Sicurezza informatica
Mikko Hyppönen ha spiegato che il malware viene scritto principalmente per tre motivi: soldi, attivismo politico e lotta tra Stati.
Spesso le persone che non seguono le vicende della parte oscura di Internet non riescono a capire come un computer infetto possa valere dei soldi. La risposta breve è: mercato.
(altro…)Fatto di cronaca: un idiota tira ad un giocatore di calcio una banana e questo se la mangia.
Reazione di una persona normale: sottolineare e plaudire all’azione di scherno contro un idiota.
Reazione di chi si occupa di sicurezza informatica: pensare subito che la prossima banana lanciata in campo contenga un potente lassativo.
Questo caso esemplifica l’approccio necessario quando ci si occupa di sicurezza. Un tecnico pensa di norma a come funzionano le cose, chi si occupa di sicurezza pensa sempre a come le cose si possono rompere.
Ok, ok: il vero paranoico avrebbe pensato subito che la banana potesse esplodere, ma questo è un altro discorso.
Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.
Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.
La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook. (altro…)
Chi ha una HP iLO versione 1 o 2 esposta a Internet è vulnerabile ad un DoS.
Le iLO 1 e 2 non sono vulnerabili a heartbleed, ma se sono oggetto di scansione per verificare la vulnerabilità crashano miseramente.
Siccome la iLO è fatta per restare viva anche quando il server è spento (ma è ovviamente attaccata la corrente), l’unico metodo per riprendere una iLO crashata è staccare la spina (o le spine) del server, attendere che si scarichino i condensatori e riattaccare la spina.
Chi pensa di essere al sicuro perché tanto l’URL della iLO esposta a Internet non è pubblicato è invitato a scrivere (ad esempio) "ilo" "Copyright 2008, 2013 Hewlett-Packard Development Company, L.P." (con le virgolette) nel campo di ricerca di Google.
HP ha rilasciato un aggiornamento al firmware della iLO che corregge questo problema. La iLO2 aggiornata riporta la versione del firmware 2.25 del 14 aprile 2014.
Anche se la iLO non è esposta a Internet è comunque consigliabile aggiornare il firmware.
Ho appena aggiornato due iLO di due host VMware usando la funzione di aggiornamento via interfaccia web della iLO senza avere problemi e ovviamente senza dover riavviare il server. (via ISC)
Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo.
Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei dati) ed evita al client di dover decodificare un certificato di revoca.
La verifica online di un certificato in molti contesti è il sistema migliore, specialmente in situazioni come quella creata da Heartbleed in cui i certificati vengono revocati velocemente a causa della compromissione di quelli vecchi. Tuttavia questo metodo non è esente da problemi, in quanto il server che gestisce le revoche potrebbe essere non raggiungibile oppure il browser potrebbe essere tratto in inganno ed utilizzare un server configurato ad arte. (altro…)
Ancora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti.
Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze sono ovvie.
Il consiglio a tutti gli utenti è quello di cambiare al più presto TUTTE le password di Home Banking, Facebook, Google, LinkedIn, PayPal, Amazon e di tutti i vari servizi in giro sul web a cui siete iscritti (specie quelli in cui c’è movimento di denaro o dati di carte di credito) perché potrebbero essere state compromesse. E’ difficile ma dobbiamo presumere per sicurezza che sia stato fatto.
Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI! Se craccano il servizio esterno mettete in pericolo pure l’infrastruttura dove lavorate. Se l’avete fatto in passato occorre cambiare anche quella password (supponendo che le regole interne non vi obblighino già a farlo regolarmente).
Mai, mai, mai, mai utilizzare la stessa password su più siti diversi. MAI! Se viene compromesso un sito possono (anzi lo fanno di sicuro) provare a vedere se lo stesso account è presente su altri servizi.
Ad esempio se vi catturano la password di Facebook che mettiamo sia uguale a (esempio assurdo) quella del vostro Home Banking pensate che di essere al sicuro?
Avere password differenti è importante, pensate al vostro portachiavi. Avete un unica chiave oppure una chiave per ogni porta che dovete aprire?
