CyberSecurity 1337

Da una decina di giorni il network della Sony destinato ai giocatori on-line è fuori uso. Tutti avevano pensato ad un attacco DDoS, ma il gruppo di attivisti digitali " Anonymous ", noto per gli ultimi attacchi DDoS alle istituzioni italiane e non solo, aveva velocemente smentito la sua partecipazione a questo presunto attacco. Oggi purtroppo la notizia vera : ignoti cracker sono penetrati nei sistemi Sony è hanno trafugato tutte le credenziali dei 77 milioni di utenti del Network di videogiocatori . E, dulcis in fundo , Sony sapeva tutto da 7 giorni! I dati persi sarebbero: nome, cognome, data di nascita, residenza, email, username, password, domanda di sicurezza e numero della carta di credito. Solo il codice di controllo sarebbe salvo (ma essendo 3 cifre...). Insomma una caporetto. La cosa che stupisce è che siano passati 7 giorni senza che Sony dicesse nulla sul furto di dati. Ben sapendo che spesso gli utenti usano le stesse credenziali di accesso per diversi servizi ...

Che Dropbox sia utile non ci piove. Che sia sicuro, non tanto. Ci speravamo tutti, ma sapevamo che prima o poi qualcuno avrebbe scoperto qualche cosa e allora sarebbero stati dolori. Il momento è arrivato! Dropbox presenta una vulnerabilità di sicurezza dovuta ad un errore di progettazione del software. Non è un'errata implementazione e quindi un bug che implica una vulnerabilità. No, è proprio un errore di progettazione! Il client dropbox, infatti, una volta installato (dopo aver immesso le proprie credenziali) registra nella home dell'utente (diverse se su Linux, Windows, Mac) dei file di configurazione, che sono sostanzialmente dei DB SQLite .  Un ricercatore americano ha però scoperto , navigando in questi DB con gli innumerevoli software di browsing per SQLite, che l'autenticazione dei client dropbox è basata unicamente su un parametro (in chiaro) presente nel file "config.db" . Tale parametro si chiama HOST_ID . Lo so che adesso state pensando "non mi ...