La vulnerabilità delle persone

Oggi vi racconterò quanto è facile impossessarsi del numero di telefono di un cliente del mio gestore telefonico.

Ho cambiato telefono (a causa della morte improvvisa del precedente) e mi sono trovato a dover cambiare SIM dalla micro-sim alla nano-sim.

Mi reco quindi in un negozio del mio gestore…

Leggi tutto “La vulnerabilità delle persone”

Sotto stretta sicurezza

In questo blog si è parlato in abbondanza di HTTPS e a piena ragione: la sicurezza dei nostri dati è una cosa importante che non va presa alla leggera.
Non ci stancheremo di ripetere che la privacy è un diritto di tutti e, di conseguenza, è un dovere della comunità IT fare tutto il possibile per renderla tecnicamente fattibile.

Il protocollo HTTPS è un passo in questa direzione: Google non è stata la prima a impegnarsi in questo senso, ma il suo peso specifico nel panorama tecnologico fa sì che ogni suo movimento sia il più rilevante, nonché quello che riceve la più ampia risonanza.
Questo post sul loro blog di sicurezza ha fatto notizia ed è una delle dichiarazioni giustamente più citate.
In particolare, mi piace focalizzare l’attenzione sulla immagine che mi sembra la più rappresentativa: un giorno tutte le pagine HTTP saranno trattate come Not secure. Ovvero, non sarà più HTTPS a essere una sicurezza in più, ma HTTP a esserne una in meno! Leggi tutto “Sotto stretta sicurezza”

Java e Firefox

Dalla versione 52 di Firefox è stato notevolmente ridotto il supporto di NPAPI, la tecnologia utilizzata dai plugin Java e Flash.

Se questa è una buona notizia per gli utenti normali, è altrettanto una iattura per gli amministratori di sistemi che utilizzano ancora Java. Leggi tutto “Java e Firefox”

Riciclare gli imballi

Spesso le ditte che ricevono e spediscono materiale riciclano gli imballi e il materiale protettivo di riempimento.

Questo è un comportamento lodevole per i costi aziendali e, in ultima analisi per l’ambiente, ma se viene fatto nel modo sbagliato i costi possono superare di gran lunga i benefici. Leggi tutto “Riciclare gli imballi”

Adobe Acrobat per Chrome

L’aggiornamento di Acrobat Reader DC 15.023.20053 contiene molte correzioni di problemi della sicurezza e un regalo: l’opportunità di installare un plugin per Chrome, perché noi ci fidiamo di Adobe, vero?

NO!

Leggi tutto “Adobe Acrobat per Chrome”

Identificare il computer di un client http

Spesso crediamo che l’attivazione della modalità incognito o l’utilizzo di un browser differente siano sufficienti a proteggere l’identità di chi accede ad un sito.

Purtroppo è vero in alcuni casi, ma non in tutti. Leggi tutto “Identificare il computer di un client http”

Adware insidioso di Chrome

Questa mattina mi è capitato un caso di un malware abbastanza insidioso per Google Chrome, in questo caso per Windows.

Alla vittima si aprivano linguette di Chrome con finti avvisi di computer infetto e similari e pop-up modali JavaScript dello stesso tono.

Le ultime versioni di Kaspersky e AdwCleaner non riuscivano ad avere ragione del malware. Leggi tutto “Adware insidioso di Chrome”

Spam a colori

Diversi miei conoscenti, in numero basso ma comunque preoccupante, mi hanno contattato, pressoché nella stessa giornata, chiedendomi lumi su dei messaggi di posta elettronica che sospettavano essere phishing, ma che erano passati liberi e belli attraverso i filtri anti-spam. Tagliando corto, adesso bisogna fare anche l’analisi cromatica… Leggi tutto “Spam a colori”

PowerShell: l’oggetto PSCredential

L’oggetto PSCredential di PowerShell è un modo comodo per registrare le credenziali e utilizzarle in diverse parti di uno script.

