Categoria: Sicurezza

Sicurezza informatica

Ransomware e backup

Dopo quasi dieci anni durante i quali i vari tipi di malware non distruggevano i dati, il ransomware ha riportato in auge un vecchio tema di lotta contro i vari tipi di malware.

Il ransomware è quel tipo di software ostile che blocca in qualche modo l’accesso ai file degli utenti per chiedere poi un riscatto (ransom).

Lo scorso anno CryptoLocker è diventato relativamente famoso e in quattro mesi di vita ha già fatto moltissime vittime. Negli ultimi giorni è stato annunciato Prison Locker (originale su Pastebin), un nuovo tipo di ransomware che cripta ogni tipo di file accessibile di un’installazione Windows, con l’eccezione degli eseguibili e dei file di sistema.
(altro…)

06/01/2014
Defacement del sito di OpenSSL
Il 29 dicembre scorso verso le 01:00UTC la home page del sito di OpenSSL ha subito un defacement ed è stata sostituita con il messaggio TurkGuvenligiTurkSec Was Here @turkguvenligi + we love openssl _

I file del sito sono stati ripristinati entro le due ore successive, ma i dettagli dell’attacco si sono fatti attendere.

Solamente due giorni dopo è apparso un breve messaggio che spiegava in modo molto generico e onestamente un po’ dubbioso l’accaduto:
```
Initial investigations show that the attack was made via hypervisor through
the hosting provider and not via any vulnerability in the OS configuration.
Steps have been taken to protect against this means of attack in future.
```
Messa così sembrava che il software che governa le macchine virtuali fosse stato attaccato; l’hypervisor è lo strato più basso di un sistema di virtualizzazione, nella virtualizzazione bare metal è anche l’ultimo strato di software prima dell’hardware. Un’affermazione di questo tipo implicava un attacco alla macchina host del provider, con tutte le conseguenze del caso.

(altro…)
04/01/2014
Forward secrecy in Postfix

È possibile implementare la forward secrecy anche nelle sessioni TLS di Postfix.

Questa guida parte dal presupposto che Postfix abbia TLS configurato e funzionante, non importa se con un certificato auto-emesso o rilasciato da un’autorità PKI, e si applica alla versione 2.10, le versioni precedenti potrebbero aver bisogno di qualche aggiustamento dei parametri, come indicato nel readme apposito.

Lo scopo è di avere delle chiavi di sessione effimere con una vita relativamente breve al fine di rendere più ardua la cosiddetta retrospective decryption attraverso una rigenerazione periodica dei parametri p e g dell’algoritmo Diffie-Hellman per lo scambio di chiavi.

(altro…)

03/01/2014
FreeBSD abbandona i RNG sui chip

Il gruppo di lavoro che si dedica alla sicurezza di FreeBSD ha deciso di abbandonare l’utilizzo del generatore di numeri casuali (RNG) presente sui chip.

Il motivo principale di questa scelta risiede nel timore che tra le attività della NSA rivelate da Snowden ci sia stata anche quella di indebolire l’entropia di questi generatori come è successo con gli standard di crittografia del NIST.

Al posto del supporto del RNG sul silicio ci sarà un software che potrebbe essere Yarrow oppure il suo successore Fortuna.

Nella versione 10 di FreeBSD RdRand di Intel e Padlock di Via Technology verranno, quindi, abbandonati e sostituiti con un generatore via software; gli applicativi potranno comunque continuare ad utilizzare quelle funzioni al posto di /dev/random

Linux continua ad utilizzare i RNG sui chip, ma non come uniche fonti di entropia, contenendo l’eventuale (ma non ancora dimostrata [PDF]) limitazione artificiale del generatore di numeri casuali. Una possibile soluzione, specialmente per le macchine virtuali, potrebbe essere haveged, anche se la materia è ancora oggetto di discussione.

Una buona generazione di numeri casuali è fondamentale per garantire la sicurezza delle trasmissioni crittografate, quindi non si tratta di una questione di pura estetica.

