CyberSecurity 1337

La risposta è NO. Semplice e lineare. In un momento di crisi è chiaro che le aziende decidano di puntare sul prodotto, limando i costi al contorno e assumendosi i rischi di eventuali incidenti di sicurezza.  Giusto o sbagliato?  Giusto se l'analisi del rischio viene fatta con criterio, sbagliato se l'analisi è una valutazione solo spannometrica del tipo "non ho un euro e della sicurezza non me ne importa nulla adesso". Del resto come biasimarli? Quando il rischio è la chiusura dell'azienda... Però la colpa non è solo della crisi. La colpa è anche del mercato che si è creato attorno all'IT Security , pieno di commerciali (nulla contro la categoria) e di pochi tecnici preparati. Chiaramente quando si ha bisogno di "vendere" e il profilo tecnico è basso (come è logico in una figura commerciale), quello che si vende deve per forza di cose essere una sorta di black box, e nel caso di un servizio, configurato magari mediante "black box".  Del res...

Non so da quanto sia disponibile Avira per Mac (free), ma oggi l'ho installato sul mio fido Mac. Avevo tempo fa utilizzato Sophos, riscontrando una enormità di problemi: dalla CPU al 100% a freeze del sistema con Time machine. Insomma una vera catastrofe. Non è che uno per mettersi al sicuro dai malware si fa un DoS da solo! Quindi, sfiduciato, mi ero ridotto al caro vecchio ClamXav: ottimo antivirus non in-line. E di tanto in tanto facevo una bella scansione. Ma è chiaro che non avere un antivirus realtime è, oggigiorno, un problema non indifferente. Insomma confido in Avira e nella sua stabilità. Certo oramai gli antivirus arrancano e sono solo la baseline della protezione di un sistema. Ma non se ne può fare a meno! Anche su un Mac. Solo questo in un post? Nulla di accattivante su nuove frontiere? Mah...guardatevi un po' di video dell'utimo Defcon ...molto istruttivi ;)

Ogni tanto siamo davvero dei geek e queste cose ci fanno impazzire. Volete mettere il figurone che fa questo " exploit pack poster " sul muro? Specie se poi arriva il "decision maker" che non decide mai nulla e si rende conto dei cattivi che ci sono lì fuori :) La versione 20x30 è gratuita, per le altre dovrete fare una donazione per una buona causa: i danni dell'uragano Sandy.

Ammettiamolo, guardare questo video per noi Geek è come vedere la Gioconda. La distruzione degli Hard disk che si vede nel video è strepitosa. Chissà quanto costa comprarne uno di quegli aggeggi. Che poi ci perdiamo in discussioni fantascientifiche di come i famigerati Hacker vengano in possesso di informazioni riservate e, banalmente, dagli hard disk dismessi e dal Social Enginering è possibile fare di tutto, senza nemmeno sforzarsi tecnicamente... Ma niente War Games ci ha traviato. Il problema è che molti di quei ragazzi oggi sono Manager...

La lettura della mente oggi è sempre più realtà....guardate il video e scoprirete il perché. Non aggiungo altro per non rovinarvi la sorpresa. Alla fine, probabilmente farete la stessa mia considerazione: "già, perché non ci ho pensato prima, brrr....".

L'articolo sarà anche datato, ma i suggerimenti proposti sono sempre validi (e non solo per Linux). Se solo si tenessero in considerazione poche e semplici regole, l'information security sarebbe sicuramente  ad un miglior livello. Questo il link su ACM queue:  http://queue.acm.org/detail.cfm?id=1255423 . Ecco, in breve, i "peccati" con qualche spiegazione "easy": Password deboli : e basta! cercate di implementare un qualche filtro minimale... Porte di rete aperte : nmap a campione? non è difficile dai, non serve il mega-tool; Software non aggiornato : apt-get, windows-update,..., ma il rischio è introdurre DoS per malfunzionamenti o incompatibilità introdotte dalle nuove versioni...questo è un vero osso duro; Software insicuro e/o malconfigurato : richiede conoscenze ancora fuori dalla "security da strada",  troppa network e system security, poca software security. Tosto. Risorse insufficienti e cattiva pianificazione delle priorità : vi prego segn...

