SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Postfix: forzare il dialogo cifrato fra due MTA

    È possibile forzare il dialogo cifrato TLS tra due server di posta elettronica (MTA).

    Di seguito viene spiegato come farlo con Postfix 2.10.2, l’ultima disponibile, compilata sul server in cui gira con il supporto TLS attivato. È naturalmente possibile ottenere lo stesso risultato anche con altri MTA o con versioni precedenti di Postfix (sconsiglio di scendere sotto la 2.6.0 ed è meglio evitare il range  2.9.0 – 2.9.5 (incluse) perché hanno un baco nel calcolo del fingerprint della chiave pubblica.

    È fondamentale una certa padronanza con Postfix, che viene data per scontata dalla procedura descritta di seguito.

    (altro…)

  • La chiave di volta della sicurezza HTTPS

    Molti siti popolari stanno passando per default alle comunicazioni via HTTPS.

    Se per un sito ospitato su un solo server dedicato è un’operazione banale, Per una grossa organizzazione non è un’impresa semplice.

    Passare in HTTPS non risolve ogni problema di sicurezza sia perché è un protocollo soggetto ad attacchi (qui e qui) sia perché esiste comunque un single point of failure.

    La chiave privata.

    (altro…)

  • Userei una password complessa, ma…

    CartaSISono anni che si sprecano litri di inchiostro e gigabyte di storage per spiegare l’importanza di una password non banale. Alla fine i suggerimenti sono sempre gli stessi, ma non sempre è possibile metterli in pratica.

    Una password come ad esempio siamogeek.com potrebbe essere rifiutata da molti siti che impongono che le password siano formate solamente da lettere o cifre. Il sito dei Servizi Interbancari è uno di questi, qui sopra si vede l’errore che mi è apparso questa mattina; non dirò quale carattere speciale avevo messo nella password, ma posso assicurare che quel carattere speciale è noto ai bambini che frequentano i primi anni delle scuole elementari. Ci sono moltissimi siti che presentano un comportamento analogo.

    La maggior parte dei siti utilizza (o dovrebbe utilizzare) una codifica che permette di avere nella stessa frase  caratteri di qualsiasi alfabeto della Terra (e non), passato e presente. Nonostante ciò, c’è ancora chi obbliga a scrivere le password con un insieme di caratteri così limitato che avrebbe fatto ridere anche i programmatori di 30 anni fa.

    Forse qualcuno teme che un utente metta come password ;DROP DATABASE;--

    O probabilmente tutti i layer Java[Script] che si frappongono tra l’utente e il database sottostante sono scritti o integrati così male che solo un apice nella password farebbe crollare tutto. Però il sito ha una bella grafica, eh! Sarà contento il Baiocchi [NSFW]

    (altro…)

  • HTTPS: come funziona?

    Abbastanza bene, ma non è una bacchetta magica.

    Prima di spiegare HTTPS è necessario spiegare cosa sia la Public Key Infrastructure (PKI) e prima ancora la crittografia asimmetrica, il vero mattone con cui è costruito tutto quanto: se qualcuno scoprisse come crackare velocemente una cifratura asimmetrica verrebbe giù tutto o peggio.

    I sistemi di crittografia più noti sono simmetrici, ovvero quelli che richiedono una chiave, la stessa, per cifrare e decifrare un testo: dal cifrario di Cesare a Enigma era questo il modo di nascondere le informazioni fino a qualche decennio fa.

    (altro…)

  • Windows XP: una bomba a orologeria per la sicurezza

    Quando è uscito nel 2002 tutti detestavano XP, chi per l’interfaccia Disney, chi perché non sapeva installarlo o gestirlo e voleva tenersi Windows 98, chi perché credeva che il “vero” sistema operativo doveva avere un disco rigido leggibile anche partendo da floppy con MS-DOS, chi perché credeva che fosse Windows 2000 con un’altra shell…

    Adesso dite a queste stesse persone che non devono più usare XP e scoppia il finimondo.

    Microsoft non supporterà più Windows XP a partire all’8 aprile 2014, fra 228 giorni. Non sono tanti, sono 32 settimane, 160 giorni di lavoro, 1280 ore di lavoro medie  (senza contare le festività infrasettimanali).

    Il termine del supporto non significa banalmente che non verranno più rilasciati aggiornamenti (qualche sconsiderato potrebbe anche essere felice), ma significa che dal 9 aprile prossimo ogni Windows XP diventerà l’anello debole della sicurezza. Terminato il supporto di Microsoft, anche gli altri produttori di software cesseranno di rilasciare aggiornamenti, quindi oltre a un Windows vulnerabile ci saranno anche Java, Acrobat Reader, Flash…

    Il motivo di questo pericolo è presto detto.

    Ogni qual volta che viene rilasciata una patch questa è spesso accompagnata da una nota tecnica. Gli esperti di sicurezza e, prima di loro, i malviventi analizzano sia la nota tecnica sia la patch medesima per capire esattamente quale sia la vulnerabilità che viene corretta e, nel caso dei malviventi, come sia possibile sfruttarla. Questo accade sempre perché c’è un’ampia possibilità che i computer non vengano aggiornati subito, quindi c’è una finestra temporale ridotta per poter sfruttare quella vulnerabilità.

