SIAMO GEEK

Autore: Luigi Rosa

  • Password “comuniste”

    Nicola Porro ha sfogato la sua frustrazione nel suo blog in merito alla complessità delle password imposte.

    Non essendo un giornalista tecnico che scrive abitualmente in temi di sicurezza, possiamo, con presunzione di innocenza, classificare quell’articolo come uno sfogo a livello di chiacchiera da bar.

    Purtroppo questo episodio è esemplificativo dell’ignoranza (etimologica) in materia di sicurezza informatica e di valore dei dati che accomuna molte professioni.

    Il concetto più comune che viene urlato è “l’account è mio e la password la decido io”. (altro…)

  • Controllate il vostro NTP

    CloudFlare è stato attaccato con un pesante DDoS basato su un baco dell’implementazione di NTP.

    Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd per amplificare un attacco di DDoS. Al momento della pubblicazione dell’articolo già molte distribuzioni aggiornate di Linux erano indenni da questo problema, ma rimanevano comunque una gran quantità di server vulnerabili.

    Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.

    Le versioni di ntpd dalla 4.2.7 compresa in su non hanno più la funzione monlist; nelle vecchie versioni si può utilizzare l’opzione noquery in ntp.conf.

    Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.

    Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.

  • DuckDuckGo

    DuckDuckGoDuckDuckGo è un motore di ricerca che garantisce l’anonimato e offre alcune feature interessanti.

    L’anonimato è il punto fondamentale del motore: DuckDuckGo non traccia la storia delle ricerche effettuate da un singolo utente e, quindi, non profila gli utenti e le loro ricerche basandosi su ciò che hanno cercato. Come ha rilevato Mikko Hyppönen, la cronologia delle ricerche effettuate da ciascuno può essere utilizzata per incriminarlo o comunque imbarazzarlo.

    Il motore di ricerca permette di salvare le impostazioni, ma in maniera assolutamente anonima e volontaria; in ogni caso non viene salvata la cronologia dei termini cercati. Il tutto è protetto da una password, che non può essere recuperata se viene dimenticata, in quanto non viene registrata nessuna informazione che identifica l’utente.

    Tutte caratteristiche degne di nota, ma c’è  di più: una cornucopia di funzioni utili a geek, smanettoni e curiosi. (altro…)

  • Testo nelle immagini

    Naked Security illustra i dettagli di un tipo di attacco molto subdolo.

    Si tratta di nascondere un codice JavaScript nei pixel di un’immagine a toni di grigio; una versione modificata ad arte di jQuery è in grado di decodificare i dati contenuti nel file ed eseguirli come JavaScript.

    Questo metodo potrebbe evadere molti, se non tutti, tipi di scansione perché il codice JavaScript non è riconoscibile come pattern.

    Incuriosito da questa tecnica, ho provato a ricreare il metodo per codificare e decodificare un testo in un’immagine PNG. (altro…)

  • Il provider non è responsabile per i reati commessi dagli utenti

    Nel novembre 2006 la polizia postale contestava a Google il reato di violazione della privacy perché un utente aveva caricato un video su YouTube che ritraeva un minore disabile malmenato.

    La contestazione di per sé poteva sembrare strana a chi conosce come funziona il sistema, ma in primo grado i giudici avevano condannato David Carl Drummond (presidente del CDA di Google Italia all’epoca dei fatti), George De Los Reyes (membro del CDA di Google Italia all’epoca dei fatti) e Peter Fleischer (responsabile delle strategie sulla privacy per l’Europa di Google) a sei mesi di reclusione con la sospensione condizionale della pena.

    (altro…)

  • Dodecalogo per le PMI

    Allen Scott di F-Secure ha pubblicato un elenco di dodici punti per migliorare la sicurezza delle PMI.

    Alcune regole sono state illustrate anche in altri articoli di questo blog; l’elenco che segue le raccoglie in maniera organica a beneficio di chi vuole realizzare una checklist. (altro…)

  • Se l’attacco è mirato

    Le mail di phishing arrivano quasi quotidianamente, nonostante le protezioni antispam e alcune sono talmente grossolane da strapparci qualche secondo di ilarità.

