CyberSecurity 1337

Quando si dice la privacy: http://apps.facebook.com/_findme_ Una semplice applicazione per Facebook che vi permette di ricercare qualsiasi persona e visualizzare i suoi album fotografici. Anche senza esserne amici. Se avete un account su Facebook non ci metterete molto per capire che funziona! Che Facebook sia un problema per la privacy è cosa nota e visto che le diverse vulnerabilità oramai sono scalate e arrivate alla produzione di una Facebook App, le soluzioni sono due: Facebook aumenti la sicurezza per la privatezza delle informazioni; Ognuno di voi fa un po' più di attenzione sulle foto che mette su FB Ho come l'impressione che la seconda indicazione sia più saggia ;-)

Le "Secret Question" non sono affatto sicure. Uno studio pubblicato in "Proceedings of the 2009 IEEE Symposium on Security and Privacy" ne analizza la sicurezza e l'affidabilità prendendo a campione i quattro maggiori provider di Web Mail: AOL, Google, Microsoft, and Yahoo! Insomma le "Secret Answer" spesso sono più deboli e più predicibili della password di autenticazione. Anche quando le domande non sono quelle preconfezionate. Del resto basta esservi amici su Facebook e fare un po' di Social Engineering ;-)

Se cercate un plug-in per fare un primo Vulnerability Assessment dei vostri siti, alla ricerca di Cross Site Scripting (XSS), allora questo plug-in di Firefox fa al caso vostro: XSS me ! Ovviamente nella vostra cassetta degli attrezzi non può mancare OWASP WebScarab , ma volete mettere la comodità di fare i primi test con pochi Click dal vostro Firefox? Attenzione però perché spesso questi tool di assessment automatico restituiscono molti falsi positivi ed è quindi sempre necessaria un'attività di raffinamento da parte vostra.

Alice: "Sai mi hanno chiesto di modificare quei dati con una bonifica massiva..." Bob: "Ma te lo hanno chiesto al telefono? Senza nemmeno una mail?" Alice: "Che importa, tanto loro lo sanno che mi hanno chiesto di fare questa modifica!" Bob: "Certo, e se qualche cosa va male? Possono sempre dire di non averti chiesto nulla." Alice: "Ma scusa: io gli sviluppo l'applicazione ergo devo poter modificare anche i dati in produzione; anche per fare delle bonifiche, quando serve. Se non lo faccio io chi lo fa?" Bob: "Ma tu non sei il gestore del dato, ma solo delle applicazioni che incidono su di esso ed in teoria dovresti lavorare SEMPRE su dati di test." Bob: "Almeno fatti mandare una mail va!" Alice: "..." Bob: "E ringraziami perché non ti ho detto nulla a riguardo della Privacy"

Finalmente la soluzione per le password scritte sul solito post-it! Cambiate tutte le penne in giro e sostituitele con queste made in KGB (questo è quello che dicono loro...) Once on paper, the ink appears normal for about 15 minutes. Then it begins to slowly deconstruct. After about an hour, it will have mostly disappeared, but will still be slightly visible. After about 24 to 48 hours it will have completely vanished! Even an inspection under ultraviolet light will come up with nothing. (Fade time and characteristics may vary depending on ambient environmental conditions.) Now you can write confidential or sensitive notes on documents and be assured that they will be gone later. Great for those occasions that you want to say something - temporarily . WARNING: Do not use on any legal document or financial instrument.

Vi segnalo questo sito della serie "QualchecosaTube": http://securitytube.net/ Ci sono dei video molto interessanti e divertenti. Il sito non è il massimo, ma l'autore ne sta sviluppando una nuova e migliore versione. Interessanti anche i video " Assembly Primer for Hackers System Organization ". Una ripassatina di Assembly non fa mai male :-) Se volete potete anche proporre dei video da pubblicare.

