CyberSecurity 1337

I siti " qualitapa.gov.it " e " rainews24.rai.it " sono stati hackerati, e le credenziali di accesso ad essi pubblicate su pastebin.com!  Scorrendo la lista di credenziali, salta all'occhio che per la maggior parte di esse le password associate sono, molto probabilmente, quelle assegnate dalla piattaforma. Ma per alcune utenze invece la password è stata cambiata dagli stessi utenti.  Ottimo, se non fosse che spesso gli utenti riutilizzano le stesse password per accessi ad altri siti (tipo la posta elettronica...). Ovviamente in questi casi a rischio non c'è solo l'accesso alla piattaforma hackerata ma anche i diversi servizi acceduti dall'utente. Con un po' di prove e conoscendo email e password si possono guadagnare accessi sempre crescenti. E se poi si riesce ad avere accesso alla casella di posta elettronica... Controllate quindi se siete nelle liste, o se ci sono persone che conoscete, ed avvisatele. E comunque anche se la password è quella d...

Ci voleva Babbo Natale per convincere quelli del Defcon 19 a rilasciare un bel podcast . Finalmente dico io! Almeno potremo farci gli affari loro e passare queste feste allenando la mente, oltre che lo stomaco. Lasciate il panettone e buttatevi quindi sul podcast.  Su iTunes è molto semplice aggiungere il podcast (https://www.defcon.org/podcast/defcon-19-video.rss) altrimenti usate quello che vi pare eh! Buon (passato) Natale

F-Secure segnala una pratica molto pericolosa: la pubblicazioni nei market di giochi che hanno un nome simile alla versione ufficiale e che invece sono dei malware . Un esempio per tutti è "Cut the Rope", che nella sua versione originale è a pagamento, mentre il malware ha come nome "Cut the Rope FREE" ed è appunto gratis. Stessa cosa per giochi come "Angry Birds Seasons FREE", etc. Credo che il problema sussista principalmente nel market Android (vista la politica più restrittiva di Apple) ma bisogna sempre stare attenti, perché anche alla Mela potrebbe sfuggire qualche app maliziosa.  Un suggerimento utile è ovviamente quello di controllare il nome degli autori della app sia nella versione a pagamento che in quella free. Se coincidono allora non ci sono problemi (ma attenti a nomi leggermente diversi eh!). Questa immagine è abbastanza esplicativa: Come vedete compare il FREE che invoglia l'ignaro utente a scaricare il gioco-malware.

Ci saranno un milione di video sul lockpicking , però è sempre sorprendente vedere come ci possono fregare! Per non dover sentir dire più "Accidenti non sapevo ci mettessero così poco". Quindi sorprendetevi! ( link )

"Cloud": credo non ci sia termine più abusato negli ultimi tempi. Ma poi cosa sarà mai questo benedetto Cloud? Non è altro che la possibilità di avere i nostri documenti, applicazioni, backup, immagini, foto, etc. sempre disponibili in Internet. Dove? Non lo saprete ed ecco perché il termine "cloud" ovvero "nuvola".  Iniziamo con lo sfatare qualche mito: non c'è bisogno di aderire ai servizi Cloud di Amazon per essere nel Cloud! Se utilizzate un qualsiasi servizio di Google (mail, picasa, docs) o il vostro iPhone o Android, siete di fatto già nel Cloud! Per non parlare di Facebook: cosa c'è di più importante delle vostre abitudini, contatti, messaggi personali, geolocalizzazione?  E bisogna ammettere che questo "Cloud" è davvero molto comodo. Alcuni esempi: il backup del vostro iPhone lo potete recuperare direttamente da iCloud nell'Apple Store, magari dopo un cambio del melafonino;  tenere il documento con le spese familiari su docs....

Gira da un po' la notizia e quindi è meglio rilanciarla che stare zitti. Pare che Duqu sia figlio di Stuxnet ( sembra Febbre da Cavallo ). Ma non ha le finalità distruttive del "padre". Del resto le nuove generazioni sono miti in tutto. Pare che il suo unico scopo sia quello di farsi gli affari nostri, probabilmente per un successivo e più distruttivo attacco. Per una descrizione sommaria il sito di F-Secure , altrimenti il PDF "monumentale" di Symantec (fatto molto bene). Da tenere d'occhio!