    Spesso lo stesso problema riguarda più versioni di Windows, le cui patch escono tutte assieme.

    Ma se un sistema operativo non è più supportato le patch non escono più. E se una vulnerabilità nota di Windows Vista, 7 oppure 8 è presente anche in Windows XP nessuno più porrà rimedio al problema, con estrema gioia di chi scrive malware.

    Ed ecco che dal prossimo 9 di aprile ogni Windows XP sarà un potenziale pericolo per tutti.

    228 giorni, tic, toc, tic, toc…

  • Wikipedia passa in HTTPS

    wikihttpsA partire da oggi Wikipedia utilizza HTTPS per il login degli utenti e mantiene il protocollo crittografato per il resto degli accessi al sito.

    Questa decisione, già parte del percorso di tutela della sicurezza, è stata anticipata alla luce dei recenti eventi legati alle rivelazioni di Edward Snowden secondo le quali Wikipedia sarebbe stata uno dei metodi per tracciare le persone poste sotto sorveglianza.

    Per il momento HTTPS non viene attivato sulle versioni di Wikipedia di Paesi che scoraggiano o vietano quel protocollo: cinese (zh.*), fārsì (fa.*), gilaki (glk.*), curdo (ku.*), mazanderani (mzn.*) e soranî (ckb.*). In seguito la decisione di utilizzare o meno HTTPS sarà basata sulla geolocalizzazione dell’indirizzo IP dell’utente che visita Wikipedia.

    Ovviamente HTTPS non garantisce l’anonimato né la riservatezza assoluti di ciò che si sta visitando, ma contribuisce, in generale, a ridurre i rischi di furto di informazioni riservate. Esistono firewall normalmente acquistabili su cui si possono abilitare dei veri e propri attacchi di man-in-the-middle per poter analizzare le pagine visitate e confrontarle con le policy impostate. [via Wikimedia Meta]

  • PuTTY 0.63

    puttyÈ stata rilasciata la versione 0.63 di PuTTY.

    Questa è una release che corregge alcuni possibili problemi di sicurezza, quindi tutti gli utilizzatori abituali di PuTTY dovrebbero aggiornare le loro installazioni.

    Nel caso di autenticazione con chiave privata, le versioni precedenti conservavano in memoria una copia della chiave privata per tutta la durata della sessione ssh. In caso di swap o crash dump la chiave privata poteva anche essere scritta su disco.

    Un altro baco permetteva al server di una sessione SSH-2 di trasmettere delle risposte tali per cui PuTTY andava in buffer overrun o underrun e crashava. Questa vulnerabilità poteva essere sfruttata prima ancora della verifica delle chiavi.

    Una nuova feature consente alle applicazioni nelle sessioni xterm di capire la differenza tra testo scritto effettivamente dall’utente e testo incollato in modo da potersi comportare di conseguenza.

  • Pieno con clonazione

    Fin’ora abbiamo visto gli skimmer applicati ai POS o agli sportelli Bancomat e siamo (o dovremmo essere) attenti a controllare la loro presenza in quei contesti.

    In Oklahoma due persone sono finite davanti al giudice con l’accusa di aver rubato 400.000 dollari attraverso skimmer applicati alle macchine per il pagamento self-service dei carburanti.

    I due avevano installato uno skimmer in un’area di servizio nei pressi di un Wal-Mart e l’avevano lasciata lì uno o due mesi, dopodiché hanno recuperato il dispositivo con i dati delle carte utilizzate in quel periodo. Con quelle informazioni hanno creato delle carte clonate, che sono state utilizzate per prelevare contante.

    Questo tipo di modifica richiede l’accesso alla circuiteria del lettore di schede (non si tratta di un artefatto applicato sopra al lettore). I malviventi sono stati favoriti dal fatto che molte colonnine (almeno negli USA) sono apribili con una serie di passe-partout. Una volta aperta la colonnina viene sostituito il lettore originale (acquistabile con meno di 100 dollari) con uno modificato ad arte e viene applicata una tastiera a membrana opportunamente modificata. Richiuso il tutto, non restano segni di effrazione e il dispositivo può essere individuato solamente se interviene un tecnico dell’assistenza per un guasto.

    Questo episodio dimostra che gli skimmer applicati ai distributori di carburante sono arrivati allo stesso livello di complessità e raffinatezza di quelli degli sportelli Bancomat. (via Krebs on security)

  • Attacco BGP

    as25459Il 24 luglio scorso l’autonomous system 25459 ha annunciato oltre 300 IP non suoi appartenenti anche ad istituti di credito di tutto il mondo.

    Per la spiegazione di come funzionano gli autonomous system (AS), sulla loro importanza e sul significato della terminologia utilizzata vi rimando a questo articolo pubblicato un paio di anni fa.