Per quanto riguarda la complessità della password… lasciamo stare la teoria che vorrebbe password lunghe chilometri con ghirigori, maiuscole, minuscole, numeri, simboli, giravolte, sbirigudi ed antani. Proteggiamo pesantemente (magari con l’autenticazione multipla e con SMS di avviso) l’account che per voi è fondamentale. Quello su cui magari vi arrivano le notifiche dagli altri account e tramite il quale possono accedere agli altri servizi. Per gli altri servizi si può utilizzare una password più semplice da ricordare (ATTENZIONE: semplice non significa banale o completamente idiota) e magari dove disponibile attivare sempre l’autenticazione multipla.
Per fare un esempio recentemente è saltata fuori la storia di un giornalista a cui hanno rubato tutti gli account semplicemente perché sono riusciti ad introdursi nella sua posta elettronica. Una volta preso il controllo delle mail gli hanno cambiato le password di tutto, rubato gli account Twitter, Facebook, Google+ e i domini Internet dei propri siti web. Fate voi.
E se pensate “a me non succederà mai perché chi vuoi che mi attacca a me” siete le vittime perfette. Pensate che la maggior parte di questi attacchi non sono mirati ma fatti con script automatici. A loro non interessa chi siete ma solo i vostri account.
L’ho già detto “Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI!” ? Ve lo ridico giusto per essere sicuri.
Fine del pippone.
Quando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.
Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂
Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.
I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.
La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.
È quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.
Aggiornamento 13 aprile 2014 – Uno script in Python permette di verificare se un client è vulnerabile.
Heartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse.
OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.
Microsoft Internet Information Server non è interessato da questo problema.
I prodotti Apple non sono interessati dal problema, con l’eccezione dell’AirPort per cui è disponibile un aggiornamento.
Tutto è cominciato nel 2012 con la release di OpenSSL 1.0.1 che introduce il supporto di RFC6520 e implementa l’heartbeat sulle connessioni TLS. Questa funzione serve a mantenere il canale aperto e impedire, quindi, che client e server debbano rinegoziare la connessione in caso di temporanea inattività. L’espediente dell’heartbeat o keep-alive è utilizzato in molti contesti in cui si invia un pacchetto dati senza informazioni con il solo scopo di resettare eventuali contatori di inattività.
Il problema di OpenSSL è che una riposta al’heartbeat modificata ad arte può rivelare all’attaccante informazioni di vario tipo. Non è possibile utilizzare questa vulnerabilità per eseguire codice sul server remoto, ma questo non è certo un fattore mitigante, vediamo perché. (altro…)
La burocrazia (etimologicamente: il potere dell’ufficio) è da più parti considerata un male; molti scritti autorevoli dimostrano anche che sia un fattore criminogeno.
Tra IT e burocrazia è stata subito guerra aperta perché sono due discipline le cui filosofie stanno più che mai agli antipodi. Le caratteristiche di determinismo, rapidità e tracciabilità mal si sposano con chi inventa regolamenti per il puro gusto di farlo e tira in lungo per esercitare un potere meschino che non può durare.
E non pensate che queste cose si verifichino solamente nel settore pubblico.
(altro…)Da poco tempo si sono svegliati tutti, incluse le pubblicità con target generico, nel ricordare ad nauseam che è imminente la fine del supporto di Windows XP.
Per quanto riguarda il sistema operativo di Microsoft c’è una pagina dedicata con tutte le informazioni, che verrà aggiornata in caso di novità.
Nonostante secondo alcuni sondaggi relativi a fine marzo 2014 XP copra ancora il 20% dell’utenza di Internet, quel sistema operativo non è l’unico software obsoleto ad essere ancora in giro.
(altro…)Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.
Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.
Questa è più o meno la scansione degli eventi:
Bruce Schneier fa un interessante ragionamento e paragona la sicurezza informatica con la salute pubblica.
Di primo acchito sembrerebbe un’iperbole da addetto ai lavori che vuole attirare l’attenzione su un problema tecnico difficile da spiegare, ma con qualche paragone l’argomento non è così esagerato.
(altro…)