12/12/2013
Le diecimila password peggiori

Mark Burnett ha raccolto nel tempo varie password che sono state pubblicate per buchi nella sicurezza.

Adesso ha deciso di pubblicare le 10.000 password più utilizzate, quindi le 10.000 password da non utilizzare mai.

Le password sono in un file di testo, che può essere importato in un archivio di black-list per evitare che gli utenti scelgano password troppo facili da indovinare.
(altro…)

09/12/2013
Avete un utente admin su WordPress?

Se sì e se è un utente valido siete dei gonzi.

La tabellina a fianco mostra l’elenco di IP che in meno di 10 ore ieri hanno tentato almeno 5 login come admin a questo sito.

Probabilmente è un programma utilizzato da qualche script kiddie, ma non per questo meno pericoloso, specialmente se poi il sito viene trapanato.

Il report è generato dal plugin Limit Login Attempts, che merita sicuramente di essere installato su un WordPress esposto ad Internet.

Le funzioni del plugin sono essenziali, ma ci sono tutte quelle che servono: numero di tentativi, durata della prima blacklist, tentativi che scatenano la seconda blacklist e relativa durata, tempo dopo il quale vengono resettati i contatori. Si può anche fare in modo di notificare l’amministratore (quello legato all’utente admin…) quando scatta una blacklist di secondo livello.

Un plugin come Limit Login Attempts è fondamentale in quanto in WordPress non sono (ancora?) disponibili funzioni integrate di lockout degli utenti.

06/12/2013
Abbiamo il diritto di aver qualcosa da nascondere

F-Secure ha pubblicato un articolo in cui viene spiegato perché è legittimo che le persone oneste abbiano qualcosa da nascondere.

Ho aiutato Paolo Attivissimo a tradurre l’articolo in italiano; qualsiasi sia la lingua, vi consiglio una lettura di quel breve testo.

Il diritto alla privacy non è negoziabile. La storiella che rinunciando alla propria privacy si aiuta a costruire una società più sicura è una clamorosa bugia dimostrabile con i fatti. Chi rinuncia alla propria privacy alimenta uno stato di sorveglianza in cui i diritti vengono erosi uno alla volta. Oggi è la privacy, domani cosa sarà?

How much is too much?

La giusta conclusione dell’articolo è che le persone che rinunciano alla propria privacy forzano i loro amici e contatti a rinunciare alla loro perché i dati che rivelano riguardano anche terzi.

Come non ci fideremmo a consegnare dati o valori materiali ad organizzazioni che non dimostrano di avere una giusta cura nella loro conservazione, così dovremmo iniziare a ridurre le informazioni condivise con chi non pone la giusta attenzione nella gestione dei dati.

Sembra un’affermazione forte, ma se ci si pensa è quello che molti fanno inconsciamente da sempre. Non si rivela un’informazione a chi sappiamo che la direbbe a tutti e rifiutiamo un contatto sui social a persone che hanno contatti che non ci piacciono. È un nostro diritto di auto-tutela e non dobbiamo sentirci colpevoli per questi comportamenti.

05/12/2013
Zero Day per Windows XP e Server 2003

FireEye ha scoperto un malware che sfrutta una vulnerabilità non ancora corretta del kernel di Windows XP e Winodws Server 2003 che permette un guadagno locale di privilegi.

Se questa vulnerabilità non permette direttamente di eseguire del codice da remoto, consente comunque di eseguire del codice con privilegi elevati.

Esiste un documento PDF che sfrutta questa vulnerabilità assieme alla versioni di Acrobat Reader 9.5.4, 10.1.6, 11.0.2 e inferiori; il PDF esegue uno script shell che crea un eseguibile in una directory temporanea e lo esegue. Rer queste versioni di Acrobat reader esiste già un bollettino tecnico e una relativa patch.

Microsoft ha rilasciato un bollettino tecnico che spiega anche come impedire che questa vulnerabilità venga sfruttata, ma al costo di disabilitare i servizi che si basano sulle API di Windows Telephony (TAPI), tra cui il Remote Access Service (RAS) e le VPN.

