• Attenzione alle finte richieste via mail

    Ho notato un ritorno di fiamma delle mail con allegati compressi con ZIP che contengono eseguibili mascherati.

    L’ultimo di questa mattina ha come presunto mittente comunicazioni@staff.aruba.it e come oggetto Invio copia bollettino. Anche il testo è abbastanza verosimile e privo di errori evidenti che caratterizzavano i primi tentativi di questo tipo, non fosse altro che non ho debiti pendenti con la ditta di Arezzo:

    Gentile cliente,
    come da lei richiesto in allegato potrà trovare copia del bollettino postale con cui effettuare il pagamento.

    Saluti
    ______________________________
    Aruba S.p.A.
    Servizio Clienti - Aruba.it

    http://www.aruba.it

    http://assistenza.aruba.it

    Call center: 0575/0505
    Fax: 0575/862000
    ______________________________

    Prima di buttare la mail ho voluto fare qualche analisi. Prosegui la lettura  Post ID 11634



  • Esempio di non-sicurezza di Windows XP

    Windows XP è duro a morire: molte persone non vogliono cambiare, altre non possono farlo.

    XP ha tanti problemi noti che non verranno mai più corretti. Mai più.

    Ieri KoreLogic ha pubblicato due esempi (qui e qui) ben documentati di un baco di XP che non verrà mai più corretto. Ovviamente gli esempi contengono anche una proof of concept ovvero un metodo che tutti possono applicare ad un’installazione di Windows XP per verificare l’esistenza della vulnerabilità.

    Si tratta di un problema di elevamento di privilegio, ovvero un problema che permette ad un utente normale di acquisire i diritti amministrativi della macchina anche se non conosce la password di un utente di livello Administrator.

    In questo caso non tutti i mali vengono per nuocere, infatti si può utilizzare uno dei due script in Python per guadagnare il livello di Administrator in un XP di cui si sono perse le credenziali amministrative senza utilizzare un CD con Linux con il programma che azzera la password di Administrator.

    Esempi come questi dimostrano che oramai Windows XP va trattato dal punto di vista della sicurezza come un sistema operativo in cui tutti possono fare tutto, alla pari di MS-DOS o Windows 95/98.



  • Prima versione di LibreSSL

    LibreSSLÈ stata rilasciata la prima versione di LibreSSL, aggiornata oggi alla 2.0.1.

    LibreSSL si propone come rimpiazzo di OpenSSL dopo i problemi iniziati con heartbleed. Il team di BSD ha avviato il progetto con l’intenzione di produrre un codice meno fumoso, più stabile e sicuro.

    Il codice di OpenSSL ha sulle spalle una lunga storia di compatibilità verso il basso che ha trasformato il codice in qualcosa di poco gestibile e prono agli errori.

    LibreSSL ha tolto di mezzo la compatibilità con piattaforme non più utilizzate in produzione, come MS-DOS, VMS, NetWare, Windows a 16 bit, Windows NT e OS/2 e con essa un sacco di problemi.

    Di fatto OpenSSL utilizza un C compatibile con ogni compilatore possibile da quello dell VMS al QuickC 1.5 all’ultimo gcc, con il risultato che deve reinventare al proprio interno il fuoco, la ruota e l’acqua calda. Una delle conseguenze di tutto ciò è che OpenSSL ha una propria libreria di allocazione della memoria che non è controllabile dal sistema operativo o dai normali tool di debug, ma ha una propria serie di API per fare il debug della gestione della memoria.

    Prosegui la lettura  Post ID 11623



  • Un pizzico di sale

    Saline / SaltworksBruce Schneier ricorda per l’n-sima volta che, quando richiesto, è il caso di salare gli algoritmi di hash.

    Di solito gli algoritmi di hash si usano per rappresentare con un valore gestibile (un numero) qualcosa che o non si vuole scrivere in chiaro (una password, un dato personale) oppure si vuole rappresentare in maniera compatta per una comparazione o ricerca più veloce. Ovviamente il secondo caso non deve essere salato e ci arrivano tutti a capire il motivo.