Grazie ad una segnalazione del buon Mario Fontana , segnalo anche io questo sito che offre numerosi video sulla sicurezza in rete nell'ambito della " Settimana della Sicurezza in rete 2009 ". I video sono soprattutto sui Social Network (Facebook, MySpace, etc.) che rappresentano oggi un vero problema per gli utenti, che spesso ne ignorano i risvolti di sicurezza e privacy. Utili consigli estremamente fruibili (i video sono in stile Camera Café ). Ecco un video di esempio di furto di identità (spiacevole per il malcapitato ladro). Ovviamente i video non sono per gli esperti che dovrebbero già conoscere molto bene queste problematiche, ma sono utilissimi per i vari parenti, amici, moglie, figli, etc. etc. :-)

Non ci posso credere! C'è ancora gente che si ostina ad implementare delle politiche di backup alquanto singolari. E' questo il caso del sito Avsim.com : il backup del server...veniva fatto sull'altro server on-line. Risultato? Gli hacker hanno praticamente azzerato entrambi i server  rendendo di fatto alquanto improbabile il restore! "Some have asked whether or not we had back ups. Yes, we dutifully backed up our servers every day. Unfortunately, we backed up the servers between our two servers. "The hacker took out both servers, destroying our ability to use one or the other back up to remedy the situation."  Ma un backup su un disco esterno?

Mi sembra che questa nuova ed autorevole assunzione da parte di Apple  continui ad erodere il mito del "Mac intrinsecamente sicuro" veicolato dai suoi fan e dalla stessa casa di Cupertino! "Former director of security architecture at One Laptop per Child (OLPC) Ivan Krstic has joined Apple to help thwart hacker attacks against the Mac operating system. Krstic, a well-respected innovator who designed the Bitfrost security specification for the OLPC initiative, joined Cupertino this week and will work on core OS security.  His hiring comes at a crucial time for a company that ties security to its marketing campaigns despite public knowledge that it’s rather trivial to launch exploits against the Mac." Che dire: "semper ad maiora".

E' uscita la nuova versione di TrueCrpyt 6.2 . Oltre alla correzione di alcuni bug sono state migliorate le prestazioni su drive SSD : dal 30% al 50%. The I/O pipeline now uses read-ahead buffering, which improves read performance especially on solid-state drives, typically by 30-50%. La prossima versione sarà compatibile con Windows 7.

L'idea è semplice: nascondere un volume cifrato all'interno di un'immagine o file multimediale, concatenandolo o inserendolo in esso .  Stiamo parlando quindi di una tecnica steganografica e crittografica allo stesso tempo. Vediamo quali sono i passi da fare in una breve e sommaria descrizione. Creare il volume cifrato : utilizziamo  TrueCrypt  e creiamo il più piccolo volume cifrato possibile: 275 KByte (ma solo con FAT). In questo modo le immagini avranno delle dimensioni ragionevoli e "rumori" in file MP3 o AVI appena percettibili. Nascondiamo il volume dentro al file multimediale : nel caso di immagini JPEG il volume andrà concatenato, nel caso di documenti in formato ODT (Open Document Format) inseriamo l'immagine JPEG "taroccata" nel documento (ricordate che questi formati sono sostanzialmente dei contenitori ZIP), nel caso di MP3 e AVI file il discorso è analogo. Distribuzione del file e gestione delle chiavi : distribuiamo il file liberament...

Vivisezionata la botnet Torpig . Interessante il documento che mette in luce tutte le tecniche implementate. Questi i numeri della botnet e dell'analisi condotta: 10 i giorni dell'analisi osservate circa 180.000 macchine zombie collazionati circa 70 Gbyte di dati trafugati dai trojan estratti circa 10.000 account bancari e numeri di carte di credito Qui potete trovare il PDF del lavoro svolto dai ricercatori della UC Santa Barbara. E' bello vedere che siamo arrivati secondi per il numero di Bot dopo gli USA!

Mai come in questi giorni il concetto di Disaster Recovery è tornato di attualità. Sono rimasto in effetti molto colpito da alcune interviste a delle persone, vittime del recente terremoto in Abruzzo, che annoveravano tra i loro beni anche i server/pc dell'azienda in cui lavoravano. Aziende pubbliche e private magari, dove gli stessi dipendenti si sono preoccupati di "salvare" il server smontato in fretta e furia dal rack! Il tutto per far ripartire velocemente l'azienda. Questo ci fa capire che le informazioni digitali al giorno d'oggi sono divenute un patrimonio da proteggere anche per i singoli che ne percepiscono a pieno l'importanza. Non solo quindi utenti distratti che si collegano a Facebook o Youtube, ma anche utenti coscienziosi che comprendono a pieno il valore delle informazioni digitali e le mettono in salvo anche in situazioni catastrofiche come un terremoto. Dopo il terremoto tutta l'Italia si è risvegliata, purtroppo, ancora più cosciente d...