CyberSecurity 1337

Here is the new OWASP slides on JBoss Security. JBoss is a well known Java Web Application Server used in professional environment. So read it if you have it! The slides have been done by OWASP members who are very oriented to the Application Security. Well done guys!

Bob : "Che comodità questa stampante/scanner dipartimentale, mi ricordo che due anni fa avevo sollevato un polverone incredibile  sulle scannerizzazioni di questi aggeggi. Ti ricordi Alice?" Alice : "Sì sì sempre il solito, ma adesso i file scansionati li cancelliamo! Una volta al mese un complesso script di cancellazione azzera il contenuto della directory! hihihihi (stavolta l'ho fregato)" Bob : "(complesso script...bah!) Una volta al mese? E a che serve? Per liberare spazio immagino..." Alice : "Beh sì, principalmente. Sai l'occupazione disco è un problema perché potrebbe generare fenomeni di tipo "Denial of Service" e quindi....bla bla...bla bla..." Bob : "(gli hanno fatto fare il solito corso introduttivo sulla sicurezza informatica e adesso ha bisogno di dimostrare che ci ha capito qualche cosa...)" Bob : "Alice, scusa se interrompo il tuo soliloquio, ma i documenti andrebbero cancellati almeno ogni notte. N...

Interessante piattaforma web di Google ( Google Goodtoknow ) per l'educazione degli utenti alla sicurezza e privacy. Come sempre informazione chiara, semplice e fruibile da (quasi) tutti. Il sito è ovviamente in inglese e anche i video. Quattro le sezioni principali: Sicuri on-line I tuoi dati sul Web I tuoi dati su Google Gestisci i tuoi dati In ognuna di esse è presente un video principale molto ben fatto (e corto!). Poi, nelle diverse sottosezioni, altri video e ulteriori informazioni. Interessante il sito  http://www.dataliberation.org/home  che permette di "liberare" i propri dati dai servizi Google. Intendiamoci: è fatto da Google stessa! Ecco alcuni video: Sicuri on-line (guardate il video qui sopra ci sono anche indicazioni su come aumentare il livello di sicurezza con i servizi Google, non pensiate di sapere tutto!) Cosa sono i Cookie Privacy & Google

http://sopastrike.com/strike/ ---- UPDATE ---- Sembra che la diffusa protesta mondiale stia facendo ritornare sui loro passi gli estensori della legge. Internet Power! Qui una esauriente spiegazione del bravissimo Paolo Attivissimo del perché questa protesta ha avuto e ha un senso.

Doveroso rimbalzare la notizia . Vista la pervasività di OpenSSL sui sistemi *nix, forse è il caso di fare un update no?

Rischia di passare sotto silenzio questa vulnerabilità incredibilmente longeva e, almeno dalle prime valutazioni, assai pericolosa.  Pericolosa, perché con delle semplici REQUEST POST si riesce a provocare un consumo di CPU del 100%, per un tempo che può arrivare anche a delle ore. Quindi DoS o peggio DDoS. Pericolosa, perché non è relativa a questa o quella piattaforma, ma a come i diversi linguaggi implementano la funzione di hashing per  la gestione delle strutture dati chiamate "Hash Table" (da non confondere con gli hash crittografici che, sebbene siano pur sempre degli hash, hanno altre finalità e caratteristiche). Longeva, perché il primo lavoro su di essa fu presentato nel 2003 in una conferenza USENIX e solo oggi, dopo la presentazione al CCC (congresso del Chaos Computer Club), ci si è forse resi conto dell'impatto che può avere un attacco che sfrutta tale vulnerabilità. La sostanza: inserire nelle hash table dei nuovi valori che generano collisioni con un d...