SIAMO GEEK

Categoria: Internet

  • Code Spaces

    codespacesCode Spaces era un servizio di ospitazione di sorgenti software e gestione progetti.

    Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda.

    Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di ridondanza per garantire l’uptime, ma, come sanno i professionisti del settore, la ridondanza non ha nulla a che fare con i backup e, soprattutto, con i restore.

    Secondo il sito, un malvivente avrebbe guadagnato l’accesso al pannello di controllo di EC2 e avrebbe lasciato dei messaggi in cui, sostanzialmente, chiedeva un riscatto in danaro.

    Quando i legittimi proprietari del sito hanno cambiato le password di accesso al pannello è iniziata la fine: il malvivente aveva creato degli altri accessi di backup con i quali ha distrutto tutti i dati. (altro…)

  • Effetto Streisand

    elaborazione di AppFigures
    elaborazione di AppFigures

    Le persone che non conoscono uno strumento e pensano di imporre le loro regole a ciò che non conoscono finisco sempre sconfitte.

    Questa è una conclusione che si può trarre guardando la cronaca degli anni passati, ma tutti sanno che l’unica cosa che la Storia insegna è che nessuno impara dalla Storia. Uno degli effetti più eclatanti dell’ignoranza di uno strumento o della poca lungimiranza delle persone è il cosiddetto effetto Streisand.

    I taxisti sono bravi a guidare i taxi e a portare i clienti a destinazione, meno bravi nelle relazioni pubbliche

    A meno che non sia pagato dal titolare o dal cliente, l’utente quadratico medio non occasionale del taxi non è un giovane smanettone, ma una persona che, appunto, si può permettere un taxi al posto di un mezzo pubblico o di un passaggio di un amico o collega. Questa persona non conosce Uber, se non per sentito dire, ma non è uno stupido.

    Considerate ora una persona che apprende la notizia che i taxisti di tutta Europa fanno sciopero contro un programma gratuito che permette di risparmiare sui taxi. Qual è la reazione ovvia e immediata di questa persona? La risposta l’ha data AppFigures in un articolo sintetizzato con efficacia dall’immagine qui sopra.

    Con ciò non voglio entrare né nel merito del problema dei taxi né di quello sociale della perdita di lavoro a causa delle tecnologie. Uno dei problemi che vengono spesso taciuti da tutti è che i taxisti spesso fanno notevoli sforzi economici per comperare (googlare acquisto licenze taxi nero) una fetta di monopolio che si sta rivelando una promessa non mantenuta da parte di chi quel monopolio lo mantiene in forza di legge.

  • OpenSSL e software open

    Sono state scoperte e corrette altre sei vulnerabilità di OpenSSL. Enfasi su “corrette”.

    Dopo Heartbleed qualcuno ha dubitato della bontà del software open, altri hanno visto quel problema come un argomento a favore di una circolazione limitata dei sorgenti.

    Sono argomenti facilmente confutabili con l’esperienza della storia e le basi della sicurezza informatica.

    (altro…)

  • Protocolli S nella posta elettronica

    Alcuni utenti credono che l’utilizzo di HTTPS possa da solo risolvere i problemi di tutela dei dati nelle comunicazioni Internet.

    Tralasciando i protocolli proprietari di app modaiole che non sono l’oggetto di questo articolo, molti dati viaggiano tramite la posta elettronica.

    Un messaggio di posta elettronica viene inviato dal client al primo server (server di posta in uscita) con il protocollo SMTP, i server parlano tra di loro in SMTP e alla fine un client scarica un messaggio con IMAP o POP3 (server di posta in arrivo).

    (altro…)

  • SMTP STARTTLS in crescita

    Un rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”.

    Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro.

    L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata utilizzando la medesima connessione TCP.

    (altro…)

  • DoS tramite SNMP

    Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.

    Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.

    (altro…)

  • MSIE + Flash = 0-Day

    Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.

    Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.

    La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook. (altro…)

  • Attenzione alle HP iLO

    Chi ha una HP iLO versione 1 o 2 esposta a Internet è vulnerabile ad un DoS.

    Le iLO 1 e 2 non sono vulnerabili a heartbleed, ma se sono oggetto di scansione per verificare la vulnerabilità crashano miseramente.

    Siccome la iLO è fatta per restare viva anche quando il server è spento (ma è ovviamente attaccata la corrente), l’unico metodo per riprendere una iLO crashata è staccare la spina (o le spine) del server, attendere che si scarichino i condensatori e riattaccare la spina.

    Chi pensa di essere al sicuro perché tanto l’URL della iLO esposta a Internet non è pubblicato è invitato a scrivere (ad esempio) "ilo" "Copyright 2008, 2013 Hewlett-Packard Development Company, L.P." (con le virgolette) nel campo di ricerca di Google.