E alla fine l'hanno capito! L'autenticazione a due fattori è arrivata anche sul pianeta Dropbox. Se utilizzate quella di Google , è praticamente identica: messaggio SMS con One Time Password quando linkate un dispositivo o dal browser (ma su questo se la ricorda). Inoltre invia una notifica mail ad ogni nuovo link (di device). Adesso iniziamo a ragionare. https://blog.dropbox.com/index.php/another-layer-of-security-for-your-dropbox-account/ Che dire: sbrigatevi ad abilitare l'opzione! P.S. attivate la sincronizzazione dell'orario sul vostro smartphone. I meccanismi di autenticazione basati su OTP sfruttano infatti la sincronia tra orologio dell'utente e quello dei server centrali di autenticazione.

Avete bisogno di Rainbow Table? Niente di più facile:  http://www.freerainbowtables.com/it/ Ovviamente se volete il set completo dovete pagare cifre non proprio esigue: 900$ per tutte quante! Altrimenti armatevi di tanta pazienza e banda :)

C'è bisogno di aria nuova nella software security? Forse sì. Dopo l'illusione che bastasse qualche tool supercarrozzato con tonnellate di falsi positivi, ora si torna all'origine. In tempi di crisi, è meglio concentrarsi sui punti essenziali del codice. E per non farla troppo lunga con tomi di pagine e pagine, una bella infografica stile USA aiuta anche i developer più restii a implementare quei pochi controlli che possono arginare futuri problemi di sicurezza. Del resto in una web app la prima cosa è una sana input validation e representation , con white (meglio) o blacklist di caratteri, parole, parametri, etc. Ecco quindi l'infografica: http://www.veracode.com/blog/2012/06/building-secure-web-applications-infographic/ Ora non ci sono più scuse!

Raramente cito altri blog, ma in questo caso è doveroso visto l'ottimo lavoro fatto da Paolo Passeri nel suo  http://hackmageddon.com/ . Le sue analisi degli attacchi nel mondo ed in Italia sono sempre ben fatte ed utili. I grafici inoltre sono talmente chiari che alle volte potete velocemente analizzare solo questi e lasciare la lettura del post a momenti migliori e con più tempo. Allego qui il grafico di un suo ultimo post " Sixteen Months of Cyber Attacks in Italy " sulla distribuzione degli attacchi in Italia negli ultimi sedici mesi. Sebbene ai primi due posti compaiano i DDoS e gli attacchi di SQL-injection, al terzo posto con un 13,4% c'è il preoccupante defacement.  Non che i primi due siano meno preoccupanti (anche se i DDoS possono anche essere mascherati da generici disservizi con una oculata campagna di dis-informazione), ma se unite il Defacement al fatto che la maggior parte degli attacchi sono portati a siti "governativi" o comunque "poli...

Non avrei mai postato una roba del genere. Oramai i data leak sono all'ordine del giorno. Ma quello che mi ha fatto davvero infuriare sulla vicenda del recentissimo leak di Linkedin ,  è che una "corazzata" come Linkedin decida di Hashare senza SALT le proprie password. Ma da dove vengono? Dalla Luna? Quante volte si è detto che il salting è necessario (e in qualche caso anche sufficiente) per evitare questo tipo di attacchi?  Linkedin dovrebbe prendere seri provvedimenti per chi si occupa di sicurezza applicativa al loro interno. Ammesso che qualcuno se ne occupi davvero! E comunque da un certo punto di vista tiro anche un respiro di sollievo: "tutto il mondo è paese ;)"

" Starting today we’re undertaking an effort to notify roughly half a million people whose computers or home routers are infected with a well-publicized form of malware known as DNSChanger . After successfully alerting a million users  last summer  to a different type of malware, we’ve replicated this method and have started showing warnings via a special message that will appear at the top of the Google search results page for users with affected devices." Se non ci fosse Google, bisognerebbe inventarla! Per fortuna che si preoccupano per noi :)