Dovete fare un capitolato d'appalto per la sicurezza fisica della vostra azienda o dell'ente in cui lavorate? Guardate prima questo video :-) C'è praticamente tutto, anche i soldi (una montagna) che Google ha. Altrimenti chiamate Batman e vedete se vi fa dei prezzi vantaggiosi.  Da notare il processo di distruzione dei dischi rigidi, il riconoscimento biometrico a più livelli e la costante presenza di "umani" (perché qualcuno pensa che i controlli di sicurezza fisica elminino il fattore umano....poveretto). Mi viene da ridere pensando a certe soluzioni nostrane con strane porte "bus-like", operatori distratti e riconoscimenti facciali alquanto discutibili...ma questa è un'altra storia!

Scaricate il DVD dell'ultimo Defcon con le slide degli interventi e qualche altra cosa:  https://www.defcon.org/index.html#dc19dvd Vederli su Internet avrà anche il suo fascino ma se ce li avete belli e pronti è meglio no? ;-)

Si può pensar bene o male di lui, dei suoi prodotti, della sua vita, delle sue scelte, ma resta il fatto che è stato un visionario che ha contribuito in modo decisivo al futuro tecnologico di tutti noi.  "Stay hungry. Stay foolish" Ciao Steve e grazie.

Capita di rado di assistere ad un evento così. Per chi come me ha la fissazione della sicurezza poi ha quasi del miracoloso.  Se un software o un sistema è sicuro di solito non ce ne accorgiamo. E se è insicuro ce ne accorgiamo solo quando il danno è fatto e non c'è più niente da fare! Partiamo dagli albori: confidenzialità, integrità e disponibilità. L'ho presa troppo alla larga? Forse. Però c'è un sottile file rosso. Seguiamolo. Sulla confidenzialità ce ne sarebbe da dire, ma una cosa è certa: non c'è aspetto più inusabile degli strumenti che mirano a mantenere la confidenzialità delle informazioni. Cifrari, chiavi, passphrase, hash e quant'altro sono lontani anni luce dall'uomo della strada. E se poi non ci ricordiamo la chiave? I dati sono persi? Insomma la confidenzialità è roba da esperti o poco ci manca. Integrità e Disponibilità invece sono più vicine all'utente comune di quanto ci si possa aspettare. Non trovate più quel file che avete salvato, o ...

Probabilmente alla fine di questo video esclamerete: "Accidenti, sono un hacker e non lo sapevo!" Alcune verità assolute nel video: Hacking è passione: quanti fanno lavori che odiano? Hacking è uscire dagli schemi: pensiero laterale , grande dote! Hacking è stimoli intellettuali: fondamentali per sopravvivere. Hacker sono anche Donne e Bambini: dopo wargames qualcuno si è convinto per i bambini ma per le donne... Gli Hacker sono cattivi? No, solo mal rappresentati dai Media

E' da un po' di tempo che non faccio segnalazioni del genere. Ci sono molti siti a cui sarete affezionati e che sono sicuramente più tempestivi del sottoscritto. Ma quando esce qualche cosa di clamoroso, lo spirito di servizio di questo blog esce fuori :-) - Cominciamo da PHP : la nuova versione 5.3.7 implementa la crypt() in modo singolare , perché alcune volte il risultato della cifratura è il solo SALT ! Incredibile vero? Evitate quindi di fare l'upgrade a tale versione fino a che non sia uscita una patch per questa grave vulnerabilità. " Description: If crypt() is executed with MD5 salts, the return value conists of the salt only. DES and BLOWFISH salts work as expected." - E proseguiamo con Apache web server : da quello che leggo la vulnerabilità era stata segnalata già dal 2007 ma fino ad oggi (o dovrei dire ieri) non esisteva un PoC  in giro. Adesso c'è: una specie di HTTP request della morte , con cui buttare giù un server web (apache) in poco tempo....

Bob : "...e quindi io alla fine per gestire le password utilizzo un "Password Wallet" " Alice: "Cosa?" Bob : "Password Wallet: applicazione che memorizza le password, opportunamente protetta mediante cifratura ed unica password di accesso." Alice: "Ma nooo, io le password me le ricordo a memoria!" Bob : "(tranquilla lei!)"

"dopo 20 anni di sforzi, abbiamo e con successo insegnato a tutti ad usare password che sono difficili da ricordare ma facili da indovinare per un computer" Insomma un successo! :-)

Vi ho rotto fino allo sfinimento . Ma se usate i servizi di Google non potete derogare sull'autenticazione forte. Username e password non bastano più. Serve un'autenticazione forte a due fattori. Seria. E Google sa come si fa : Se avete un cellulare, e lo avete di sicuro, l'autenticazione forte con Google non è un problema. E poi essere richiamati da un servizio vocale (quando magari l'SMS non arriva) con una voce in perfetto italiano (ma computerizzata) è una gran soddisfazione. Fatelo!