    Spesso la funzione di hash è surgettiva, ma le collisioni sono un male accettabile e, per quanto riguarda le password, può anche andare bene che sia tale, in quanto il rischio che, mettendo una password casuale, si ottenga una collisione è tollerabile.

    Il vero problema di una funzione di hash pura e semplice è che è, nei fatti, reversibile. Spesso, anche senza far ricorso alle rainbow table si può trovare una delle stringhe che genero un hash specifico. Un paio d’anni fa ho gestito a livello IT il passaggio di proprietà non proprio amichevole di una ditta. Si sapeva che uno dei vecchi addetti usava sempre la medesima password, ma bisognava sapere velocemente quale. Uno degli applicativi aziendali era scritto in PHP e usava un hash SHA1 per registrare le password. Non vi dico la faccia delle persone quando ho fatto copia e incolla dell’hash su Google ed è venuta fuori la password (non in dizionario). Prosegui la lettura  Post ID 11613



  • Code Spaces

    codespacesCode Spaces era un servizio di ospitazione di sorgenti software e gestione progetti.

    Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda.

    Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di ridondanza per garantire l’uptime, ma, come sanno i professionisti del settore, la ridondanza non ha nulla a che fare con i backup e, soprattutto, con i restore.

    Secondo il sito, un malvivente avrebbe guadagnato l’accesso al pannello di controllo di EC2 e avrebbe lasciato dei messaggi in cui, sostanzialmente, chiedeva un riscatto in danaro.

    Quando i legittimi proprietari del sito hanno cambiato le password di accesso al pannello è iniziata la fine: il malvivente aveva creato degli altri accessi di backup con i quali ha distrutto tutti i dati. Prosegui la lettura  Post ID 11606



  • Estensione esagerata

    Il funzionamento dell’informatica per gli utenti è spesso un mistero, più simile a magia nera che a tecnica. C’è da dire che molto spesso, chi lavora in ambito IT e si spaccia per professionista non fa altro che alimentare la confusione, invece di risolverla.
    In particolare, un argomento sempre ostico per l’utente è la questione della estensione del nome file: quella sigla poco comprensibile, succinta e spesso incomprensibile che segue il punto dopo il nome del file.

    Perchè sia lì, a cosa serva, come sia fatta e via dicendo spesso è un mistero ed è apparentemente complicato far capire alle persone il suo semplice funzionamento.
    Tutti sappiamo che, in Windows, l’estensione è un identificativo che, tramite una tabella di associazione, dice al sistema operativo con quale applicativo deve manipolare il file. Per la maggior parte degli utenti, invece l’estensione ha la proprietà magica di rivoluzionare il contenuto del file.

    Nei miei corsi, quando cerco di spiegare questo concetto, normalemente prendo un bicchiere di plastica con una etichetta bicchiere attaccata sopra e chiedo alla platea che cosa sia. Quasi tutti riescono a rispondere correttamente, identificando l’oggetto.
    Dopodichè cambio l’etichetta con una con scritto forchetta e ripeto la stessa domanda: di nuovo la maggior parte riesce a rispondere correttamente.
    Passo infine a chiedere perchè se il bicchiere non è cambiato, perchè un file dovrebbe farlo, semplicemente sostituendo una scritta attaccata sopra. Prosegui la lettura  Post ID 11594



  • Effetto Streisand

    elaborazione di AppFigures
    elaborazione di AppFigures

    Le persone che non conoscono uno strumento e pensano di imporre le loro regole a ciò che non conoscono finisco sempre sconfitte.

    Questa è una conclusione che si può trarre guardando la cronaca degli anni passati, ma tutti sanno che l’unica cosa che la Storia insegna è che nessuno impara dalla Storia. Uno degli effetti più eclatanti dell’ignoranza di uno strumento o della poca lungimiranza delle persone è il cosiddetto effetto Streisand.

