SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • SHA-3

    Il NIST ha scelto l’algoritmo da utilizzare per la funzione hash SHA-3: la funzione Keccak (pron. [kɛtʃak] come ketchup) ideata da Guido Bertoni, Joan Daemen, Michaël Peeters e Gilles Van Assche.

    Gli algoritmi di hash sono molto utili nell’informatica e nella crittografia.

    In informatica si possono usare per confrontare più velocemente stringhe più lunghe: se voglio, ad esempio, individuare tutti i file uguali tra loro su un disco mi conviene creare un hash associato ad ogni file (con il suo path), metterli in ordine e verificare i doppi. Questo permette di elaborare delle stringhe di pochi byte anziché file considerevolmente più grossi.

    (altro…)

  • Seria vulnerabilità di alcuni Android

    Ravi Borgaonkar, un ricercatore presso il dipartimento delle telecomunicazioni della Technical University di Berlino, ha dimostrato alla conferenza sulla sicurezza argentina Ekoparty l’esistenza di una severa vulnerabilità di alcuni telefoni Android e altri telefoni Samsung basati su sistemi operativi differenti.

    Il problema si basa sulla gestione dell’URI tel: e consentirebbe ad un attaccante di convincere la vittima a visitare una pagina web ad hoc per cancellare il contenuto del telefono attraverso un apposito codice USSD.

    (altro…)

  • Compromesso un certificato di Adobe

    Adobe ha annunciato che uno dei suo certificati utilizzati per firmare i programmi per Windows è stato compromesso.

    Il problema riguarda tutti i programmi Adobe per la piattaforma Windows e tre applicazioni Adobe Air che girano sia su Windows sia su Macintosh: Adobe Muse, Adobe Story AIR e Acrobat.com desktop services.

    Secondo il rapporto preliminare pubblicato da Adobe, uno dei server utilizzati per la compilazione dei programmi sarebbe stato infettato da malware che ha permesso a terzi di prendere il controllo del server. Gli attaccanti sono riusciti a compilare del software realizzato da loro e ad utilizzare i protocolli interni di Adobe per firmare digitalmente il software fraudolento. Non ci sarebbe stato un accesso diretto degli attaccanti alle chiavi private dei certificati.

    Uno dei programmi firmati con il certificato di Adobe è pwdump7 v7.1, ma F-Secure ha 5127 campioni di programmi firmati con il certificato compromesso di Adobe.

    Il certificato compromesso verrà revocato il 4 ottobre 2012 alle 13:15 PDT (20:15 GMT). Spostare questo certificato nel gruppo dei certificati non fidati non mitiga il problema.

    Adobe sta firmando di nuovo tutti i programmi e li sta ridistribuendo: è, quindi, particolarmente importante aggiornare i programmi di Adobe quando appare l’avviso che è disponibile un aggiornamento.

    Si potrebbe approfittare di questa occasione per sostituire Adobe Reader con un altro lettore di PDF.

    Adobe ha approntato una pagina di supporto per chiarire i dettagli di questo incidente.

    Aggiornamento 1/10/2012: Per trovare i file firmati con il certificato compromesso, utilizzare un programma che possa cercare stringhe esadecimali e cercare “15e5ac0a487063718e39da52301a0488” (via Mikko Hypponen)

  • La sicurezza dei database è in mano agli sviluppatori

    Agli sviluppatori delle applicazioni che usano i database, ovviamente.

    Dark Reading raccoglie in un articolo un decalogo di consigli per gli sviluppatori che vogliono mitigare i problemi di sicurezza delle applicazioni che utilizzano database (tipicamente SQL, ma non necessariamente).

    Alcune norme sono ovvie e ne abbiamo parlato anche noi: la prima in assoluto è la SQL injection, molto più diffusa di quello che si possa credere. Basta, infatti, che un solo campo di un’intera applicazione non venga opportunamente sanificato per mettere a repentaglio la sicurezza dell’intero progetto.

    (altro…)

  • ClamAV ha bisogno di voi

    ClamAV, l’antivrus multipiattaforma gratuito, ha bisogno dell’aiuto dei suoi utenti per migliorare le statistiche.

    Joel Esler ha scritto sul blog dell’antivirus un articolo che spiega il modo in cui chi ha installato ClamAV può partecipare volontariamente alla raccolta anonima di statistiche.

    La funzione viene abilitata apportando alcune modifiche ai due file di configurazione dell’antivirus.

    In freshclam.conf bisogna togliere il commento a SubmitDetectionStats, che deve contenere il path di clamd.conf.

    In clamd.conf l’opzione LogTime deve essere impostata a Yes e LogFile deve contenere il path del file di log (ricordatevi di ruotarlo o cancellarlo periodicamente).

    Fatto ciò, ogni volta che freshclam verifica se ci sono degli aggiornamenti invia automaticamente le statistiche di eventuali virus rilevati.