È verosimile che molti malviventi (e organizzazioni assimilate) che sfruttano le vulnerabilità dei sistemi per scopi illegali stiano aspettando la fine del supporto di Windows XP per utilizzare questi e altri bachi del sistema operativo. Ad oggi basta pazientare solamente per 131 giorni. (via ISC)

28/11/2013
Perfect Forward Secrecy

Il protocollo HTTPS come è implementato da molti siti o browser ha un problema con il futuro.

Ipotizzando che qualcuno stia registrando tutto il traffico HTTPS di un sito adesso potrebbe solamente avere in mano dei dati illeggibili. Ma cosa succederebbe se venisse trafugata la chiave segreta, oppure se un domani i computer riuscissero in poche settimane a scardinare la chiave utilizzata?

C’è un passaggio fondamentale nei primi millisecondi del protocollo HTTPS:

Il browser, verificato il certificato, invia un messaggio al server che contiene un altro numero casuale cifrato con la chiave pubblica del server

Quindi, chi riuscisse a calcolare o trafugare la chiave privata del server potrebbe decifrare tutto il traffico HTTPS protetto con quella coppia di chiavi, ipoteticamente salvato negli anni, che fino a quel momento non era decifrabile (retrospective decryption).

Lo scambio di una chiave segreta condivisa su un canale non sicuro è un problema non nuovo. Whitfield Diffie, Martin Hellman e Ralph Merkle avevano trovato una soluzione già negli anni ’70 del secolo scorso elaborando quello che poi sarebbe diventato il protocollo Diffie-Hellman per lo scambio di chiavi (brevetto US4200770 ora scaduto).

Anche in questo caso bisogna fare un passo indietro per vedere come funzionano le cose dietro le quinte.

(altro…)

24/11/2013
Porta USB di Android

L’acceso fisico ad un computer equivale all’accesso di root.

Sebbene questo sia il mantra che viene ripetuto da chi si occupa di sicurezza, c’è la presunzione che cellulari e tablet siano meno attaccabili di un normale computer sotto questo aspetto. Illusi.

I sistemi di estrazione dei dati dai cellulari sono relegati alle apparecchiature per l’uso forense, che costano (quelle belle) oltre diecimila euro, escluso l’abbonamento annuale per gli aggiornamenti.

Michael Ossmann e Kyle Osborn hanno dimostrato {video} come sia possibile con costi contenuti e con materiali facilmente reperibili accedere alla console di debug di Android di molti dispositivi, anche se la funzione di debug è disabilitata. Il metodo utilizzato è semplicissimo, una volta che si conosce come funzionano le cose.

(altro…)

18/11/2013
False promesse

Molte persone non tecniche credono che un algoritmo di crittografia inattaccabile in tempi ragionevoli favorisca solamente i criminali.

Chiariamo subito che la frase “se non hai nulla da nascondere, non devi nascondere nulla” è tipica dei regimi dittatoriali o totalitari e deve essere ribaltata in “se non ho nulla da nascondere non devi venire a cercare nulla qui da me”.

Dobbiamo partire dal principio inviolabile che la privacy sia un diritto non negoziabile e mantenere saldo questo principio, ad ogni costo.
(altro…)

15/11/2013
Mikko Hyppönen sulla NSA

[ted id=1861]

Mikko Hyppönen ha tenuto questo discorso ad un evento TED Talk a Bruxelles.

A differenza di quello del 2011 in cui ha spiegato perché esistono i virus, in questo spiega come la NSA abbia minato la sicurezza di tutti noi e ribatte ad alcune argomentazioni che tentano di mitigare gli effetti delle azioni di spionaggio collettivo.

Ho collaborato con Paolo Attivissimo per la stesura della traduzione italiana di questo discorso.

Che sia l’originale inglese o la versione tradotta, vale la pena di ascoltare o leggere quelle parole e di farle leggere agli altri, soprattutto chi ritiene che sia legittimo rinunciare alla propria privacy per una promessa di maggior sicurezza.

13/11/2013