    I taxisti sono bravi a guidare i taxi e a portare i clienti a destinazione, meno bravi nelle relazioni pubbliche

    A meno che non sia pagato dal titolare o dal cliente, l’utente quadratico medio non occasionale del taxi non è un giovane smanettone, ma una persona che, appunto, si può permettere un taxi al posto di un mezzo pubblico o di un passaggio di un amico o collega. Questa persona non conosce Uber, se non per sentito dire, ma non è uno stupido.

    Considerate ora una persona che apprende la notizia che i taxisti di tutta Europa fanno sciopero contro un programma gratuito che permette di risparmiare sui taxi. Qual è la reazione ovvia e immediata di questa persona? La risposta l’ha data AppFigures in un articolo sintetizzato con efficacia dall’immagine qui sopra.

    Con ciò non voglio entrare né nel merito del problema dei taxi né di quello sociale della perdita di lavoro a causa delle tecnologie. Uno dei problemi che vengono spesso taciuti da tutti è che i taxisti spesso fanno notevoli sforzi economici per comperare (googlare acquisto licenze taxi nero) una fetta di monopolio che si sta rivelando una promessa non mantenuta da parte di chi quel monopolio lo mantiene in forza di legge.



  • #ricerchiAMO… un evento per conoscere la ricerca

    Pubblicato il da kazuma 2 commenti

    Non sono un amante dei cross-post, ma ci sono momenti in cui trovo personalmente giusto farlo. Quello che segue è qualcosa che ho scritto per MCC Post e che tratta di un argomento importante, strettamente legato a quello che ho scritto qualche giorno fa in relazione alla disinformazione dilagante sui Social Network, per pubblicizzare un evento che si svolgerà a Milano il prossimo 14 Giugno 2014.

     

    “La nostra conoscenza, se paragonata alla realtà, è primitiva e infantile. Eppure è il bene più grande di cui disponiamo.” Albert Einstein.

    Una delle cose più belle che ho imparato nel corso della mia vita è il non credere immediatamente a qualsiasi cosa mi venga detta, indipendentemente da quale sia la fonte. Ho imparato a pensare con la mia testa, a non dare tutto per scontato, a non assumere che qualcosa debba essere così solo perché me lo ha detto Tizio o Caio. Qualcuno lo chiama, non sempre in modo positivo, “materialismo” altri utilizzano termini più crudi ma pur sempre negativi per un motivo molto semplice: l’idea che qualcuno non abbracci un qualcosa subito, all’istante e senza informarsi, è per molti piuttosto destabilizzante in quanto convinti che quello che loro dicono, che quelle “battaglie” che hanno fatto proprie e che portano avanti siano sempre giuste. Ed è facile constatare che questo succede con maggiore frequenza quando queste “battaglie” derivino da un’informazione limitata, incompleta o persino assente.

    Accade, ultimamente un po’ troppo spesso, che chi dovrebbe essere fonte di informazione corretta decida di prendere una posizione chiara, trasformando il proprio dovere di informare in modo completo ed obiettivo in un qualcosa di diverso, in una lotta ad armi impari, fornendo dei quadri parziali della realtà, impedendo alle persone di valutare correttamente tutti gli elementi e, quindi, formarsi un’opinione personale.
    L’esempio più lampante è quello di una trasmissione televisiva (“Le Iene”) che se da una parte si pone a paladina dei cittadini contro maghi e stregoni, dall’altra intraprende un percorso pericolosamente antiscientifico trattando in modo assolutamente superficiale e dannoso argomenti come le diete e le cure miracolose in grado di curare i tumori, la correlazione tra vaccini e autismo o, peggio, il caso Stamina, cercando di mettere pressione su quella parte di popolazione facilmente suggestionabile affinché gli ospedali italiani possano applicare qualcosa di sconosciuto che non ha alcun fondamento scientifico e che potrebbe trasformarsi in pericoloso con il passare del tempo.

    #ricerchiAMOSe a tutto questo aggiungiamo anche che il nostro paese corre il rischio di intraprendere un percorso contro la ricerca, violando, oltretutto, la normativa europea a riguardo, diventa immediato comprendere quando sia fondamentale informarsi il più possibile in modo corretto su questi argomenti e, in particolare, proprio sull’importanza vitale della ricerca stessa così da poter avere tutti gli elementi necessari per poter farsi una propria opinione su un argomento così importante.

