SIAMO GEEK

Autore: Luigi Rosa

  • Nuove politiche per MSIE

    Microsoft ha annunciato una serie di novità per il supporto di Internet Explorer.

    I tempi potrebbero sembrare geologici, ma questi cambiamenti hanno profonde ripercussioni nelle organizzazioni multinazionali che utilizzano Internet Explorer come frontend per le procedure interne.

    A partire dal 12 gennaio 2016 solamente le ultime versioni di Internet Explorer per ciascuna piattaforma riceveranno supporto e aggiornamenti. La decisione è decisamente sensata, in quanto limita la complessità del supporto e riduce i vettori di attacco verso i client.

    Allo stato attuale, le ultime versioni disponibili per le varie piattaforme sono:

    • Windows Vista SP2: Internet Explorer 9
    • Windows Server 2008 SP2: Internet Explorer 9
    • Windows Server 2012: Internet Explorer 10
    • Windows 7 SP1: Internet Explorer 11
    • Windows Server 2008 R2 SP1: Internet Explorer 11
    • Windows 8.1: Internet Explorer 11
    • Windows Server 2012 R2: Internet Explorer 11

    (altro…)

  • SpiderOak

    SpiderOakSpiderOak è un servizio di storage online.

    A differenza di molti altri nomi noti (uno per tutti: DropBox), SpiderOak implementa il principio della conoscenza zero (zero-knowledge) dei dati lato server, in quanto sui loro server tutte le informazioni sono registrate in modo cifrato, la chiave non è nota a SpiderOak e le password non sono salvate sui loro server. Questo fa sì che nessuno in SpiderOak può rivelare a terzi il contenuto dei dati registrati.

    All’atto della creazione di un account in SpiderOak, viene generata una coppia di chiavi di cifratura protette da una password nota solamente all’utente che verranno utilizzate per cifrare il traffico da/per SpiderOak. Questa tecnologia permette di avere il massimo della privacy, ma ha due aspetti che bisogna considerare con attenzione. Il primo è che la forza delle chiavi dipende anche dalla piattaforma su cui vengono generate; l’ideale sarebbe utilizzare un Linux, o comunque un computer fidato. Il secondo aspetto è che non è possibile in alcun modo recuperare una password dimenticata: se si dimentica la password di sblocco delle chiavi (che è anche la password dell’account), i dati sono persi per sempre (o fino a quando qualcuno non riesce a decifrarli con un attacco a forza bruta). (altro…)

  • Il traffico di Facebook

    Qualcuno si è accorto che verso le 18:00 di oggi Facebook è andato down e ci è restato per circa 30 minuti.

    Per farmi un’idea della misura di questo down sono andato a vedere le statistiche di traffico IPv4 del MIX che, ad oggi, interconnette 145 ISP e 37 carrier:

    Traffico IPv4 del MIX

    Quello scalino da 20 Gbit/sec coincide con il down di Facebook. E stiamo parlando di parte del traffico italiano.

    Aggiornamenti dopo la pubblicazione iniziale:

    • 1/8/2014 22:50 sostituzione del grafico con uno catturato in seguito per meglio evidenziare il calo di traffico

     

  • Zero Day in Symantec Endpoint Protection

    I ricercatori di Offensive Security hanno scoperto alcune vulnerabilità in Symantec Endpoint Protection.

    Per il momento l’organizzazione ha deciso di non pubblicare il codice per sfruttare queste vulnerabilità, ma si è limitata a pubblicare un video dove si vede un Windows 7 32 bit SP1 aggiornato con installato l’ultima versione 12.1.4100.4126 aggiornata del software di Symantec in cui un utente non privilegiato esegue uno script in Python per guadagnare il privilegio di SYSTEM.

    Symantec è al corrente del problema e sta investigando. Non ci sono notizie per ora di programmi che possano sfruttare questa vulnerabilità per attaccare un computer.

    Un problema in un software di questo tipo è molto serio, per di più Symantec Endpoint Protection è molto utilizzato anche nelle grosse organizzazioni.

    Il consiglio che vale per tutti, indipendentemente dall’antivirus installato, è che un software di protezione non garantisce l’immunità completa, sia per la grande varietà di malware in circolazione, sia per l’ovvia regola che esce prima il virus della definizione dell’antivirus. (via ISC)

    Security Focus ha assegnato al problema l’ID 68946.