Cari amici (mi verrebbe da dire vicini e lontani ) scommetto che non ce ne è uno di voi che non sappia cosa sia un DDoS e certo non sarò io a tediarvi (basterà guardare il link a Wikipedia). Però temo, e lo dico purtroppo per esperienza, che pochi hanno ben compreso le reali ripercussioni di un DDoS. Del resto ne avevo già parlato circa un anno fa con l'avvento dell'Hacktivismo digitale . Parliamoci chiaro: pochi sanno gestire un attacco DDoS anche perché poche sono le reali contromisure da mettere in campo. Ma se è vero che "tanto non ci si può fare molto", è anche vero che un migliore partizionamento dei sistemi in frontend, ed in backend, può mitigare il rischio.  Il DDoS condotto su una macchina o un sistema di front-end infatti potrebbe propagarsi all'interno inficiando anche i sistemi o le applicazioni utilizzate dentro l'infrastruttura. A quel punto tutte le belle idee del tipo "ma tanto al massimo il sito non è raggiungibile" si vanno a far ...

Fresco fresco un aggiornamento Apple che aggiorna Java alla 1.6_31. Questo aggiornamento dovrebbe contrastare il diffondersi del Trojan che in questi giorni sta preoccupando molto gli utenti della mela.  Java è ormai diventato un vettore d'attacco privilegiato per tutte le piattaforme. Aggiornate quindi sempre questo prodotto, ovunque! Se poi siete in un contesto aziendale, allora sono dolori. Ci potrebbero essere diverse versioni delle JRE anche sulle stesse macchine e non sempre potete eliminare le vecchie JRE (ricordo ancora delle applicazioni del Ministero delle Finanze che utilizzano la JRE 1.3!). Insomma un vero incubo per chi si occupa di "patch management". Quanto dovremo aspettare prima che Oracle si decida a fornire un prodotto centralizzato di Management per le JRE o JDK? ----- AGGIORNAMENTO ----- In realtà gli update sono due. Installateli entrambi e dovreste essere patchati. Per controllare invece che non siate stati contaminati da Flashback andate su quest...

Di video sul cracking in giro ce ne sono tanti, però lo stile è sempre lo stesso: capellone 15enne che fa la SQL Injection....un po' di binario ed ecco fatto. Questi video non servono a nessuno. Riprendo invece da Paolo Attivissimo questo video, fatto davvero molto bene, e che vi consiglio di guardare fino in fondo:  http://www.rsi.ch/pattichiari/node/2891 Il video fa capire che ognuno di noi è potenzialmente vulnerabile a degli attacchi. E' evidente che la potenza dell'attacco è data dalla varietà degli approcci che si usano: social engineering, mail alternative, facebook, intercettazioni ambientali, trojan costruiti su misura. La VERA regola d'oro è: non usare Internet, possibilmente stare staccati dalla rete, e magari con il computer in fondo al mare dentro una scatola di piombo! Ovviamente scherzo, di regole ce ne sono molte e purtroppo per l'utente medio (ma non solo) non sono sempre così semplici da implementare. Però alcune regole mi sento di darle: usare un...

Se gestite così gli incidenti di Sicurezza Informatica, forse c'è qualche procedura da rivedere: Non è fantasia, ma triste realtà :)

Che qualcuno si stia approfittando del caro vecchio runtime Java, ormai è chiaro. Non ricordo dove (tra web , blog post, twitter e facebook la mia mente vacilla) ma da più parti si sostiene che i target preferiti dai "cracker" al momento siano due: Adobe (Flash, Reader, etc.), con la sua galassia di applicazioni, e Java.  Il motivo è semplice: i prodotti Adobe e Java sono molto diffusi nelle macchine degli utenti e spesso il patching di questi ambienti non è adeguato alla loro diffusione. E sì che già da un po' era evidente che le vulnerabilità da sfruttare sarebbero state sempre di più quelle relative a  software di terze parti (su Windows) piuttosto che del sistema operativo. Prendete Windows: oramai il patching di questo sistema operativo è a dir poco paranoico e gli utenti si sono abituati ad "aggiornare": seria gestione + consapevolezza utente = processo sicuro! Mi sembra particolarmente interessante (e aggiungerei istruttivo) il modo in cui viene attaccata...