    Con ogni probabilità il BGP dell’AS25459 è stato in qualche modo hackerato e costretto ad annunciare IP non suoi.

    Guardando i report del RIPE riprodotto qui sopra si vede che nel giorno dell’incidente l’AS ha annunciato dei blocchi /32 (un singolo IP), cosa molto strana per un AS, il cui limite inferiore è di solito /24. Dal momento che ogni annuncio occupa un record nelle tabelle dei router, più si aggregano i blocchi e meno si caricano i router. Purtroppo l’esaurimento dell’IPv4 ha portato ad una certa frammentazione dei blocchi, ma annunciare un singolo IP /32 è (almeno per ora) sintomo di un hacking o di una errata configurazione di un router di confine.

    Il 24 luglio uno stesso IP era annunciato da due AS diversi: quello legittimo e l’AS25459 hackerato; in questo caso il protocollo BGP sceglie il routing migliore e c’è la concreta possibilità che sia quello hackerato anziché quello legittimo.

    (altro…)

  • ubuntuforums.org compromesso

    ubuntuforumsAlle 20:11 di ieri sera 20 luglio (UTC) ubuntuforums.org è stato vittima di un defacement e pochi minuti dopo il sito è stato messo offline dagli amministratori.

    Successive analisi hanno rivelato che l’attacco non si è limitato al defacement, ma sono stati rubati nomi utente, email e password degli utenti.

    Le password non erano conservate in chiaro, ma questo non garantisce che chi ha rubato il database non possa scoprirle con un attacco di forza bruta.

    Chiunque abbia un account su ubuntiforums.org e utilizzi la stessa password per siti diversi in cui utilizza il medesimo login o la medesima mail dovrebbe cambiare la password e riconsiderare questa abitudine.

    Ubuntu One, Launchpad e tutti gli altri servizi online di Ubuntu o Canonical non sono interessati da questo problema.

    In questo momento la pagina principale del sito è stata sostituita da una pagina informativa.

    Al momento della penetrazione il sito si basava su vBulletin che, secondo alcune fonti, non sarebbe stato aggiornato e non avrebbe avuto un’adeguata protezione per il pannello amministrativo (via Srefano Quintarelli)

  • Ci vuole una laurea

     

    Ogni tanto, ma comunque sempre troppo spesso, mi capita di dover installare un nuovo PC con Windows (non importa quale versione) da un cliente. Come piu` o meno tutti, ho un mio schema di “cose che servono sempre”; di programmi che ha senso installare su qualsiasi PC da ufficio. A parte quelli specifici per il lavoro del cliente, infatti, senso installare qualche utility, come ad esempio un software di masterizzazione CD e DVD che sia meno “basico” della funzionalita` inclusa in Windows, un software per visualizzare i PDF, un browser che non sia Explorer, un client di posta che non sia Outlook Express o Windows Mail o come si chiama oggi, una stampante virtuale che crei i PDF dalle stampe, magari un player multimediale che funzioni e non sia uno spyware, eccetera.

    Chiaramente ho in testa una mia lista (Infrarecorder, VLC, Firefox, Thunderbird, CutePDF writer, ecc) e cosi` mi metto a installare tutto quanto.

    Il problema e` che per installare tutto questo senza installare anche una decina di spyware allegati occorre una preparazione specifica.

    (altro…)

  • Ransomware “Guardia di Finanza”

    FakeGdFIl finto ransomware della “Guardia di Finanza” è in giro da qualche anno.

    Le prime versioni, come quella riprodotta a lato, erano credibili come una moneta da tre Euro, ma riuscivano comunque a bloccare il computer.

    La seconda generazione si è fatta più furba: il loader del ransomware comunica con il C&C, il quale analizza l’IP pubblico della vittima e trasmette la schermata “giusta” in base alla nazione con la corretta forza di polizia. Questa generazione è anche abbastanza pericolosa perché dopo alcuni reboot cambia attributi e permessi di tutto il file system rendendo di fatto il computer inutilizzabile se non dopo la reinstallazione del sistema operativo.

    Una versione che mi è capitata tra le mani un mese fa attiva la webcam del portatile e mostra quello che viene acquisito in un riquadro della schermata della presunta autorità di polizia: in pratica l’utente vede il proprio faccione nel finto mandato di sequestro. Un tocco di perversa genialità, bisogna ammetterlo.

    La versione che ho visto questa sera da un cliente fa in modo che se si avvia il computer (un Windows 7 Home in questo caso) in modalità provvisoria un programma in avvio automatico lancia un immediato reboot del sistema operativo.

    Il trucco è per fortuna aggirabile avviando Windows in modalità provvisoria con la sola interfaccia a riga di comando, in questo modo non vengono eseguiti i programmi in avvio automatico di Explorer. Dalla shell a riga di comando si esegue EXPLORER, che avvia la shell grafica, ma senza eseguire i programmi in avvio automatico. Da lì si può togliere il ransomware con ComboFix o programmi analoghi.