CyberSecurity 1337

[20.00] Alice: "Ma la porta blindata che hai in casa fa ridere..." Alice: "Ma questo impianto di allarme è del '700..." Alice: "E queste grate chi te le ha fatte? Mastro geppetto?" Alice: "Noooo, guarda che serratura..." ... [23.00] Bob : "Ma tu hai il Wifi a casa vero?" Alice: "Sì perché? Con WPA2 e chiave di cifratura di ben 15 caratteri!!! Ahahahahah. E poi qui in casa tua non vedo reti WiFi con il mio iPhone..." Bob : "Personalmente ho una chiave di cifratura di 58 caratteri generati in modo randomico ed il SSID del WiFi non è visibile. Sai, per garantirti dagli sniffer WiFi. Anche se nascondere il SSID è una misura veramente minimale di sicurezza. Prendi kismet o airmon e il SSID lo vedi comunque. Non c'è bisogno che lo trasmetta l'Access Point, ti basta intercettare il traffico dal client all'Access Point per risalire all'SSID e poi..." Alice: "Intercettare? Perché si può sniffare il tr...

Vi segnalo questa quick reference per la sicurezza architetturale. Molto utile per analizzare tutti gli aspetti di sicurezza durante la realizzazione o nel processo di review di sicurezza di un'architettura. La quick reference è rilasciata con licenza Creative Commons v3 "Attribution" license e qui potete trovare altre quick reference dello stesso autore ( Lenny Zeltser , istruttore al SANS institute).

Bob : "Adesso scannerizzo questo documento con la stampante dipartimentale...." Bob : "Ahhh la tecnologia! Mi trovo il mio documento scannerizzato direttamente nello share di rete dell'ufficio. Che comodità :-)" Bob : "Mumble mumble. Ma cosa sono questi altri documenti nello share? Risalgono a mesi fa..." Bob : " ARGHHHHHHHHHHHHHHHHHHH!!!!!!! " Bob : "Ma qui ci sono documenti personali e di lavoro scannerizzati e mai cancellati!" Bob : "Alice, possibile che non ci sia una politica per la cancellazione automatica dei file scannerizzati dopo X tempo (dove X è piccolo a piacere)?" Alice: "Ehhh?" Bob : "O mio Dio!" Bob : "Non vorrei fare il solito Security Man rompiscatole, ma credo che il Garante per la tutela dei dati personali morirebbe di infarto se sapesse una cosa del genere!" Alice: "Ehhh?" Bob : "Nulla...dormi non ti preoccupare :-("

Senza parole ... Tobias è un vero Guru nel lock picking e strenuo sostenitore del Full Disclosure. Sarà un bene? Corro a cambiare la serratura di casa :-) Guardate la fine del video! E un altro:

Stefan Esser presenta il suo " PHP Security Crash Course ". E' sicuramente utile rinfrescarsi la memoria attraverso le sue slide che come sempre sono dettagliate e utili. Specialmente su XSS e CSRF, bestie nere del Web! Part I - Introduction Part II - XSS Part III -CSRF Part IV - SQL Security Part V - Session Management Security Part VI + VII - PHP Code Inclusion and PHP Code Evaluation Qualche malalingua potrebbe anche suggerirvi che PHP e la sicurezza sono un ossimoro...e forse non sbaglierebbe ;-) Ma nel bene e nel male PHP rimane il linguaggio del Web e quindi è meglio premunirsi no?

Lo so, la notizia è già girata in rete, ma visto che ho i miei "afecionados" sento il dovere di girarla anche io. Dopo una lettera scritta da circa 37 autorevoli ricercatori della Information Security (tra cui Bruce Schneier), Google è stata sollecitata ad aumentare il livello di sicurezza delle proprie Web App . Come? I ricercatori suggeriscono di rendere di default l'HTTPS su Google Docs, Calendar e GMail. (permalink dell'immagine: http://www.schneierfacts.com/fact/148 ) GMail attualmente è l'unica applicazione che permette di impostare l'HTTPS ( guarda il mio vecchio post ) come protocollo predefinito per qualsiasi connessione l'utente faccia. Ma non è di default! Per rispondere a questa giusta rivendicazione, Google sta pensando di rendere persistente e di default l'HTTPS per Gmail e sta valutando la possibilità di introdurre meccanismi simili anche in Google Docs e Calendar. We're planning a trial in which we'll move small samples of dif...