    HP ha rilasciato un aggiornamento al firmware della iLO che corregge questo problema. La iLO2 aggiornata riporta la versione del firmware 2.25 del 14 aprile 2014.

    Anche se la iLO non è esposta a Internet è comunque consigliabile aggiornare il firmware.

    Ho appena aggiornato due iLO di due host VMware usando la funzione di aggiornamento via interfaccia web della iLO senza avere problemi e ovviamente senza dover riavviare il server. (via ISC)

  • Revoca dei certificati

    Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo.

    Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei dati) ed evita al client di dover decodificare un certificato di revoca.

    La verifica online di un certificato in molti contesti è il sistema migliore, specialmente in situazioni come quella creata da Heartbleed in cui i certificati vengono revocati velocemente a causa della compromissione di quelli vecchi. Tuttavia questo metodo non è esente da problemi, in quanto il server che gestisce le revoche potrebbe essere non raggiungibile oppure il browser potrebbe essere tratto in inganno ed utilizzare un server configurato ad arte. (altro…)

  • Tails

    TailsTails è una distribuzione Linux basta su Debian che mette in primo piano la sicurezza e la privacy dell’utente.

    Una volta scaricato l’ISO la soluzione più pratica è creare una chiavetta USB avviabile.

    All’avvio si può scegliere l’opzione di utilizzare un tema del desktop simile a Windows XP per evitare di attirare troppo l’attenzione di curiosi, anche se con la fine del supporto di XP questa funzione diventa sempre meno utile; per default, Tails cerca di randomizzare il MAC address della scheda di rete utilizzata. (altro…)

  • L’infrastruttura

    Unable to connectDurante questo weekend di Pasqua ho trascorso un paio di giorni in una nota località turistica delle Alpi lombarde.

    Sabato 19 avevo la necessità di inviare via mail un allegato di 30.270 byte. Dal momento che ho una chiavetta dati con il mio fornitore di connettività cellulare (contratto business) ho pensato di utilizzare quella per connettermi a Internet e inviare l’allegato. Povero illuso. (altro…)

  • Heartbleed: anche le password

    by heartbleed.comAncora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti.

    Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze sono ovvie.

    Il consiglio a tutti gli utenti è quello di cambiare al più presto TUTTE le password di Home Banking, Facebook, Google, LinkedIn, PayPal, Amazon e di tutti i vari servizi in giro sul web a cui siete iscritti (specie quelli in cui c’è movimento di denaro o dati di carte di credito) perché potrebbero essere state compromesse. E’ difficile ma dobbiamo presumere per sicurezza che sia stato fatto.

    Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI! Se craccano il servizio esterno mettete in pericolo pure l’infrastruttura dove lavorate. Se l’avete fatto in passato occorre cambiare anche quella password (supponendo che le regole interne non vi obblighino già a farlo regolarmente).

    Mai, mai, mai, mai utilizzare la stessa password su più siti diversi. MAI! Se viene compromesso un sito possono (anzi lo fanno di sicuro) provare a vedere se lo stesso account è presente su altri servizi.

    Ad esempio se vi catturano la password di Facebook che mettiamo sia uguale a (esempio assurdo) quella del vostro Home Banking pensate che di essere al sicuro?

    Avere password differenti è importante, pensate al vostro portachiavi. Avete un unica chiave oppure una chiave per ogni porta che dovete aprire?

    Per quanto riguarda la complessità della password… lasciamo stare la teoria che vorrebbe password lunghe chilometri con ghirigori, maiuscole, minuscole, numeri, simboli, giravolte, sbirigudi ed antani. Proteggiamo pesantemente  (magari con l’autenticazione multipla e con SMS di avviso) l’account che per voi è fondamentale. Quello su cui magari vi arrivano le notifiche dagli altri account e tramite il quale possono accedere agli altri servizi. Per gli altri servizi si può utilizzare una password più semplice da ricordare (ATTENZIONE: semplice non significa banale o completamente idiota) e magari dove disponibile attivare sempre l’autenticazione multipla.

    Per fare un esempio recentemente è saltata fuori la storia di un giornalista a cui hanno rubato tutti gli account semplicemente perché sono riusciti ad introdursi nella sua posta elettronica. Una volta preso il controllo delle mail gli hanno cambiato le password di tutto, rubato gli account Twitter, Facebook, Google+ e i domini Internet dei propri siti web. Fate voi.

    E se pensate “a me non succederà mai perché chi vuoi che mi attacca a me” siete le vittime perfette. Pensate che la maggior parte di questi attacchi non sono mirati ma fatti con script automatici. A loro non interessa chi siete ma solo i vostri account.

    L’ho già detto “Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI!” ? Ve lo ridico giusto per essere sicuri.

    Fine del pippone.