    La storia cambia notevolmente se una persona o un’organizzazione viene presa di mira con un attacco mirato, detto tecnicamente spear phishing.

    A differenza del phishing che pesca a strascico (come le notifiche da banche in cui non solo non abbiamo un conto, ma di cui ignoriamo l’esistenza), un attacco mirato avviene al termine di un’indagine sulla vittima.

    (altro…)

  • Per non dimenticare

    Quest’anno la NASA ha fissato per il 31 gennaio il giorno della memoria dei caduti delle missioni spaziali, lo scorso anno era stato il primo febbraio.

    Il Day of Remembrance è stato istituito nel 2004 per ricordare le persone cadute nel compimento del loro dovere nel campo dell’esplorazione spaziale americana.

    Apollo 1, 27 gennaio 1967

    Space Shuttle Challenger STS-51, 28 gennaio 1986

    Space Shuttle Columbia STS-107, 1 Febraio 2003

    Durante questa giornata verranno ricordate anche tutte le persone che hanno lavorato per la NASA e sono morte in incidenti di addestramento o di manutenzione, incidenti automobilistici e l’equipaggio dell’elicottero che è morto durante le ricerche dei resti del Columbia.

  • Motorola, Google e i brevetti

    Nel 2011 Google aveva acquisito Motorola per 12,4 miliardi di dollari.

    La mossa aveva fatto alzare non poche sopracciglia, dal momento che Google rischiava di entrare in concorrenza con alcuni suoi clienti (tra cui HTC e Samsung) nel campo della produzione di hardware per telefonia mobile.

    Dopo due anni e mezzo BigG rivende Motorola a Lenovo per 2,91 miliardi, una settimana dopo che Lenovo si era aggiudicata la fascia x86 dei server IBM per 2,3 miliardi di dollari.

    E gli altri 9,49 miliardi?

    (altro…)

  • Finto FileZilla che ruba le credenziali

    FileZillaavast! ha scoperto una versione modificata di FileZilla che ruba le credenziali e le trasmette ad un server gestito da malviventi.

    Le versioni modificate hanno numero di release 3.7.3 e 3.5.3, si possono riconoscere essenzialmente in due modi: non eseguono l’auto-aggiornamento e le informazioni nella finestra di About sono diverse. Queste versioni sono perfettamente funzionanti e, se utilizzate, non presentano altre differenze rispetto alla versione legittima del programma.

    (altro…)

  • eBook per tutti

    Mi hanno sempre fatto sorridere le posizioni aprioristiche e snob contro i libri elettronici, ma non è una novità.

    Quello che cerco in un libro è la lettura, il supporto è irrilevante. E non parlatemi di cose come il profumo del libro nuovo che è un nome poetico per identificare i vari composti del processo industriale di stampa: tanto vale sniffare colla e trielina.

    Spianato il campo dai dubbi, a un mese dalle feste di fine anno ho potuto toccare con mano cosa vuol dire consigliare un libro elettronico a due persone che non interagiscono con la tecnologia, usano poco i computer e amano la lettura.

    (altro…)

  • 1984

    1984«Today we celebrate the first glorious anniversary of the Information Purification Directives.
    We have created for the first time in all history a garden of pure ideology, where each worker may bloom, secure from the pests of any contradictory true thoughts.
    Our Unification of Thoughts is more powerful a weapon than any fleet or army on earth.
    We are one people, with one will, one resolve, one cause.
    Our enemies shall talk themselves to death and we will bury them with their own confusion.
    We shall prevail!»
    On January 24th Apple Computer will introduce Macintosh. And you’ll see why 1984 won’t be like 1984.

    Questo è il testo del celebre spot di Apple (video) andato in onda sulla CBS il 22 gennaio 1984 durante il XVII SuperBowl.

    Il Grande Fratello (non scherziamo: si fa riferimento al romanzo di Orwell) del periodo era IBM, il nemico di tutti in quegli anni.

    In ossequio alla frase when you become obsessed with the enemy, you become the enemy (Jeffrey Sinclair, Infection), negli anni successivi Apple non è diventata esattamente un modello di apertura.

    (altro…)