SIAMO GEEK

Categoria: Internet

  • Usare Internet Explorer è un rischio

    Evitate Internet Explorer. Usate il browser che più vi piace, usatene due, tre contemporaneamente, fate telnet sulla porta 80, tirate fuori Mosaic dalla naftalina… Ma evitate Internet Explorer.

    Secondo alcune persone ci sono siti che si aprono solamente con Explorer; può essere vero, ma quand’è l’ultima volta che avete fatto dei test? Browser e siti vengono aggiornati quasi settimanalmente e questi test dovrebbero essere ripetuti periodicamente prima di dichiarare la non-compatibilità.

    Il problema di Internet Explorer è la quantità di vulnerabilità note che Microsoft decide scientemente di non correggere.

    In pratica, se si usa quel browser si decide di utilizzare un programma di cui sono note le vulnerabilità a chi vi vuole attaccare, il quale avrà gioco facile a fare quello che vuole con il vostro PC. Spesso abbiamo dato conto anche qui dei vari problemi di Explorer, ma ad un certo punto la cosa non fa più notizia e si rischia l’effetto copia-e-incolla.

    Bromium Labs ha dimostrato con uno studio [PDF] la pericolosità di Internet Explorer: il risultato è che nel primo semestre di quest’anno le vulnerabilità di Explorer sono raddoppiate, a fronte di un crollo di quelle di Java e una diminuzione sostanziale di quelle di Flash e Adobe Reader.

    Usare Internet Explorer per la navigazione generale (ovvero non in maniera specifica con quei siti che richiedono espressamente il browser di Microsoft) è un comportamento molto rischioso.

  • Code Spaces

    codespacesCode Spaces era un servizio di ospitazione di sorgenti software e gestione progetti.

    Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda.

    Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di ridondanza per garantire l’uptime, ma, come sanno i professionisti del settore, la ridondanza non ha nulla a che fare con i backup e, soprattutto, con i restore.

    Secondo il sito, un malvivente avrebbe guadagnato l’accesso al pannello di controllo di EC2 e avrebbe lasciato dei messaggi in cui, sostanzialmente, chiedeva un riscatto in danaro.

    Quando i legittimi proprietari del sito hanno cambiato le password di accesso al pannello è iniziata la fine: il malvivente aveva creato degli altri accessi di backup con i quali ha distrutto tutti i dati. (altro…)

  • Effetto Streisand

    elaborazione di AppFigures
    elaborazione di AppFigures

    Le persone che non conoscono uno strumento e pensano di imporre le loro regole a ciò che non conoscono finisco sempre sconfitte.

    Questa è una conclusione che si può trarre guardando la cronaca degli anni passati, ma tutti sanno che l’unica cosa che la Storia insegna è che nessuno impara dalla Storia. Uno degli effetti più eclatanti dell’ignoranza di uno strumento o della poca lungimiranza delle persone è il cosiddetto effetto Streisand.

    I taxisti sono bravi a guidare i taxi e a portare i clienti a destinazione, meno bravi nelle relazioni pubbliche

    A meno che non sia pagato dal titolare o dal cliente, l’utente quadratico medio non occasionale del taxi non è un giovane smanettone, ma una persona che, appunto, si può permettere un taxi al posto di un mezzo pubblico o di un passaggio di un amico o collega. Questa persona non conosce Uber, se non per sentito dire, ma non è uno stupido.

    Considerate ora una persona che apprende la notizia che i taxisti di tutta Europa fanno sciopero contro un programma gratuito che permette di risparmiare sui taxi. Qual è la reazione ovvia e immediata di questa persona? La risposta l’ha data AppFigures in un articolo sintetizzato con efficacia dall’immagine qui sopra.

    Con ciò non voglio entrare né nel merito del problema dei taxi né di quello sociale della perdita di lavoro a causa delle tecnologie. Uno dei problemi che vengono spesso taciuti da tutti è che i taxisti spesso fanno notevoli sforzi economici per comperare (googlare acquisto licenze taxi nero) una fetta di monopolio che si sta rivelando una promessa non mantenuta da parte di chi quel monopolio lo mantiene in forza di legge.

