Tecnica anti-anti-phishing

Poco fa ho ricevuto una mail di phishing con l’aspetto di una comunicazione di una nota banca italiana.

Copio l’URL verso cui voleva farmi andare la mail, lo visito in incognito per verificare se sia già bloccato.

Visto che non era ancora bloccato, decido di segnalarlo a Google e a Netcraft. Leggi tutto “Tecnica anti-anti-phishing”

SSLv3 e RC4 con i server SMTP di Google

Google ha annunciato che dal prossimo 16 giugno bloccherà le connessioni SMTP cifrate con SSLv3 e RC4.

Questo potrebbe avere qualche impatto di poco conto sugli utenti e qualche piccola ripercussione per chi invia la mail da altri fornitori. Leggi tutto “SSLv3 e RC4 con i server SMTP di Google”

Protocollo 1 di OpenSSH

Damien Miller ha annunciato il percorso di obsolescenza del protocollo 1 nel pacchetto OpenSSH, il software open del client e server SSH.

In questo momento ci sono due protocolli SSH. SSH-1 è il protocollo originale creato nel 1995 da Tatu Ylönen; SSH-2 è un protocollo adottato a partire dal 2006 ed è incompatibile con SSH-1. Leggi tutto “Protocollo 1 di OpenSSH”

Togliete QuickTime da Windows ADESSO

Se avete QuickTime installato su Windows rimuovetelo adesso.

Zero Day Initiative ha pubblicato due articoli (qui e qui) riguardanti due diverse vulnerabilità che permettono ad un attaccante di sfruttare QuickTime per Windows per eseguire codice arbitrario.

Apple ha deciso di non supportare più la versione di Windows di QuickTime anche se, secondo Bleeping Computer, Apple continua ad offrire il download attraverso il programma che aggiorna i suoi software per Windows. Leggi tutto “Togliete QuickTime da Windows ADESSO”

Ci risiamo: ecco #DROWNAttack

Sono passati dodici mesi da quando il cosiddetto FREAK Attack ha scatenato il panico su internet: oggi parliamo di un altro rischio nella sicurezza di portata simile.

Si chiama DROWNAttack, ovvero Decrypting RSA with Obsolete and Weakened eNcryption, è un attacco che sfrutta una debolezza nella versione 2 del protocollo SSL. Questa debolezza non è frutto di un errore, ma di una scelta progettuale dovuta alle restrizioni esistenti negli anni ’90 sulla esportazione di tecnologie crittografiche dagli USA verso l’estero. La storia di come queste restrizioni siano state concepite e di quale danno abbiano provocato dovrebbe essere già noto a tutti, segnalo comunque al lettore interessato la esaustiva pagina su Wikipedia.

Il funzionamento di DROWN è spiegato in questo documento tecnico completo, tuttavia riassumeremo qui di seguito il suo modus operandi a grandi linee. Leggi tutto “Ci risiamo: ecco #DROWNAttack”

Se non password, allora #PassaFrase

PassaFraseIconSu questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password.
Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi interesso al campo così come ogni buon professionista nel campo IT dovrebbe fare e sto usando questo progetto non solo per offrire un servizio all’utente, ma anche per imparare qualcosa, possibilmente per trasmettere le lessons learned e per approfondire il dibattito sulla sicurezza, a tutti i livelli.

La necessità di password lunghe e complesse, come sapete già bene, è parecchio antica in termini informatici: fino a qualche anno fa andavano di moda password formate da sequenze casuale di lettere maiuscole e minuscole, numeri e qualche volta segni di interpunzione o similari. Queste password erano difficili da memorizzare tanto che alcuni le appuntavano: nella migliore delle ipotesi sulla agendina personale o nel portafoglio, nella peggiore in un post-it incollato sotto la tastiera. La loro presunta robustezza, tuttavia, ci convinceva che il gioco valesse la candela. Leggi tutto “Se non password, allora #PassaFrase”

Non servono coltelli senza filo

Apple ha compiuto una mossa coraggiosa con la pubblicazione di una lettera aperta ai propri clienti (americani).

Nella lettera Apple rivela che l’FBI avrebbe chiesto, in sostanza, di indebolire la sicurezza dei dispositivi iOS e di creare una backdoor che permetterebbe agli agenti di accedere facilmente alle informazioni personali registrate su di essi. Questo è il testo dell’ordine emesso dal giudice.

Apple dice di non aver dato seguito a questa richiesta e chiede che venga aperto un dibattito tra gli Americani su questo tema.

Tempo fa Google aveva dichiarato di essersi opposto alle ingerenze dell’FBI e Microsoft si era unita a Apple nella protesta. Leggi tutto “Non servono coltelli senza filo”

Abuso di utenti con privilegi elevati

Una delle norme più virtuali dei SysAdmin *NIX e’ l’uso di sudo al posto di su - e della shell interattiva di root. Tutti dicono di farlo e pochi lo fanno per una mera ragione di praticità (e poi non è simpatico digitare continuamente la propria password sotto gli occhi della gente).

Chi amministra *NIX lo fa spesso con un’interfaccia a riga di comando, quindi l’utilizzo della shell con privilegi di root è veramente quasi sempre dedicata ad attività amministrative.

Gli amministratori di Windows fanno anche di peggio. Leggi tutto “Abuso di utenti con privilegi elevati”

Un brutto caso di frode

Il blog di Malwarebytes racconta un brutto caso di frode informatica.

