30 Le responsabilità giuridiche dell'Amministratore di Sistema Giuseppe Corasaniti  - Magistrato - Docente di Informatica giu...

Sì è vero, l' MD5 non è affatto sicuro e non dovrebbe oramai essere più utilizzato. O no? Analizzando delle review di sicurezza di codice sorgente di portali Web 2.0, mi sono imbattuto in considerazioni che mi hanno fatto riflettere. Il reviewer aveva infatti classificato tutte le invocazioni  della funzione MD5 come pericolose . Ma siamo davvero sicuri che quelle invocazioni all'MD5 fossero sempre insicure? In alcune applicazioni sottoposte alla review, l'MD5 veniva infatti utilizzato come algoritmo per la generazione di ID univoci: sessioni, token, nomi di file temporanei . Quasi sempre l'input passato alla funzione hash era quindi una stringa casuale, creata da un generatore di numeri random e a partire da un certo seed.  Riepilogo brevemente qui di seguito le proprietà delle funzioni hash crittografiche: Unidirezionalità : dato H è arduo determinare M tale che H=hash(M). In poche parole si dice che la funzione H non è invertibile. Resistenza debole alle collisioni...

Temo proprio che arriveremo alla Z con questo Worm. Sembra che dietro al Worm ci sia un'organizzazione ben strutturata con una visione strategica ben precisa. Non ultima la notizia di richieste di denaro per la disattivazione del keylogger installato dalla variante D. Inoltre uno stillicidio di varianti che cambiano il loro comportamento disattivandosi in date ben precise. Per la variante E la sua disattivazione è prevista il 3 maggio. Come sempre il Post di Feliciano è da leggere assolutamente. Oramai la sua è una "saga" su Conficker :-)

Sul vostro PC probabilmente è installato da tempo l'updater di Google. Programma che controlla le versioni dei diversi programmi Google installati sulla macchina e li aggiorna (Chrome, Google Earth, etc). Ma ora Google finalmente rende Open Source il codice di questa applicazione (codice "Omaha") per rispondere alle sempre più pressanti domande su "cosa faccia" effettivamente tale codice.  In questo modo spera di mettere a tacere le voci sulla profilatura fatta dall'updater con la grande G. Ma è una goccia nel mare! :-)

Alice: "Devo implementare la stampa dei dati cifrati dalla mia applicazione super-sicura" Bob: "La stampa?" Alice: "Sì e mi sa che non sarà più tanto super-sicura a questo punto!" Bob: "Evidentemente sì" Come al solito "La sicurezza non è un prodotto ma un processo" :-(

Grande solidarietà agli amici dell'Abruzzo. Se potete date una mano. Ma non cercate di avviare iniziative personali, sarebbero solo d'intralcio. Contattate invece le diverse associazioni di  volontariato che sono in contatto con la protezione civile per il coordinamento sul campo. L'Italia è un grande paese in cui i cittadini hanno da sempre un grande cuore. Purtroppo però ha e ha avuto anche dei pessimi amministratori. Come fa a essere inagibile un Ospedale finito nel 2000? E la prefettura? Non dovrebbero essere dei punti nevralgici da proteggere in qualsiasi evenienza? Agli amici abruzzesi dico: coraggio siamo e saremo con voi. Agli amministratori dico: VERGOGNA!

Vi segnalo il sito del  "Conficker Working Group" . Oltre a un checker sulla infezione del PC, vi sono anche delle mappe con gli IP infettati da Conficker (tutte le varianti e dall'inizio). Del WG fanno parte i più grossi player del mercato IT interessati ovviamente a debellare il pericolo. Purtroppo questo worm utilizza come vettori di attacco tutti i punti deboli più comuni delle grandi realtà aziendali: weak password, pen drive USB non controllati, sharing di default abilitati su Windows, assenza di una politica di patching, assenza di un Antivirus aziendale.

Il mese dei bug Java e il sottotitolo: "un caffè veramente nero in Maggio", destano non poca preoccupazione tra i Java developer. Ma l'iniziativa sembra veramente promettente. Insomma il 1° Maggio sintonizzatevi su questa pagina per scoprire le nuove Disclosure per questo linguaggio estremamente diffuso. Full Disclosure ovviamente! Two years after the Month of PHP Bugs the same crew is now running the Month of Java Bugs. In days where more and more Security Researchers join the nomorefreebugs campaign this initiative is an effort to improve the security of Java for free. During May 2009 new security vulnerabilities in the JVM and the Java SDK will be disclosed on a day by day basis. Is this an attack, revenge, conspiracy or some kind of evil plot against Java? Not at all. We strongly believe that disclosing vulnerabilities in software is actually very helpful and not an attack at all. What kind of security bugs will be cover...