SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Ci vuole una laurea

     

    Ogni tanto, ma comunque sempre troppo spesso, mi capita di dover installare un nuovo PC con Windows (non importa quale versione) da un cliente. Come piu` o meno tutti, ho un mio schema di “cose che servono sempre”; di programmi che ha senso installare su qualsiasi PC da ufficio. A parte quelli specifici per il lavoro del cliente, infatti, senso installare qualche utility, come ad esempio un software di masterizzazione CD e DVD che sia meno “basico” della funzionalita` inclusa in Windows, un software per visualizzare i PDF, un browser che non sia Explorer, un client di posta che non sia Outlook Express o Windows Mail o come si chiama oggi, una stampante virtuale che crei i PDF dalle stampe, magari un player multimediale che funzioni e non sia uno spyware, eccetera.

    Chiaramente ho in testa una mia lista (Infrarecorder, VLC, Firefox, Thunderbird, CutePDF writer, ecc) e cosi` mi metto a installare tutto quanto.

    Il problema e` che per installare tutto questo senza installare anche una decina di spyware allegati occorre una preparazione specifica.

    (altro…)

  • Ransomware “Guardia di Finanza”

    FakeGdFIl finto ransomware della “Guardia di Finanza” è in giro da qualche anno.

    Le prime versioni, come quella riprodotta a lato, erano credibili come una moneta da tre Euro, ma riuscivano comunque a bloccare il computer.

    La seconda generazione si è fatta più furba: il loader del ransomware comunica con il C&C, il quale analizza l’IP pubblico della vittima e trasmette la schermata “giusta” in base alla nazione con la corretta forza di polizia. Questa generazione è anche abbastanza pericolosa perché dopo alcuni reboot cambia attributi e permessi di tutto il file system rendendo di fatto il computer inutilizzabile se non dopo la reinstallazione del sistema operativo.

    Una versione che mi è capitata tra le mani un mese fa attiva la webcam del portatile e mostra quello che viene acquisito in un riquadro della schermata della presunta autorità di polizia: in pratica l’utente vede il proprio faccione nel finto mandato di sequestro. Un tocco di perversa genialità, bisogna ammetterlo.

    La versione che ho visto questa sera da un cliente fa in modo che se si avvia il computer (un Windows 7 Home in questo caso) in modalità provvisoria un programma in avvio automatico lancia un immediato reboot del sistema operativo.

    Il trucco è per fortuna aggirabile avviando Windows in modalità provvisoria con la sola interfaccia a riga di comando, in questo modo non vengono eseguiti i programmi in avvio automatico di Explorer. Dalla shell a riga di comando si esegue EXPLORER, che avvia la shell grafica, ma senza eseguire i programmi in avvio automatico. Da lì si può togliere il ransomware con ComboFix o programmi analoghi.

  • SMS e autenticazione a due fattori

    L’autenticazione a due fattori si basa su due di queste tre caratteristiche:

    • quello che sei
    • quello che sai
    • quello che hai.

    La prima delle tre (i dati biometrici in generale) è apparentemente la più pratica perché non si dimentica, non è copiabile (se la lettura è ben fatta) e non la si perde (a meno di mutilazioni, ovviamente). I dati biometrici espongono però una persona a rischi che in molti contesti sono giudicati troppo elevati per i dati da custodire: si pensi ad un malvivente che punta un’arma ad una persona per obbligarla a sbloccare qualcosa con l’impronta digitale. Si può ovviare il problema con il panic code usato come secondo fattore, ma c’è il concreto rischio che l’attaccante sappia del panic code e abbia reazioni spiacevoli.

    (altro…)

  • Attacco ad Opera

    OperaLa rete dei computer utilizzati per lo sviluppo di Opera è stata attaccata e compromessa.

    Il 19 giugno scorso i tecnici di Opera hanno scoperto l’attacco, l’hanno circoscritto e dicono di averlo neutralizzato.

    Di sicuro è stato rubato un vecchio certificato SSL che è stato immediatamente utilizzato per firmare del malware.

    Sophos non condivide l’ottimismo del comunicato della software house norvegese, che lascia molti interrogativi irrisolti.

    Chi utilizza Opera dovrebbe aggiornare sia il browser sia l’antivirus all’ultimissima versione.

  • La sicurezza dei gestionali nel 2013

    fail-owned-fence-security-failOggi sto lavorando all’installazione di un gestionale che gira su Linux. Il software in questione gestisce le paghe dei dipendenti, fra le altre cose. Usandolo tramite la sua interfaccia client (che parla con un servizio di qualche tipo sul server) richiede ovviamente uno username e una password (lunga almeno 8 caratteri) per identificare gli utenti che accedono.