  • 1234, 1111, 0000 … 9629, 8093, 8068

    Non ci vuole un genio del calcolo combinatorio per capire che 10 simboli combinati a blocchi di 4 danno 10.000 combinazioni diverse.

    Data Genetics in un articolo del suo blog ha condotto un’analisi si 3,4 milioni di password a 4 cifre: alcuni risultati sono ovvi, altri interessanti.

    Per estensione si potrebbe presumere di applicare questa analisi ai PIN a 4 cifre, come quello del cellulare o della carta di credito chip and pin, due contesti in cui il PIN a 4 cifre è assegnato stocasticamente, ma può essere modificato dall’utente.

    (altro…)

  • Pericolosa vulnerabilità di Internet Explorer

    Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa.

    La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo.

    Anche il famoso tool Metasploit dispone già di un modulo per sfruttare questo baco.

    Microsoft ha rilasciato un FixIt per sistemare il problema immediatamente. Domani 21 settembre verrà rilasciata una patch fuori banda attraverso il canale degli aggiornamenti automatici.

  • Java: toglietelo se non lo usate

    Secondo un detto mutuato dalla meccanica, quello che non c’è non si rompe.

    L’installazione della macchina virtuale (che è diventata sempre più una macchina vulnerabile) Java fa parte spesso di quella che il personale IT considera la dotazione standard di un PC da consegnare agli utenti.

    Purtroppo Java continua ad avere problemi di sicurezza nonostante i continui aggiornamenti (qui e qui) e spesso gli utenti ignorano bellamente gli avvisi di disponibilità di nuove versione di Java.

    L’unica soluzione è rimuovere Java e installarlo solamente se richiesto espressamente.

    Ci sono casi molto definibili in cui Java è necessario, come, ad esempio, se si utilizzano software realizzati per conto dell’Agenzia delle Entrate.

    Credo sia il momento di passare dall’installazione per default all’installazione su richiesta, per evitare di avere a bordo un altro software utilizzabile come vettore di malware.

  • Microsoft alza il limite minimo delle chiavi RSA

    Il patch tuesday di ottobre conterrà l’aggiornamento di cui all’articolo KB2661254.

    L’avviso è stato diramato con così largo anticipo per l’impatto che potrebbe avere in molte organizzazioni: una volta installata KB2661254 non verranno più considerate valide le chiavi RSA con lunghezza minore di 1024 bit.

    (altro…)

  • Fammi eseguire il dannato script!

    Chi si è avvicinato all’utilizzo della PowerShell ha cozzato quasi subito con la bella feature che impedisce di eseguire gli script.

    Sembra una barzelletta, ma l’interprete di script di Microsoft per default non esegue gli script non firmati. Nulla di grave perché un Set-Execution-Policy Unrestricted rimette le cose a posto.

    Nonostante ciò, oggi non riuscivo ad eseguire uno script che avevo caricato su un server di un cliente nonostante la policy Unrestricted confermata anche da Get-Execution-Policy.

    Il problema era che avevo scaricato da Internet lo script: l’avevo creato a casa mia, l’avevo compresso e caricato su uno dei miei server e da lì l’avevo scaricato sul computer a cui ero connesso in VPN.

    Tanto è bastato per far arrabbiare PowerShell.

    (altro…)

  • La guerra civile per il computer universale

    Cory Doctorow ha cortesemente concesso il diritto di pubblicare la traduzione del suo discorso The Coming Civil War over General Purpose Computing.

    Quindi ecco la nuova pagina L’imminente guerra civile per il computer universale direttamente accessibile dalla barra di menu sotto al titolo del blog. La prima stesura della traduzione è mia; Paolo Attivissimo ha rifatto rivisto il mio testo per dargli un aspetto professionale e, soprattutto, sensato. Ancora una volta grazie a Paolo per aver dedicato parte del suo pochissimo tempo libero per questa revisione.

    Il discorso sulla guerra civile è il seguito di quello sul computer universale. Non sono letture leggere né brevi, ma sono pregne di concetti e di spunti di riflessione. Cionondimeno vale la pena prendersi una decina di minuti per affrontarle perché offrono un punto di vista su una serie di possibili scenari futuri che potrebbero portare a situazioni non esattamente simpatiche per quanto riguarda le nostre interazioni con i computer e per tutto quanto è comandato da loro.

    Nel discorso della guerra civile c’è un’ampia parte dedicata ai rapporti tra personale IT e utenti, con un breve excurus storico su come il personal computer sia entrato in azienda.

    Buona lettura.

    Aggiornamento – Se qualcuno pensa che quelle scritte negli articoli sono fantasie di un hippy un po’ naïf, considerate che Apple ha brevettato un sistema per disabilitare alcune funzioni (leggi: telecamera) dei dispositivi in base alla posizione (leggi: dove a qualcuno non piace che vengano scattate foto).