La pagina di un rivenditore autorizzato di Symantec conteneva il tipico messaggio “Virus rilevato sul tuo PC, chiama questo numero verde per rimuoverlo”. I tecnici di Malwarebytes hanno finto di cascarci, hanno chiamato il numero verde, hanno dato accesso alla persona ad un computer e alla fine della presunta indagine la persona ha offerto l’acquisto di Norton Ativirus. Leggi tutto “Un brutto caso di frode”

Certificato di XBOXLIVE.COM compromesso

Microsoft ha comunicato di aver inavvertitamente divulgato la chiave privata del certificato wildcard *.xboxlive.com

Il certificato può essere utilizzato per validare connessioni TLS, ma non può essere utilizzato per firmare altri certificati o firmare dei programmi, quindi il rischio è limitato alla validità dei certificati di tutti gli host di xboxlive.com

È, quindi, necessario prestare particolare attenzione ai siti del dominio xboxlive.com che presentano un certificato apparentemente valido e firmato da Microsoft. Leggi tutto “Certificato di XBOXLIVE.COM compromesso”

Let’s Encrypt

Let's EncryptIeri è partita la beta pubblica di Let’s Encrypt.

Il sito rilascia gratuitamente, senza se e senza ma, certificati TLS firmati da una CA riconosciuta dalla PKI, con l’eccezione di Windows XP.

In altre parole, i certificati di Let’s Encrypt sono riconosciuti dai browser, possono essere utilizzati senza problemi dalle società e se ne possono prendere un numero arbitrario. Leggi tutto “Let’s Encrypt”

eDellRoot CA preinstallata da Dell

Alcuni modelli di computer Dell tra cui XPS 15, Latitude E7450, Inspirion 5548, Inspirion 5000, Inspiron 3647, e Precision M4800 venduti di recente hanno preinstallato una CA completa di chiave privata che può firmare certificati utilizzabili per verificare l’attendibilità di un sito o di un programma.

Un attaccante potrebbe utilizzare quella CA per truffare gli utenti Dell attraverso siti civetta o programmi apparentemente legittimi. In entrambi i casi, chi ha installato la CA eDellRoot vedrebbe programmi e siti contraffatti come legittimi. Leggi tutto “eDellRoot CA preinstallata da Dell”

Ransomware per Linux

Si chiama Linux.Encoder.1 il primo ransomware per Linux.

Il programma in questione (ma potrebbero uscire altre varianti in seguito) richiede privilegi amministrativi perché si demonizza prima di agire.

Sento già qualcuno dire «Allora io sono tranquillo» e mi permetto di rispondere «Un bel par di palle!» Leggi tutto “Ransomware per Linux”

Poi non diamo la colpa agli utenti

Ogni giorno scriviamo megabyte di articoli e spendiamo ore per spiegare agli utenti l’importanza di una password sicura.

Anzi, spieghiamo che bisogna passare dal concetto di password (parola d’ordine) a quello di passphrase (frase d’ordine), ovvero mettere una frase relativamente lunga, che, in questo momento, è facile da ricordare e difficile da attaccare con metodi di forza bruta o con rainbow table.

Poi sbatti il naso contro questo: Leggi tutto “Poi non diamo la colpa agli utenti”

Freestart collision di SHA-1

SHA-1 è un algoritmo di hash, ovvero un algoritmo che trasforma una serie di dati di lunghezza arbitraria in una serie di dati di lunghezza fissa.

In crittografia una buona funzione di hash non deve permettere di dedurre i dati sorgente conoscendo solamente il risultato e non deve permettere facili collisioni, ovvero dato un risultato, trovare una sequenza di dati che fornisca quel preciso valore di hash.

Le funzioni di hash utilizzate in crittografia cambiano con l’evolversi della potenza computazionale a disposizione. MD5 è stato reso obsoleto da tempo, ora è il turno di SHA-1 perché la sua vulnerabilità è una cosa nota da qualche tempo.

Con un hardware attuale normalmente acquistabile si può calcolare una collisione SHA-1 in una settimana circa. Leggi tutto “Freestart collision di SHA-1”

Cambio politiche di AVG

avgIl prossimo 15 ottobre cambierà la politica del trattamento dei dati dell’antivirus gratuito AVG.

Volendo fare una sintesi imprecisa e molto succinta, da giovedì prossimo la società di Brno utilizzerà i dati non personali per scopi commerciali.

Per il nostro diritto un dato personale è quello che identifica una persona. Leggi tutto “Cambio politiche di AVG”

Differenze tra password e impronte digitali

La diffusione sui dispositivi mobili della tecnologia di lettura delle impronte digitali ha reso (di nuovo) famoso questo metodo di identificazione al punto tale che in alcuni contesti lo si vorrebbe sostituire alle password.

Prima di adottare allegramente questo metodo di identificazione bisogna capire bene le differenze tra una password (o una passphrase) e un’impronta digitale. Leggi tutto “Differenze tra password e impronte digitali”

“Telemetria” di Windows

Abbiamo detto delle funzioni possibilmente lesive della privacy di Windows 10.

Per questa specifica ragione molti hanno scelto di restare sulla versione 7 oppure 8 del sistema operativo.

Ho una brutta notizia per voi: gli aggiornamenti KB3075249, KB3080149 e KB3068708 per Windows 7, Windows 8 e Windows Server (sia a 32 sia a 64 bit) attivano lo stesso livello di “telemetria”.

Gli aggiornamenti sono stati distribuiti anche tramite WSUS. Leggi tutto ““Telemetria” di Windows”