    Aggiornamenti dopo la pubblicazione iniziale

    • Aggiunto link all’articolo di Security Focus

     

  • Usare Internet Explorer è un rischio

    Evitate Internet Explorer. Usate il browser che più vi piace, usatene due, tre contemporaneamente, fate telnet sulla porta 80, tirate fuori Mosaic dalla naftalina… Ma evitate Internet Explorer.

    Secondo alcune persone ci sono siti che si aprono solamente con Explorer; può essere vero, ma quand’è l’ultima volta che avete fatto dei test? Browser e siti vengono aggiornati quasi settimanalmente e questi test dovrebbero essere ripetuti periodicamente prima di dichiarare la non-compatibilità.

    Il problema di Internet Explorer è la quantità di vulnerabilità note che Microsoft decide scientemente di non correggere.

    In pratica, se si usa quel browser si decide di utilizzare un programma di cui sono note le vulnerabilità a chi vi vuole attaccare, il quale avrà gioco facile a fare quello che vuole con il vostro PC. Spesso abbiamo dato conto anche qui dei vari problemi di Explorer, ma ad un certo punto la cosa non fa più notizia e si rischia l’effetto copia-e-incolla.

    Bromium Labs ha dimostrato con uno studio [PDF] la pericolosità di Internet Explorer: il risultato è che nel primo semestre di quest’anno le vulnerabilità di Explorer sono raddoppiate, a fronte di un crollo di quelle di Java e una diminuzione sostanziale di quelle di Flash e Adobe Reader.

    Usare Internet Explorer per la navigazione generale (ovvero non in maniera specifica con quei siti che richiedono espressamente il browser di Microsoft) è un comportamento molto rischioso.

  • Festeggiate i SysAdmin

    keep-calm-and-call-a-sysadminOggi ricorre l’annuale System Administrator Appreciation Day.

    Ci sono tante definzioni di SysAdmin, traducibile in italiano con sistemista; uno dei modi per capire se un tecnico informatico è anche un vero SysAdmin è vedere se quella persona “ci tiene” a che le cose vadano bene e che tutto funzioni come si deve.

    Spesso, però, le azioni che il SysAdmin fa per fare andar bene le cose sono comprensibili solamente ad altri colleghi, anche perché è impossibile spiegare a non addetti ai lavori una frase tipo “script bash che monitora la porta TCP e restarta il demone se non risponde entro un timeout”.

    Il lavoro del SysAdmin spesso è paragonabile alla manutenzione delle fognature: non se ne accorge nessuno finché le cose funzionano, ma quando qualcosa non va…

    Prima o poi i sistemisti domineranno la Terra, nel frattempo oggi offrite almeno un caffè al vostro SysAdmin.

  • Problemi di sicurezza per Tails

    TailsTails è una distribuzione Linux basata su Debian che permette di ridurre la tracciabilità di chi la utilizza.

    Dopo che sono state segnalate alcune vulnerabilità, il team di Tails ha rilasciato la versione 1.1. In questo momento è assolutamente sconsigliabile utilizzare versioni di Tails minori della 1.1, anche se la procedura di aggiornamento automatico dalla versione 1.0.1 alla 1.1 non è disponibile.

    Ieri sono state segnalate altre vulnerabilità della versione 1.1, questa volta nel pacchetto I2P. Il programma non viene avviato automaticamente, quindi chi non lo utilizza non è a rischio. C’è la possibilità che una pagina web creata ad arte utilizzi I2P. In una nota il team di Tails consiglia di disinstallare I2P per avere il massimo della protezione.

    Dal momento che non è possibile aggiornare automaticamente alla versione 1.1, se si utilizza una chiavetta con dei dati persistenti, è necessario installare Tails 1.1 su un altro supporto e aggiornare la chiavetta USB di lavoro selezionando l’opzione Clone and upgrade dell’installer di Tails. Questa opzione non cancella i dati persistenti, anche se è necessario reimpostare eventuali password delle reti WiFi che sono state salvate.

    Aggiornamenti:

    • 27/7/2014 Modificato il paragrafo relativo alla vulnerabilità di I2P.

  • Attenzione alle finte richieste via mail

    Ho notato un ritorno di fiamma delle mail con allegati compressi con ZIP che contengono eseguibili mascherati.

    L’ultimo di questa mattina ha come presunto mittente comunicazioni@staff.aruba.it e come oggetto Invio copia bollettino. Anche il testo è abbastanza verosimile e privo di errori evidenti che caratterizzavano i primi tentativi di questo tipo, non fosse altro che non ho debiti pendenti con la ditta di Arezzo:

    Gentile cliente,
    come da lei richiesto in allegato potrà trovare copia del bollettino postale con cui effettuare il pagamento.