  • OpenSSL e software open

    Sono state scoperte e corrette altre sei vulnerabilità di OpenSSL. Enfasi su “corrette”.

    Dopo Heartbleed qualcuno ha dubitato della bontà del software open, altri hanno visto quel problema come un argomento a favore di una circolazione limitata dei sorgenti.

    Sono argomenti facilmente confutabili con l’esperienza della storia e le basi della sicurezza informatica.

    (altro…)

  • Protocolli S nella posta elettronica

    Alcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet.

    Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica.

    Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta in uscita) con il protocollo SMTP, i server parlano tra di loro in SMTP e alla fine un client scarica un messaggio con IMAP o POP3 (server di posta in arrivo).

    (altro…)

  • SMTP STARTTLS in crescita

    Un rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”.

    Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro.

    L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata utilizzando la medesima connessione TCP.

    (altro…)

  • DoS tramite SNMP

    Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.

    Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.

    (altro…)

  • MSIE + Flash = 0-Day

    Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.

    Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.

    La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook. (altro…)

  • Attenzione alle HP iLO

    Chi ha una HP iLO versione 1 o 2 esposta a Internet è vulnerabile ad un DoS.

    Le iLO 1 e 2 non sono vulnerabili a heartbleed, ma se sono oggetto di scansione per verificare la vulnerabilità crashano miseramente.

    Siccome la iLO è fatta per restare viva anche quando il server è spento (ma è ovviamente attaccata la corrente), l’unico metodo per riprendere una iLO crashata è staccare la spina (o le spine) del server, attendere che si scarichino i condensatori e riattaccare la spina.

    Chi pensa di essere al sicuro perché tanto l’URL della iLO esposta a Internet non è pubblicato è invitato a scrivere (ad esempio) "ilo" "Copyright 2008, 2013 Hewlett-Packard Development Company, L.P." (con le virgolette) nel campo di ricerca di Google.

    HP ha rilasciato un aggiornamento al firmware della iLO che corregge questo problema. La iLO2 aggiornata riporta la versione del firmware 2.25 del 14 aprile 2014.

    Anche se la iLO non è esposta a Internet è comunque consigliabile aggiornare il firmware.

    Ho appena aggiornato due iLO di due host VMware usando la funzione di aggiornamento via interfaccia web della iLO senza avere problemi e ovviamente senza dover riavviare il server. (via ISC)

  • Revoca dei certificati

    Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo.

    Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei dati) ed evita al client di dover decodificare un certificato di revoca.

    La verifica online di un certificato in molti contesti è il sistema migliore, specialmente in situazioni come quella creata da Heartbleed in cui i certificati vengono revocati velocemente a causa della compromissione di quelli vecchi. Tuttavia questo metodo non è esente da problemi, in quanto il server che gestisce le revoche potrebbe essere non raggiungibile oppure il browser potrebbe essere tratto in inganno ed utilizzare un server configurato ad arte. (altro…)

  • Tails

    TailsTails è una distribuzione Linux basta su Debian che mette in primo piano la sicurezza e la privacy dell’utente.

    Una volta scaricato l’ISO la soluzione più pratica è creare una chiavetta USB avviabile.

    All’avvio si può scegliere l’opzione di utilizzare un tema del desktop simile a Windows XP per evitare di attirare troppo l’attenzione di curiosi, anche se con la fine del supporto di XP questa funzione diventa sempre meno utile; per default, Tails cerca di randomizzare il MAC address della scheda di rete utilizzata. (altro…)

  • L’infrastruttura

    Unable to connectDurante questo weekend di Pasqua ho trascorso un paio di giorni in una nota località turistica delle Alpi lombarde.

    Sabato 19 avevo la necessità di inviare via mail un allegato di 30.270 byte. Dal momento che ho una chiavetta dati con il mio fornitore di connettività cellulare (contratto business) ho pensato di utilizzare quella per connettermi a Internet e inviare l’allegato. Povero illuso. (altro…)