CyberSecurity 1337

Probabilmente alla fine di questo video esclamerete: "Accidenti, sono un hacker e non lo sapevo!" Alcune verità assolute nel video: Hacking è passione: quanti fanno lavori che odiano? Hacking è uscire dagli schemi: pensiero laterale , grande dote! Hacking è stimoli intellettuali: fondamentali per sopravvivere. Hacker sono anche Donne e Bambini: dopo wargames qualcuno si è convinto per i bambini ma per le donne... Gli Hacker sono cattivi? No, solo mal rappresentati dai Media

E' da un po' di tempo che non faccio segnalazioni del genere. Ci sono molti siti a cui sarete affezionati e che sono sicuramente più tempestivi del sottoscritto. Ma quando esce qualche cosa di clamoroso, lo spirito di servizio di questo blog esce fuori :-) - Cominciamo da PHP : la nuova versione 5.3.7 implementa la crypt() in modo singolare , perché alcune volte il risultato della cifratura è il solo SALT ! Incredibile vero? Evitate quindi di fare l'upgrade a tale versione fino a che non sia uscita una patch per questa grave vulnerabilità. " Description: If crypt() is executed with MD5 salts, the return value conists of the salt only. DES and BLOWFISH salts work as expected." - E proseguiamo con Apache web server : da quello che leggo la vulnerabilità era stata segnalata già dal 2007 ma fino ad oggi (o dovrei dire ieri) non esisteva un PoC  in giro. Adesso c'è: una specie di HTTP request della morte , con cui buttare giù un server web (apache) in poco tempo....

Bob : "...e quindi io alla fine per gestire le password utilizzo un "Password Wallet" " Alice: "Cosa?" Bob : "Password Wallet: applicazione che memorizza le password, opportunamente protetta mediante cifratura ed unica password di accesso." Alice: "Ma nooo, io le password me le ricordo a memoria!" Bob : "(tranquilla lei!)"

"dopo 20 anni di sforzi, abbiamo e con successo insegnato a tutti ad usare password che sono difficili da ricordare ma facili da indovinare per un computer" Insomma un successo! :-)

Vi ho rotto fino allo sfinimento . Ma se usate i servizi di Google non potete derogare sull'autenticazione forte. Username e password non bastano più. Serve un'autenticazione forte a due fattori. Seria. E Google sa come si fa : Se avete un cellulare, e lo avete di sicuro, l'autenticazione forte con Google non è un problema. E poi essere richiamati da un servizio vocale (quando magari l'SMS non arriva) con una voce in perfetto italiano (ma computerizzata) è una gran soddisfazione. Fatelo!