    Purtroppo pero`, su specifiche precise del fornitore del software, e` richiesto che sul server sia installato FTP e anche telnet, e che ci sia un unico utente “di gestione” che puo` accedere via FTP e telnet per poter leggere o modificare arbitrariamente  ogni file di dati e di programma del gestionale. Ssh, invece, non e` richiesto.

    Infine, per essere assolutamente sicuri che anche un utente inesperto e privo di cattive intenzioni possa comunque fare il massimo danno anche involontariamente  e`  inoltre necessario che la directory di installazione del gestionale (che contiene programmi e dati) sia accessibile da uno share SMB, ovviamente configurato con permessi 777 per tutti gli utenti.

    Che dire?

  • ZXX

    ZXX è una raccolta di font monospace realizzata da Sang Mun come tesi alla Rhode Island School of Design.

    Il nome ZXX deriva dal codice Alpha- 3 ISO 639-2 della Library of Congress che significa “nessun contesto linguistico, non applicabile”.

    La raccolta comprende sei font: ZXZ Sans, ZXX Bold, ZXX Camo, ZXX False, ZXX Noise e ZXX Xed.

    A parte i primi due font, che sono la base da cui Sang Mun è partito, gli altri hanno lo scopo di rendere difficile, se non impossibile, il riconoscimento di un testo via un normale software di OCR. Il principio è analogo ai testi usati per i CAPTCHA, solo che, nell’intenzione dell’autore, lo scopo è di impedire che oscure entità governative riescano a fare OCR.

    Va da sé che le oscure entità governative potrebbero aggiornare i loro software di OCR per includere i pattern di ZXX, ma non è questo il punto. Questi font potrebbero essere utilizzati in alcuni contesti in cui non si vuole che un titolo sia leggibile da lontano oppure un testo non sia riconoscibile tramite OCR. Queste potrebbero essere anche le idee di base per realizzare delle proprie scritte che abbiano le stesse caratteristiche di bassa leggibilità da parte dei software. Come per i CAPTCHA, anche ZXX non rende la vita facilissima al lettore, ma se si vuole un minimo di sicurezza bisogna un po’ soffrire. (altro…)

  • Il caso Hetzner

    HetznerOggi pomeriggio Hetzner, il servizio che ospita anche il server su cui gira Siamo Geek, ha avvisato che alcuni dei suoi server sono stati compromessi.

    Secondo le prime analisi, sarebbe stata trafugata una parte del database degli utenti utilizzati per collegarsi al sistema di gestione dei server, sono state pubblicate anche delle FAQ in merito.

    La compromissione sarebbe stata causata da una backdoor creata da un programma che gira in RAM e non modifica gli eseguibili. Ricorda qualcosa questa definizione? Da qualche decennio lo chiamiamo virus e da qualche decennio lo combattiamo con una famiglia di programmi nota come “antivirus”, quei programmi che si caricano all’avvio e tengono d’occhio il sistema per impedire che altri programmi facciano quello che non dovrebbero.

    Ecco che chi si credeva al sicuro solo perché usava un determinato sistema operativo e un metodo basato sulle checksum dei binari si scopre improvvisamente vulnerabile ad un attacco portato con una delle più vecchie forme di malware.

    Probabilmente (ma è un’ipotesi azzardata) Selinux avrebbe potuto mitigare il danno, oppure l’ha mitigato. Sto facendo un po’ di test sulla mia pelle (il server casalingo) con Selinux, appena ho qualcosa di concreto arriva un articolo.

    Nel frattempo, giova ancora una volta ricordare che nessuno è al sicuro per il solo fatto di utilizzare un sistema operativo piuttosto che un altro.

  • Autenticazione a due fattori per Twitter

    2 fattori twitterDopo vari incidenti anche Twitter ha annunciato di aver reso disponibile l’autenticazione a due fattori per i suoi utenti.

    L’annuncio è stato diramato ieri sera, ma solamente questa mattina ho potuto attivare l’autenticazione a due fattori sul mio account.

    Bisogna innanzi tutto dare a Twitter il numero di un telefono cellulare e validarlo seguendo le istruzioni riportate. Non è obbligatorio validarlo, ma è preferibile farlo, in quanto quel numero diventa parte del metodo di accesso al proprio account. Io avevo già fornito a Twitter un numero di cellulare, che era già stato validato in precedenza; chi fornisce un recapito mobile per la prima volta è obbligato a verificarlo con una procedura diversa.

