Gli strumenti automatici di analisi sono molto (ab)usati nella sicurezza informatica perché permettono di ottenere in poco tempo report belli da vedere, molto dettagliati, pieni di di informazioni.
E clamorosamente sbagliati.
Continua a leggereCategoria: Sicurezza
Sicurezza informatica
-
La funzione “password dimenticata” è il male.
Una delle funzioni meno sicure di qualsiasi sito internet è quella di recupero password, e già questo dovrebbe fare sì che una simile funzione non esista; inoltre essa nasconde altre inside non ovvie…
(altro…) -
La password è salvata in chiaro? Semplice test.
In poche parole, per capire se qualcuno salva la vostra password in chiaro usate questa password:
SpiegazioneX5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* -
Calendario del fine supporto Microsoft nel 2020
Nel 2020 terminerà il supporto di alcuni prodotti Microsoft.
A differenza di altri anni, non ci sarà una data sola per il fine supporto, ma gli eventi saranno spalmati lungo tutto l’anno.
Quando un prodotto esce dal supporto non riceve più aggiornamenti di sicurezza, supporto tecnico e aggiornamenti per nuove vulnerabilità che dovessero essere scoperta dopo la data di fine supporto.
Ovviamente, pagando si può ottenere per alcuni prodotti quello che Microsoft chiama Extended Security Update (ESU), un servizio dedicato a chi è costretto a mantenere in vita gli zombie.
Vediamo le date relative ai prodotti più importanti.
(altro…) -
Computer! {CIRIIP!} Inizia a spiare l’utente.
Come fan di serie di fantascienza, Star Trek in primis, abbiamo sempre desiderato un computer in grado di interpretare le richieste vocali ed eseguirle.
Quello che Star Trek e altri non hanno previsto è il fatto che il computer non si facessi gli affari suoi.
Continua a legegre -
Fine dell’Extended Validation?
L’Extended Validation (EV) è un certificato SSL/TLS conforme a X.509 in cui viene garantita anche l’identità legale del titolare.
Quando si acquista un certificato TLS si hanno fondamentalmente tre opzioni.
Continua a leggere -
DNS over HTTPS
Siamo abituati a ritenere che la risoluzione dei nomi avvenga tramite una richiesta in chiaro con protocollo UDP sulla porta 53 di uno dei server specificati nella configurazione dell’host. Per estensione, siamo abituati a credere che se si controllano in un qualche modo i server DNS impostati in un host, si può controllare il modo in cui l’host accede a determinati nomi a dominio.
DoH (DNS over HTTPS) potrebbe cambiare le regole del gioco e le nostre granitiche certezze.
(altro…) -
Android: AT USB
Nei telefoni Android la porta USB svolge molte funzioni, dalla ricarica all’accesso si dati del dispositivo. Se il produttore ha abilitato la funzione, la porta USB può diventare una porta seriale secondo le specifiche USB CDC (Communication Device Class) ACM (Abstract Control Model). Una volta abilitata la seriale, possiamo dialogare con il dispositivo usando i cari vecchi comandi AT, uno standard inventato nel 1981 da Dennis Heyes, fondatore dell’omonima società produttrice di modem. In questo studio di Dave Tian, Grant Hernandez, Joseph I. Choi, Vanessa Frost e altri è stato dimostrato che attraverso questa interfaccia alcuni dispositivi potrebbero rivelare informazioni sensibili. (altro…) -
chmod -R 777, vRAM e vCPU
Cos’hanno in comune un comando *NIX e le caratteristiche di una macchina virtuale?
Dei fornitori pigri. (altro…)
-
Problemi ai microprocessori
All’inizio del 2018 è scoppiato il caso dei microprocessori interessati da un problema di accesso non autorizzato ad alcune aree di memoria del sistema.
I problemi principali, fin’ora, sono sostanzialmente due e vanno sotto il nome di MELTDOWN e SPECTRE. (altro…)
-
OpenSSH nativo per Windows 10
Dalla versione 1709, nota anche come Fall Creators, è possibile aggiungere il client e il server di OpenSSH nativi per Windows.
Si tratta delle versioni beta per quei software e, come tali, dovrebbero essere utilizzate con cautela, ma possono tornare utili in situazioni in cui si necessita di un client ssh e non si vuole installare software di terze parti. (altro…)
-
La vulnerabilità delle persone
Oggi vi racconterò quanto è facile impossessarsi del numero di telefono di un cliente del mio gestore telefonico.
Ho cambiato telefono (a causa della morte improvvisa del precedente) e mi sono trovato a dover cambiare SIM dalla micro-sim alla nano-sim.
Mi reco quindi in un negozio del mio gestore…