State leggendo questo post, e vi state chiedendo se andare avanti: " l'ennesimo post sulle migliori password, su che struttura debbano avere per raggiungere un livello di sicurezza adeguato. Non se ne può più! ". Già m'immagino! Non l'avrei di certo scritto, se non avessi alcune considerazioni da fare sui meccanismi di autenticazione  forte  e sulle care vecchie password. Prendiamo l'autenticazione a due fattori con token. Come spero già sappiate (ma non siete certo obbligati) si dice "a due fattori" perché il primo fattore è una cosa che si conosce (es. le credenziali), mentre il secondo è una cosa che si possiede fisicamente (per es un token OTP ). In quest'ultimo caso però, dobbiamo avere fisicamente l'oggetto con noi, ed è questo il problema. Un token (qualsiasi cosa esso sia) è una cosa troppo vincolante, poiché possiamo dimenticarcelo a casa e allora che fare? Di fatto, non potremmo accedere al servizio che richiede tale autenticazione...

Sinceramente non mi sono mai dedicato al cracking delle chiavi WPA. Troppa fatica. Ma ultimamente ci sono dei programmini estremamente interessanti e astuti. Perché agire con la forza bruta quando si può raggiungere lo stesso risultato con l'astuzia? Se vi dicessi che sia Fastweb che Alice danno in giro i loro router WiFi con una password precalcolata in base al MAC Address, e che tale Mac Address è nel caso di Fastweb ben visibile nel SSID, ci credereste? E' invece è proprio così.  Ovviamente qualche buon tempone ha pensato bene di fare reverse engineering . Una volta capito l'algoritmo, TUTTI i router che usano questa astuta tecnica (praticamente la più becera Security Through Obscurity) sono facilmente crackabili. Se leggerete con attenzione l'articolo linkato, capirete che gli errori dei progettisti sono stati diversi. Non solo il fatto di derivare la chiave condivisa da un dato ben visibile sulla rete come il SSID, ma anche quello di scegliere un algoritmo particol...

Anonymous si dà all'editoria ed esce con un manuale di istruzioni per il perfetto dissidente digitale . Dalla connessione alla rete TOR, a quella ai server IRC tramite tunnelling, fino al cambio dei DNS e alle macchine virtuali. Insomma tutto quello che un aspirante hacktivista digitale dovrebbe fare per essere sicuro di non essere scoperto. Però, a guardar bene le istruzioni, queste possono essere viste anche come un buon vademecum per mantenere l'anonimità in rete, senza per forza essere degli attivisti (malevoli) digitali ed effettuare azioni lesive quali attacchi di tipo DDoS. Comunque interessante da leggere :-)

Non ce la faccio più! Questo è stato l'ennesimo convegno di sicurezza "fuffologico". Ma possibile che ultimamente tutti i convegni siano così scadenti? Almeno una volta ti volevano vendere il solito scatolotto, adesso nemmeno più quello! Qualità degli oratori scadente, qualità del contenuto degli interventi scadente, organizzazione scadente, etc. L'ultima che ho sentito è la " Teoria del Cigno Nero ". Metafora dell'evento raro impredicibile e catastrofico. Che per sua natura non è prevedibile. Roba da Wikipedia, copia-incolla e lavoro per i Debunker (vero Paolo ?). Capisco che abbia il suo fascino e colpisca la platea (ma solo un certo tipo eh...), ma suvvia questi colpi da teatro dell'orrore lasciamoli ad altri contesti no? E che dire della solita statistica con il numero di malware per paese? A che serve? A spaventare e quindi a vendere servizi? Alla fine anche quelli digiuni di sicurezza, dopo 5 anni, le hanno capite queste cose o no? Ah giusto, ...

Da quando sono ritornato da Londra non faccio che domandarmi "perché non abbiamo Starbucks in Italia?". Adesso c'è un motivo in più. Sai che divertimento con Firesheep dentro ad uno di questi posti? http://money.cnn.com/2010/12/14/technology/firesheep_starbucks/index.htm Sarà che noi italiani siamo intrinsecamente sicuri?