    Saluti
    ______________________________
    Aruba S.p.A.
    Servizio Clienti - Aruba.it
    http://www.aruba.it
    http://assistenza.aruba.it
    Call center: 0575/0505
    Fax: 0575/862000
    ______________________________

    Prima di buttare la mail ho voluto fare qualche analisi. (altro…)

  • Esempio di non-sicurezza di Windows XP

    Windows XP è duro a morire: molte persone non vogliono cambiare, altre non possono farlo.

    XP ha tanti problemi noti che non verranno mai più corretti. Mai più.

    Ieri KoreLogic ha pubblicato due esempi (qui e qui) ben documentati di un baco di XP che non verrà mai più corretto. Ovviamente gli esempi contengono anche una proof of concept ovvero un metodo che tutti possono applicare ad un’installazione di Windows XP per verificare l’esistenza della vulnerabilità.

    Si tratta di un problema di elevamento di privilegio, ovvero un problema che permette ad un utente normale di acquisire i diritti amministrativi della macchina anche se non conosce la password di un utente di livello Administrator.

    In questo caso non tutti i mali vengono per nuocere, infatti si può utilizzare uno dei due script in Python per guadagnare il livello di Administrator in un XP di cui si sono perse le credenziali amministrative senza utilizzare un CD con Linux con il programma che azzera la password di Administrator.

    Esempi come questi dimostrano che oramai Windows XP va trattato dal punto di vista della sicurezza come un sistema operativo in cui tutti possono fare tutto, alla pari di MS-DOS o Windows 95/98.

  • Prima versione di LibreSSL

    LibreSSLÈ stata rilasciata la prima versione di LibreSSL, aggiornata oggi alla 2.0.1.

    LibreSSL si propone come rimpiazzo di OpenSSL dopo i problemi iniziati con heartbleed. Il team di BSD ha avviato il progetto con l’intenzione di produrre un codice meno fumoso, più stabile e sicuro.

    Il codice di OpenSSL ha sulle spalle una lunga storia di compatibilità verso il basso che ha trasformato il codice in qualcosa di poco gestibile e prono agli errori.

    LibreSSL ha tolto di mezzo la compatibilità con piattaforme non più utilizzate in produzione, come MS-DOS, VMS, NetWare, Windows a 16 bit, Windows NT e OS/2 e con essa un sacco di problemi.

    Di fatto OpenSSL utilizza un C compatibile con ogni compilatore possibile da quello dell VMS al QuickC 1.5 all’ultimo gcc, con il risultato che deve reinventare al proprio interno il fuoco, la ruota e l’acqua calda. Una delle conseguenze di tutto ciò è che OpenSSL ha una propria libreria di allocazione della memoria che non è controllabile dal sistema operativo o dai normali tool di debug, ma ha una propria serie di API per fare il debug della gestione della memoria.

    (altro…)

  • Un pizzico di sale

    Bruce Schneier ricorda per l’n-sima volta che, quando richiesto, è il caso di salare gli algoritmi di hash.

    Di solito gli algoritmi di hash si usano per rappresentare con un valore gestibile (un numero) qualcosa che o non si vuole scrivere in chiaro (una password, un dato personale) oppure si vuole rappresentare in maniera compatta per una comparazione o ricerca più veloce. Ovviamente il secondo caso non deve essere salato e ci arrivano tutti a capire il motivo.

    Spesso la funzione di hash è surgettiva, ma le collisioni sono un male accettabile e, per quanto riguarda le password, può anche andare bene che sia tale, in quanto il rischio che, mettendo una password casuale, si ottenga una collisione è tollerabile.

    (altro…)

  • Code Spaces

    codespacesCode Spaces era un servizio di ospitazione di sorgenti software e gestione progetti.

    Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda.

    Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di ridondanza per garantire l’uptime, ma, come sanno i professionisti del settore, la ridondanza non ha nulla a che fare con i backup e, soprattutto, con i restore.

    Secondo il sito, un malvivente avrebbe guadagnato l’accesso al pannello di controllo di EC2 e avrebbe lasciato dei messaggi in cui, sostanzialmente, chiedeva un riscatto in danaro.

    Quando i legittimi proprietari del sito hanno cambiato le password di accesso al pannello è iniziata la fine: il malvivente aveva creato degli altri accessi di backup con i quali ha distrutto tutti i dati. (altro…)