    Dopodiché si può attivare il nuovo metodo di autenticazione abilitando l’opzione che si vede sopra disponibile appena sotto “Reimpostazione password”.

    Una volta attivata la funzione, Twitter invia al numero fornito un SMS di notifica. Et voilà!

    Finalmente anche Twitter dispone di un’autenticazione a due fattori, che riduce i problemi conseguenti alla violazione di account seguiti (e fidati) da molte persone.

    Aggiornamento 26/5/2013F-Secure ha fatto delle prove e ha scoperto che il metodo utilizzato da Twitter è sensibile al SMS spoofing attraverso il quale si può disabilitare l’autenticazione tramite cellulare.

  • Tre miti sulla sicurezza delle reti WiFi

    In tema di sicurezza, la cosa peggiore è il fai da te non informato.

    Ci sono persone che hanno forti convinzioni in tema di sicurezza informatica, nessuna delle quali sostenuta da prove scientifiche, ma solamente da una personale limitata esperienza o banalmente da ignoranza in materia.

    Chi fa un lavoro come il mio si imbatte periodicamente in queste persone, la maggior parte delle quali operano in assoluta buona fede.

    (altro…)

  • I nastri usati delle etichettatrici

    password_dymoEro da un cliente a installare un nuovo router, e quando ho finito ho preso la buona vecchia etichettatrice a trasferimento termico e ho scritto un paio di etichette: una con l’indirizzo IP pubblico del router, e subito dopo una con la password, quest’ultima da attaccare in un posto non cosi` evidente sul router. Prima che mi diciate che non sono abbastanza paranoico, sappiate che lo sono perfettamente: so che se non lascio la password in un posto raggiungibile questa verra` persa, e il danno sara` maggiore dell’eventuale danno che puo` essere causato dalla possibilita` che qualcuno la legga, visto dove si trova fisicamente il router.

    Insomma, stampo le mie etichette, e quando le tiro fuori dalla etichettatrice queste, a causa di un problema di caricamento del nastro, si portano dietro anche il nastro di inchiostro che viene usato per stamparle, appiccicato all’etichetta stessa. Quello che vedete nella foto e`, appunto, il nastro dell’inchiostro, dove sono perfettamente leggibili gli indirizzi ip e le password.Non e` che prima di ieri io non sapessi come funzionano le stampanti di etichette, ma vederlo davanti al mio naso me l’ha ricordato in maniera molto incisiva.

    La prossima volta che butterete via il vecchio nastro dell’etichettatrice, fermatevi un momento a pensare.

  • Cifratura omomorfica

    Un ricercatore di IBM ha pubblicato i sorgenti di HELib, una libreria di funzioni per la cifratura omomorfica.

    Gli algoritmi omomorfici sono una famiglia di metodi di cifratura che, in teoria, permetterebbero di eseguire alcune operazioni sui dati cifrati ottenendo gli stessi risultati delle medesime operazioni svolte sui dati in chiaro. Ad esempio, Alice potrebbe eseguire una somma su alcuni valori registrati in maniera cifrata e Bob, e solamente lui, potrebbe decifrare il risultato.

    Se si sostituisce Alice con un server online utilizzato per registrare i dati e Bob con l’utente legittimo titolare di quei dati, le implicazioni di una famiglia di algoritmi simili sono notevoli, in quanto potrebbero essere compiute delle operazioni sui dati cifrati senza che Bob debba consegnare ad Alice la chiave per decifrarli e senza che i dati di Bob debbano essere trasmessi o memorizzati in chiaro per l’elaborazione.

    HELib implementa l’algoritmo omomorfico BGV (Brakerski-Gentry-Vaikuntanathan, PDF) con varie ottimizzazioni per renderlo più veloce ed è distribuita con la licenza GNU GPL. Per ora sull’account GitHub di Shai Halevi si trovano i sorgenti C++ della libreria e  qualche programmino di test, nulla più; non siamo ancora al livello di un’applicazione funzionante di cui si possono verificare caratteristiche e limiti.

  • Backdoor per Apache

    Sucuri ha analizzato una variante di malware battezzata Linux/Cdorked.A che colpisce Apache nei server gestiti tramite cPanel.

    In questo caso si tratta di una backdoor attivata tramite la sostituzione del file /usr/local/apache/bin/httpd (il programma vero e proprio di Apache) con uno infetto. Per rendere più difficile la rimozione del file compromesso, httpd viene marcato come immutabile.

    (altro…)