    Per questo motivo “Pro-Test Italia” ha organizzato a Milano un evento con lo scopo di sensibilizzare l’opinione pubblica e, si spera, anche le istituzioni, sull’importanza di difendere la ricerca sottolineando quel concetto che è diventato lo slogan della manifestazione, ossia che grazie alla ricerca che ogni anno vengono salvate milioni di vite, anche quelle di chi si batte, spesso in modo incivile, per ostacolarla.

    L’appuntamento è per Sabato 14 Giugno alle 15:30 in Piazza Mercanti a Milano.



  • I Social network e la ricerca delle pagliuzze

    Pubblicato il da kazuma 4 commenti

    @Flaviaventosole su TwitterE’ da un paio di giorni (ossia dalla data di pubblicazione) che sta spopolando su Twitter e, soprattutto su Facebook, il tweet di Flavia Vento nel quale la… hem… la… (qualcuno mi trova una definizione per favore?) si chiede cosa sia il MOSE.
    I toni dei retweet o dei post su Facebook sono tutti simili: sgomento totale, commenti sbigottiti e un generale sconcerto per questa semplice domanda.

    Prosegui la lettura  Post ID 11570



  • OpenSSL e software open

    Piazza PetrarcaSono state scoperte e corrette altre sei vulnerabilità di OpenSSL. Enfasi su “corrette”.

    Dopo Heartbleed qualcuno ha dubitato della bontà del software open, altri hanno visto quel problema come un argomento a favore di una circolazione limitata dei sorgenti.

    Sono argomenti facilmente confutabili con l’esperienza della storia e le basi della sicurezza informatica.

    Il problema non è la differenza tra software open e no, ma tra programmi scritti bene e programmi scritti male, senza coerenza e con un sacco di scorciatoie pericolose. Entrambe queste categorie sono ben rappresentate sia nel software open sia nel software commerciale, le due tifoserie contrapposte ritengono che il peggio sia nella controparte. Prosegui la lettura  Post ID 11565



  • Le origini di Star Wars


    Star Wars: Kitbashed from Michael Heilemann on Vimeo.

    Come in natura, nella cinematografia tutto si trasforma (ultimamente si riscalda la minestra dell’anno prima, ma è un altro discorso). Quando Lucas ha prodotto il primo Star Wars non ha certo creato tutto da zero, ma ha confezionato qualcosa di assolutamente nuovo con ingredienti già presenti inventando (questo sì) delle tecnologie e dei linguaggi che avrebbero fatto epoca. Questo video di Michael Heilemann raccoglie moti dei riferimenti utilizzati da Lucas; non lamentatevi se è lungo perché è giusto che lo sia, in quanto fa parte di un lavoro più ampio dello stesso autore.



  • TrueCrypt

    TrueCryptTrueCrypt era un programma open multipiattaforma di cifratura in tempo reale dei dischi.

    Era perché da ieri un laconico messaggio sul loro sito annuncia la fine del progetto in quanto conterrebbe dei “problemi non corretti” (unfixed issues).

    Gli autori del software sono sempre rimasti anonimi e per ora non c’è alcuna presa di posizione formale da parte loro.

    Il programma utilizzabile per la sola decifratura dei dati che è stato pubblicato sul sito reca la firma digitale del team di sviluppo, quindi chi l’ha pubblicato è in possesso della chiave privata.

    Con queste premesse, l’uso di TrueCrypt da oggi è del tutto sconsigliabile. Purtroppo non esiste nessun altro prodotto analogo multipiattaforma: si può usare GPG, ma non è la medesima cosa. Prosegui la lettura  Post ID 11544



  • Protocolli S nella posta elettronica

    Incontro all'alba / Sunrise meetingAlcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet.

    Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica.

    Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta in uscita) con il protocollo SMTP, i server parlano tra di loro in SMTP e alla fine un client scarica un messaggio con IMAP o POP3 (server di posta in arrivo).