Bob : "Stavo pensando di sfruttare l'autenticazione integrata di Windows e fare in modo che le credenziali di login vengano trustate dalla parte server. Potremmo poi far parlare i diversi server e trustare anche rispetto a realm diversi..." Alice's friend: "Ma scusa, non basta mandare il nome utente via WS?" Bob : "Quella è identificazione, non autenticazione. Chiunque può mandare quel nome :-(" Alice's friend: "Sì, vero." Alice's friend: "Allora richiedi le credenziali utente nel fat client, le metti in una cache locale e poi le spari sul WS al server quando ti serve." Bob : "Sì, mi pare veramente una bella idea! Perché mai utilizzare i layer sottostanti del SO, quando possiamo fare tutto a livello applicativo e rischiare così che qualcuno trojanizzi l'applicazione fregandosi tutte le credenziali." Alice's friend: "Sì, vabbé ma questo vale anche per un Web Browser!" Bob : "Effettivamente...

Giro anche io il link e degli estratti dall'utile vademecum sui Social Network (Facebook & co.) del Garante per la tutela dei dati personali: I social network sono strumenti che danno l’impressione di uno spazio personale , o di piccola comunità. Si tratta però di un falso senso di intimità che può spingere gli utenti a esporre troppo la propria vita privata, a rivelare informazioni strettamente personali, provocando “effetti collaterali”, anche a distanza di anni, che non devono essere sottovalutati. Quando inserisci i tuoi dati personali su un sito di social network, ne perdi il controllo . I dati possono essere registrati da tutti i tuoi contatti e dai componenti dei gruppi cui hai aderito, rielaborati, diffusi, anche a distanza di anni. A volte, accettando di entrare in un social network, concedi all’impresa che gestisce il servizio la licenza di usare senza limiti di tempo il materiale che inserisci on-line… le tue foto, le tue chat, i tuoi scritti, i tuoi pensieri. La ...

Dire che sono sorpreso nel leggere questo post è poco. Incredibile, in Italia la fase di identificazione (e autenticazione) per le tornate elettorali è più solida che nella tanto osannata Germania. I gave the letter that contains the invitation to vote (Wahlbenachrichtigung) to the girl sitting behind the desk and she started looking me up in their book. After she found me I was allowed to vote. They did not check my id or my passport . Sarà perché siamo più furbi e gli eventuali brogli sono meno evidenti? Ehhh il Genio Italico :-)

Google monitorizza i siti Web indicizzati dal proprio motore di ricerca tramite le Google API SafeBrowsing . Hanno stilato anche una Top 10 dei siti più pericolosi (ovviamente non è disponibile la lista in formato testuale!): Un esempio di come funzionano le API: C'è anche un'estensione che vi permette di integrare SafeBrowsing in Firefox. Al momento è integrata anche nella Google Toolbar.

Input validation and Representation in pillole (e pseudo codice): // Input Validation if (input.length>MAX_LENGTH) { System.out.println("KO"); exit(); } else { // Black-List or White-List approach myValidationRegEx = " RegEx regEx = new RegEx(myValidationRegEx); // true or false test if black or white if (RegEx.validate(input)==true) { System.out.println("KO"); exit(); } } ret = SubmitToBackEnd(input); // Input Representation on HTML GUI if (ret==false) System.out.println("String: "+input.HTMLEncode()); Ovviamente non basta fare copia e incolla. Il codice è solo un'indicazione di massima di come possa essere implementata un routine che esegua la validazione dell'input -- con filtering di tipo black-list o white-list -- e la sua corretta rappresentazione.