Here is the new OWASP slides on JBoss Security. JBoss is a well known Java Web Application Server used in professional environment. So read it if you have it! The slides have been done by OWASP members who are very oriented to the Application Security. Well done guys!

Bob : "Che comodità questa stampante/scanner dipartimentale, mi ricordo che due anni fa avevo sollevato un polverone incredibile  sulle scannerizzazioni di questi aggeggi. Ti ricordi Alice?" Alice : "Sì sì sempre il solito, ma adesso i file scansionati li cancelliamo! Una volta al mese un complesso script di cancellazione azzera il contenuto della directory! hihihihi (stavolta l'ho fregato)" Bob : "(complesso script...bah!) Una volta al mese? E a che serve? Per liberare spazio immagino..." Alice : "Beh sì, principalmente. Sai l'occupazione disco è un problema perché potrebbe generare fenomeni di tipo "Denial of Service" e quindi....bla bla...bla bla..." Bob : "(gli hanno fatto fare il solito corso introduttivo sulla sicurezza informatica e adesso ha bisogno di dimostrare che ci ha capito qualche cosa...)" Bob : "Alice, scusa se interrompo il tuo soliloquio, ma i documenti andrebbero cancellati almeno ogni notte. N...

Interessante piattaforma web di Google ( Google Goodtoknow ) per l'educazione degli utenti alla sicurezza e privacy. Come sempre informazione chiara, semplice e fruibile da (quasi) tutti. Il sito è ovviamente in inglese e anche i video. Quattro le sezioni principali: Sicuri on-line I tuoi dati sul Web I tuoi dati su Google Gestisci i tuoi dati In ognuna di esse è presente un video principale molto ben fatto (e corto!). Poi, nelle diverse sottosezioni, altri video e ulteriori informazioni. Interessante il sito  http://www.dataliberation.org/home  che permette di "liberare" i propri dati dai servizi Google. Intendiamoci: è fatto da Google stessa! Ecco alcuni video: Sicuri on-line (guardate il video qui sopra ci sono anche indicazioni su come aumentare il livello di sicurezza con i servizi Google, non pensiate di sapere tutto!) Cosa sono i Cookie Privacy & Google

http://sopastrike.com/strike/ ---- UPDATE ---- Sembra che la diffusa protesta mondiale stia facendo ritornare sui loro passi gli estensori della legge. Internet Power! Qui una esauriente spiegazione del bravissimo Paolo Attivissimo del perché questa protesta ha avuto e ha un senso.

Doveroso rimbalzare la notizia . Vista la pervasività di OpenSSL sui sistemi *nix, forse è il caso di fare un update no?

Rischia di passare sotto silenzio questa vulnerabilità incredibilmente longeva e, almeno dalle prime valutazioni, assai pericolosa.  Pericolosa, perché con delle semplici REQUEST POST si riesce a provocare un consumo di CPU del 100%, per un tempo che può arrivare anche a delle ore. Quindi DoS o peggio DDoS. Pericolosa, perché non è relativa a questa o quella piattaforma, ma a come i diversi linguaggi implementano la funzione di hashing per  la gestione delle strutture dati chiamate "Hash Table" (da non confondere con gli hash crittografici che, sebbene siano pur sempre degli hash, hanno altre finalità e caratteristiche). Longeva, perché il primo lavoro su di essa fu presentato nel 2003 in una conferenza USENIX e solo oggi, dopo la presentazione al CCC (congresso del Chaos Computer Club), ci si è forse resi conto dell'impatto che può avere un attacco che sfrutta tale vulnerabilità. La sostanza: inserire nelle hash table dei nuovi valori che generano collisioni con un d...