Dopo il primo attacco a Sony , con relativo e imponente furto di credenziali, oramai gli attacchi sia a siti governativi che a grandi aziende (l'ultimo a SEGA) sta diventando una moda . Il furto di dati (credenziali o informazioni interne) non fa più notizia, ma fa mercato :) Incuriosito sono andato a cercare "Lulz" su google e in bella posta, tra i primi risultati, compare sia il canale twitter che il sito di questo simpatico gruppo di cracckeroni. E per cortesia, non continuate a chiamarli hacker... La home page è strepitosa. Andateci e ascoltate la musichetta :) C'è da fare qualche considerazione? L'unica, ovvia, considerazione è che la sicurezza dei dati è veramente ad uno stadio primordiale. Per cui: registratevi sempre con credenziali di comodo create ad-hoc, utilizzate password secondarie e soprattutto fatevi una benedetta carta di credito prepagata. 

"Sì", "Sì", "Sì", "Sì": we did it!

Chiariamo: se volete abrogare (ovvero cancellare) le norme oggetto dei quesiti referendari, dovete crociare il SI'. E' un dato di fatto: non siamo in grado di gestire centrali nucleari e relative scorie. Dopo la vicenda della "monnezza" a Napoli, prendiamone atto e mettiamoci la parola fine: E con l'occasione ribadiamo anche che l'Acqua è un bene pubblico e deve essere amministrato da società pubbliche. Non sono in grado di farlo? Problemi loro. Imparassero. Poi c'è il quarto quesito referendario, ma per quello lascio libertà di coscienza... :-P Insomma io metto tutti SI', poi fate voi...

Falsi antivirus , NSA che dà consigli sulla sicurezza del Mac. Insomma sembra proprio che la favoletta del Mac sicuro per "costruzione" si sia appunto rivelata tale! Leggetevi questa breve guida della NSA . Due importantissimi fogli in formato PDF che indicano in modo sintetico e preciso come rendere il vostro "colabrodo-Mac" in un "supersicuro-Mac". Ma quanta genialità umana hanno potuto impiegare per scrivere questo importantissimo documento? Regole del tipo: " disabilita X, anche se potresti avere dei problemi " (ex: " se non volete avere problemi di sicurezza con il WiFi, disabilitatelo !"), oppure " puoi anche configurare il firewall a mano, ma è troppo difficile perciò guarda l'how-to ". Spero che l'NSA si dedichi a cose più serie che a queste guide di dubbio valore.

Come sempre il buon Bruce spiega (al BlackHat EU 2011) in modo esemplare cosa sia e cosa NON sia la "cyberwar". Un'analisi chiara e spietata di quanto queste presunte "guerre cibernetiche" siano gonfiate ad arte e quanto l'ambiguita del termine non aiuti a comprendere il fenomeno (se esiste veramente). Guardando il video ho scoperto una chicca di Youtube/Google. La trascrizione automatica del parlato (e volendo è possibile anche tradurlo nella propria lingua). Devo dire che è anche di buona qualità: l'inglese di Bruce è abbastanza chiaro, ma in qualche momento il sottotitolo può aiutare :-) Attenzione quindi: soldati digitali sono in agguato nel vostro PC...

Intervento "magistrale" di Bruce Schneier sulla sicurezza e su quella che spesso viene definita come la "percezione della sicurezza". Alcune pillole: la sicurezza è due diverse cose: sensazioni e realtà; ci si può sentire sicuri anche se in realtà non lo si è e viceversa; il livello di sicurezza, da un punto di vista economico, è spesso un trade-off; la nostra percezione del rischio tende ad elevare rischi correlati ad eventi meno probabili, ma sconosciuti,  rispetto a quelli più probabili, ma ben conosciuti: per es. volare rispetto a guidare una macchina; l'evento sconosciuto viene percepito con maggiore rischio rispetto a quello familiare; il rischio percepito è innalzato dai mass-media che tendono ad incentrare le notizie su eventi poco probabili e che quindi destano maggior interesse: atti terroristici, rapimenti, etc; "il teatro della sicurezza": fare prodotti che inducono una sensazione di sicurezza; tre punti chiave: modello, percezione, realtà;...