Questo è un modo relativamente sicuro per registrare login e password. Molta enfasi su relativamente. Leggi tutto “PowerShell: l’oggetto PSCredential”

Fatevi un favore e #SupportLetsEncrypt

Non è la prima volta che se ne parla, vale la pena ripeterlo.

La privacy è una cosa importante ed è un diritto inalienabile: HTTPS aiuta a mantenerla nella nostra vita online, un luogo in cui passiamo sempre più tempo e svolgiamo sempre più attività.

Let’s Encrypt è una Certification Authority gratuita, automatica e aperta. Non è di proprietà di nessuna azienda, ma opera nell’ambito della Linux Foundation ed è una organizzazione 501(c)
Il suo scopo è appunto fornire certificati digitali semplici da usare per arrivare a un 100% encrypted web. Leggi tutto “Fatevi un favore e #SupportLetsEncrypt”

L’Internet delle cose hackerate

Nel gennaio 2014 scrivevo a proposito dell’Internet delle cose insicure.

In fondo all’articolo citavo una notizia, rivelatasi al tempo infondata, di un botnet di 100.000 frigoriferi connessi.

Purtroppo non abbiamo dovuto attendere molto prima che qualcuno lo facesse davvero, così lo scorso settembre il blog di Brian Kerbs è stato attaccato con un DDoS di 630 Gbs, una potenza di fuoco doppia rispetto al DoS più potente registrato prima di quell’evento. Leggi tutto “L’Internet delle cose hackerate”

Corriere e Gazzetta KO a ferragosto

gazzaVerso le otto e mezza di questa mattina il sito della Gazzetta mostrava una pagina nera con una GIF animata e del testo in inglese e il sito del Corriere restituiva un errore 403.

corriere

Una rapida analisi rivelava che i due domini (ma non quelli di altre testate del gruppo) avevano subito un DNS hijacking. Leggi tutto “Corriere e Gazzetta KO a ferragosto”

Le email ai tempi del ransomware

Credo che oramai più o meno tutti gli utenti un minimo esperti abbiano capito cosa è un ransomware e anche che non si clicca mai su link o files allegati a email che contengono informazioni inesatte (numeri di partita iva errati, codici cliente errati, ecc) o incomplete (nessuna indicazione del nome dell’azienda o della persona a cui è destinata la mail, per esempio, ma un semplice “Spett.le utente@dominio.tld, ecco la sua fattura in allegato”).

Leggi tutto “Le email ai tempi del ransomware”

Tecnica anti-anti-phishing

Poco fa ho ricevuto una mail di phishing con l’aspetto di una comunicazione di una nota banca italiana.

Copio l’URL verso cui voleva farmi andare la mail, lo visito in incognito per verificare se sia già bloccato.

Visto che non era ancora bloccato, decido di segnalarlo a Google e a Netcraft. Leggi tutto “Tecnica anti-anti-phishing”

SSLv3 e RC4 con i server SMTP di Google

Google ha annunciato che dal prossimo 16 giugno bloccherà le connessioni SMTP cifrate con SSLv3 e RC4.

Questo potrebbe avere qualche impatto di poco conto sugli utenti e qualche piccola ripercussione per chi invia la mail da altri fornitori. Leggi tutto “SSLv3 e RC4 con i server SMTP di Google”

Protocollo 1 di OpenSSH

Damien Miller ha annunciato il percorso di obsolescenza del protocollo 1 nel pacchetto OpenSSH, il software open del client e server SSH.

In questo momento ci sono due protocolli SSH. SSH-1 è il protocollo originale creato nel 1995 da Tatu Ylönen; SSH-2 è un protocollo adottato a partire dal 2006 ed è incompatibile con SSH-1. Leggi tutto “Protocollo 1 di OpenSSH”

Obsolescenza di SHA-1

I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1.

I maggiori produttori di browser hanno delineato i passi che porteranno i certificati con hash SHA-1 a non essere più considerati attendibili. Leggi tutto “Obsolescenza di SHA-1”