    Le trasmissioni SMTP tra server di posta elettronica sono sempre più su canali cifrati, il punto debole restano la parte iniziale e finale del trasporto della mail dal server al client. Prosegui la lettura  Post ID 11535



  • SMTP STARTTLS in crescita

    Sottopasssaggio con cavi / Subway with cablesUn rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”.

    Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro.

    L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata utilizzando la medesima connessione TCP.

    I dati presentati da Facebook evidenziano che tre quarti dei mail server con cui dialoga il social network supportano STARTTLS, anche se solamente poco più della metà delle mail vengono cifrate con successo. Prosegui la lettura  Post ID 11529



  • Conformità non significa sicurezza

    London CityMolte aziende valutano l’opzione di certificarsi secondo alcuni standard per poter acquisire nuovi clienti.

    Alcuni manager presumono che la conformità a leggi, linee guida (come ad esempio ITIL) o standard industriali di qualità sia da sola sufficiente per garantire la sicurezza del sistema informativo.

    In realtà l’introduzione delle procedure e dei comportamenti previsti da leggi, standard o best practice è il punto di partenza per arrivare ad una sicurezza informatica accettabile.

    In una qualsiasi organizzazione l’adozione di uno standard industriale codificato comporta sicuramente un notevole sforzo economico in termini di corsi di aggiornamento, consulenze, documentazione, eccetera. A disponibilità di danaro costante, è ovvio che l’azienda che “si certifica” deve deviare il budget verso l’obbiettivo della certificazione, tralasciando altri aspetti di miglioramento aziendale. Prosegui la lettura  Post ID 11524



  • Data Centre in scatola

    Data Centre in a shoeboxAgli eventi del VMUG IT c’è sempre qualcosa da imparare.

    Tra i panel della VMUGIT User Conference dello scorso 7 maggio ce n’era uno di Chris Roeleveld e Dennis Hoegen Dijkhof in cui spiegavano le differenze sul campo tra i dischi rotanti e i dischi SSD. Apparentemente nulla di nuovo, senonché la presentazione è avvenuta con l’ausilio del gioiellino geek ritratto qui a fianco.

    Si tratta di un cluster VMware con tre nodi e uno storage condiviso.

    Chris e Dennis hanno utilizzato delle Intel NUC D54250WYB, vere e proprie micro motherboard con un Core i5 4250U, una porta SATA, due USB 3.0, altrettanti USB 2.0 e un’altra manciata di porte.

    I rack arancioni visibili nella foto sono stati realizzati con una stampante 3D.

    Visto l’hardware in gioco, non stiamo certo parlando di performance stellari, ma è la dimostrazione che si può mettere in pochissimo spazio un sistema VMware con consumi di corrente assai ridotti e con caratteristiche di ridondanza analoghe ai sistemi che girano su hardware molto più potente e carrozzato.



  • DoS tramite SNMP

    Movimento merci / Freight trains control roomDopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.

    Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.

    Utilizzando SNMP con un pacchetto di poco meno di 100 byte modificato ad arte con un mittente contraffatto è possibile ottenere una risposta di circa 60k, la cui banda è a carico del dispositivo esposto a Internet e non dell’attaccante (reflection). Prosegui la lettura  Post ID 11508



  • Quanto vale un computer hackerato?

    Norton Antivirus 4.0Mikko Hyppönen ha spiegato che il malware viene scritto principalmente per tre motivi: soldi, attivismo politico e lotta tra Stati.

    Spesso le persone che non seguono le vicende della parte oscura di Internet non riescono a capire come un computer infetto possa valere dei soldi. La risposta breve è: mercato.

    Una regola fondamentale dell’economia dice che il prezzo si forma con l’incontro tra domanda e offerta, quindi ci devono essere delle organizzazioni criminali disposte a pagare del danaro per assumere il controllo di un computer senza che il possessore o l’amministratore lo sappia.

    Ernest J. Hilbert di Kroll ha stimato quanto possa essere il valore in termini di somma di risparmi e potenziali profitti per i malviventi per alcune tipologie di utilizzi fraudolenti. Prosegui la lettura  Post ID 11483