DNS over HTTPS

Siamo abituati a ritenere che la risoluzione dei nomi avvenga tramite una richiesta in chiaro con protocollo UDP sulla porta 53 di uno dei server specificati nella configurazione dell’host. Per estensione, siamo abituati a credere che se si controllano in un qualche modo i server DNS impostati in un host, si può controllare il modo in cui l’host accede a determinati nomi a dominio.

DoH (DNS over HTTPS) potrebbe cambiare le regole del gioco e le nostre granitiche certezze.

Leggi tutto “DNS over HTTPS”

Android: AT USB

Nei telefoni Android la porta USB svolge molte funzioni, dalla ricarica all’accesso si dati del dispositivo. Se il produttore ha abilitato la funzione, la porta USB può diventare una porta seriale secondo le specifiche USB CDC (Communication Device Class) ACM (Abstract Control Model). Una volta abilitata la seriale, possiamo dialogare con il dispositivo usando i cari vecchi comandi AT, uno standard inventato nel 1981 da Dennis Heyes, fondatore dell’omonima società produttrice di modem. In questo studio di Dave Tian, Grant Hernandez, Joseph I. Choi, Vanessa Frost e altri è stato dimostrato che attraverso questa interfaccia alcuni dispositivi potrebbero rivelare informazioni sensibili. Leggi tutto “Android: AT USB”

Problemi ai microprocessori

All’inizio del 2018 è scoppiato il caso dei microprocessori interessati da un problema di accesso non autorizzato ad alcune aree di memoria del sistema.

I problemi principali, fin’ora, sono sostanzialmente due e vanno sotto il nome di MELTDOWN e SPECTRE. Leggi tutto “Problemi ai microprocessori”

OpenSSH nativo per Windows 10

Dalla versione 1709, nota anche come Fall Creators, è possibile aggiungere il client e il server di OpenSSH nativi per Windows.

Si tratta delle versioni beta per quei software e, come tali, dovrebbero essere utilizzate con cautela, ma possono tornare utili in situazioni in cui si necessita di un client ssh e non si vuole installare software di terze parti. Leggi tutto “OpenSSH nativo per Windows 10”

La vulnerabilità delle persone

Oggi vi racconterò quanto è facile impossessarsi del numero di telefono di un cliente del mio gestore telefonico.

Ho cambiato telefono (a causa della morte improvvisa del precedente) e mi sono trovato a dover cambiare SIM dalla micro-sim alla nano-sim.

Mi reco quindi in un negozio del mio gestore…

Leggi tutto “La vulnerabilità delle persone”

Sotto stretta sicurezza

In questo blog si è parlato in abbondanza di HTTPS e a piena ragione: la sicurezza dei nostri dati è una cosa importante che non va presa alla leggera.
Non ci stancheremo di ripetere che la privacy è un diritto di tutti e, di conseguenza, è un dovere della comunità IT fare tutto il possibile per renderla tecnicamente fattibile.

Il protocollo HTTPS è un passo in questa direzione: Google non è stata la prima a impegnarsi in questo senso, ma il suo peso specifico nel panorama tecnologico fa sì che ogni suo movimento sia il più rilevante, nonché quello che riceve la più ampia risonanza.
Questo post sul loro blog di sicurezza ha fatto notizia ed è una delle dichiarazioni giustamente più citate.
In particolare, mi piace focalizzare l’attenzione sulla immagine che mi sembra la più rappresentativa: un giorno tutte le pagine HTTP saranno trattate come Not secure. Ovvero, non sarà più HTTPS a essere una sicurezza in più, ma HTTP a esserne una in meno! Leggi tutto “Sotto stretta sicurezza”

Java e Firefox

Dalla versione 52 di Firefox è stato notevolmente ridotto il supporto di NPAPI, la tecnologia utilizzata dai plugin Java e Flash.

Se questa è una buona notizia per gli utenti normali, è altrettanto una iattura per gli amministratori di sistemi che utilizzano ancora Java. Leggi tutto “Java e Firefox”

Riciclare gli imballi

Spesso le ditte che ricevono e spediscono materiale riciclano gli imballi e il materiale protettivo di riempimento.

Questo è un comportamento lodevole per i costi aziendali e, in ultima analisi per l’ambiente, ma se viene fatto nel modo sbagliato i costi possono superare di gran lunga i benefici. Leggi tutto “Riciclare gli imballi”

Identificare il computer di un client http

Spesso crediamo che l’attivazione della modalità incognito o l’utilizzo di un browser differente siano sufficienti a proteggere l’identità di chi accede ad un sito.

Purtroppo è vero in alcuni casi, ma non in tutti. Leggi tutto “Identificare il computer di un client http”

Adware insidioso di Chrome

Questa mattina mi è capitato un caso di un malware abbastanza insidioso per Google Chrome, in questo caso per Windows.

Alla vittima si aprivano linguette di Chrome con finti avvisi di computer infetto e similari e pop-up modali JavaScript dello stesso tono.

Le ultime versioni di Kaspersky e AdwCleaner non riuscivano ad avere ragione del malware. Leggi tutto “Adware insidioso di Chrome”

Spam a colori

Diversi miei conoscenti, in numero basso ma comunque preoccupante, mi hanno contattato, pressoché nella stessa giornata, chiedendomi lumi su dei messaggi di posta elettronica che sospettavano essere phishing, ma che erano passati liberi e belli attraverso i filtri anti-spam. Tagliando corto, adesso bisogna fare anche l’analisi cromatica… Leggi tutto “Spam a colori”

PowerShell: l’oggetto PSCredential

L’oggetto PSCredential di PowerShell è un modo comodo per registrare le credenziali e utilizzarle in diverse parti di uno script.

Questo è un modo relativamente sicuro per registrare login e password. Molta enfasi su relativamente. Leggi tutto “PowerShell: l’oggetto PSCredential”

Fatevi un favore e #SupportLetsEncrypt

Non è la prima volta che se ne parla, vale la pena ripeterlo.

La privacy è una cosa importante ed è un diritto inalienabile: HTTPS aiuta a mantenerla nella nostra vita online, un luogo in cui passiamo sempre più tempo e svolgiamo sempre più attività.

Let’s Encrypt è una Certification Authority gratuita, automatica e aperta. Non è di proprietà di nessuna azienda, ma opera nell’ambito della Linux Foundation ed è una organizzazione 501(c)
Il suo scopo è appunto fornire certificati digitali semplici da usare per arrivare a un 100% encrypted web. Leggi tutto “Fatevi un favore e #SupportLetsEncrypt”

L’Internet delle cose hackerate

Nel gennaio 2014 scrivevo a proposito dell’Internet delle cose insicure.

In fondo all’articolo citavo una notizia, rivelatasi al tempo infondata, di un botnet di 100.000 frigoriferi connessi.

Purtroppo non abbiamo dovuto attendere molto prima che qualcuno lo facesse davvero, così lo scorso settembre il blog di Brian Kerbs è stato attaccato con un DDoS di 630 Gbs, una potenza di fuoco doppia rispetto al DoS più potente registrato prima di quell’evento. Leggi tutto “L’Internet delle cose hackerate”

Corriere e Gazzetta KO a ferragosto

gazzaVerso le otto e mezza di questa mattina il sito della Gazzetta mostrava una pagina nera con una GIF animata e del testo in inglese e il sito del Corriere restituiva un errore 403.

corriere

Una rapida analisi rivelava che i due domini (ma non quelli di altre testate del gruppo) avevano subito un DNS hijacking. Leggi tutto “Corriere e Gazzetta KO a ferragosto”