Da una decina di giorni il network della Sony destinato ai giocatori on-line è fuori uso. Tutti avevano pensato ad un attacco DDoS, ma il gruppo di attivisti digitali " Anonymous ", noto per gli ultimi attacchi DDoS alle istituzioni italiane e non solo, aveva velocemente smentito la sua partecipazione a questo presunto attacco. Oggi purtroppo la notizia vera : ignoti cracker sono penetrati nei sistemi Sony è hanno trafugato tutte le credenziali dei 77 milioni di utenti del Network di videogiocatori . E, dulcis in fundo , Sony sapeva tutto da 7 giorni! I dati persi sarebbero: nome, cognome, data di nascita, residenza, email, username, password, domanda di sicurezza e numero della carta di credito. Solo il codice di controllo sarebbe salvo (ma essendo 3 cifre...). Insomma una caporetto. La cosa che stupisce è che siano passati 7 giorni senza che Sony dicesse nulla sul furto di dati. Ben sapendo che spesso gli utenti usano le stesse credenziali di accesso per diversi servizi ...

Che Dropbox sia utile non ci piove. Che sia sicuro, non tanto. Ci speravamo tutti, ma sapevamo che prima o poi qualcuno avrebbe scoperto qualche cosa e allora sarebbero stati dolori. Il momento è arrivato! Dropbox presenta una vulnerabilità di sicurezza dovuta ad un errore di progettazione del software. Non è un'errata implementazione e quindi un bug che implica una vulnerabilità. No, è proprio un errore di progettazione! Il client dropbox, infatti, una volta installato (dopo aver immesso le proprie credenziali) registra nella home dell'utente (diverse se su Linux, Windows, Mac) dei file di configurazione, che sono sostanzialmente dei DB SQLite .  Un ricercatore americano ha però scoperto , navigando in questi DB con gli innumerevoli software di browsing per SQLite, che l'autenticazione dei client dropbox è basata unicamente su un parametro (in chiaro) presente nel file "config.db" . Tale parametro si chiama HOST_ID . Lo so che adesso state pensando "non mi ...

La notizia è ancora abbastanza nebulosa nei suoi dettagli, ma sembra che una RA del certificatore "Comodo" sia stata compromessa. Di fatto è stato inserito in modo fraudolento una nuova utenza che poi, a fronte di CSR fornite, ha emesso 9 certificati validi per SSL. In particolare i certificati sono i seguenti: Domain: mail.google.com [NOT seen live on the internet] Serial: 047ECBE9FCA55F7BD09EAE36E10CAE1E Domain: www.google.com [NOT seen live on the internet] Serial: 00F5C86AF36162F13A64F54F6DC9587C06 Domain: login.yahoo.com [Seen live on the internet] Serial: 00D7558FDAF5F1105BB213282B707729A3 Domain: login.yahoo.com [NOT seen live on the internet] Serial: 392A434F0E07DF1F8AA305DE34E0C229 Domain: login.yahoo.com [NOT seen live on the internet] Serial: 3E75CED46B693021218830AE86A82A71 Domain: login.skype.com [NOT seen live on the internet] Serial: 00E9028B9578E415DC1A710A2B88154447 Domain: addons.mozilla.org [NOT seen live on the int...

------------------------- MODIFICA ----------------------- Sono stato pizzicato da un lettore, che mi ha fatto prontamente notare che in basso alla schermata di errore compare un path Windows-like "C:\....\". Che dire: non è Linux, c'è poco da fare, ma il vecchio caro Windows. Per fortuna che l'errore almeno è da attribuire ad una WAMP :-) ------------------------- MODIFICA ----------------------- Beccato! Non so se si riesce a vedere il riquadro, comunque il messaggio si riferisce ad un database mysql e l'errore è un "commit failure". Database corrotto? Il sistema operativo, a giudicare dal triangolino, è una distribuzione Linux. Certo la schermata blu fa tutto un altro effetto, vero?

Finalmente ce l'hanno fatta! Google ha abilitato  l'autenticazione a 2 fattori per l'accesso ai suoi servizi web. Il secondo fattore sarà una codice inviato sul vostro telefonino ad ogni autenticazione. Per averlo anche in Italia c'è però il trucco (va a capire il perché!).  Andate nella pagina per l'impostazione dell'account di Google: Lì, se avete impostato la lingua italiana: cambiate nella URL "it" con "en": Fate il refresh e vedrete comparire l'opzione per abilitare l'autenticazione a 2 fattori: La procedura prosegue con l'indicazione di un telefono cellulare dove inviare il codice di verifica, poi la stampa di codici di backup (da tenere gelosamente riservati) ed infine un altro telefono (anche di casa) su cui inviare un SMS o una chiamata vocale (bellissimo il messaggio vocale, rigorosamente anonimo). Da ricordare che per abilitare applicazioni (quali iMail con IMAP per esempio) dovrete generare delle password applicative....