SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Autenticazione a due fattori per Dropbox

    Dopo i recenti episodi di hackeraggio che hanno coinvolto Dropbox, il sito ha aggiunto la possibilità di attivare l’autenticazione a due fattori.

    Il primo fattore resta la password e il secondo può essere o un messaggio che si riceve via SMS oppure un’applicazione supportata (Google AuthenticatorAmazon AWS MFAAuthenticator for Windows Phone 7).

    L’autenticazione a due fattori è un notevole passo avanti nella sicurezza, in quanto chi volesse accedere in maniera fraudolenta al vostro account di Dropbox dovrebbe conoscere la password e avere in mano il vostro cellulare.

    Vediamo come attivare l’autenticazione a due fattori.

    (altro…)

  • Il ritorno di Melissa

    Melissa è un macro virus di Word che ha infettato la Rete nella primavera del 1999.

    Tredici anni dopo Melissa torna sui nostri vostri schermi sotto forma di un malware molto subdolo.

    La nuova Melissa non si replica inviando se stessa ai primi 50 contatti di Outlook. Questo nuovo malware a base sessuale non è dannoso per le vittime come il Sex Ladies che ha causato qualche problema agli utenti Macintosh nel 1988.

    All’apparenza, la Melissa del 2012 vuole solamente mostrarvi le sue grazie dopo che voi avete risolto alcuni CAPTCHA, e qui casca l’asino, o, meglio, il porco.

    (altro…)

  • PDF: non solo Adobe Reader

    I file in formato PDF sono diventati da tempo un subdolo veicolo di diffusione del malware.

    Il problema non sta tanto nei file medesimi, ma nel modo in cui vengono aperti e trattati dal programma di visualizzazione (reader). Il reader più popolare è senza dubbio Adobe Reader (già Acrobat Reader), ma è anche il più vulnerabile ai problemi di sicurezza, soprattutto perché molti utenti non lo aggiornano come dovrebbero e non percepiscono i file PDF come minacciosi.

    (altro…)

  • Fantascienza, ma non troppo…

    Quello che volgarmente chiamiamo “progetto SETI” è in effetti un nome collettivo che identifica tutta una serie di attività volte alla ricerca di vita senziente nello spazio.
    Una grande parte di questa ricerca è fatta, come tutti ben sapete, tramite l’analisi dello spettro elettromagnetico, in particolare utilizzando radiotelescopi per la rierca di segnali che potrebbero indicare, non una trasmissione dovuta a qualche fenomeno naturale, ma un messaggio codificato indice appunto di una trasmissione artificiale.

    Da qui il passo è breve, nell’immaginario collettivo, alla ricerca di un vero messaggio spedito da una civiltà aliena verso la Terra.
    Per quanto la scienza sia ancora lontana dallo scoprire un tale messaggio, la fantascienza abbonda di esempi a riguardo.
    A partire dai semplici messaggi di saluto, fino ad arrivare alla spedizione di veri e propri progetti verso di noi per farci costruire o sintetizzare qulcosa che, nei racconti di fantascienza, finisce inevitabilmente per procurarci diversi grattacapi.

    Questa appunto è fantascienza e nessuno crede veramente che gli alieni ci possano spedire qualche importante informazione, tanto meno mandare un virus nei nostri computer e conquistare la Terra senza muoversi dai loro terminali nella Galassia di Andromeda.
    Infatti, Indipendence Day è solo un film e nessuno crede veramente alla possibilità di collegarsi a un sistema informativo alieno e contaminarlo con la semplicità con cui stabilivamo una connessione dial-up a internet negli anni ’90. (altro…)

  • Nishang

    Con Nishang ci si avventura un una zona grigia del software, in cui la differenza tra difesa e offesa diventa indistinguibile.

    Lo scopo di quanto segue non è quello di incitare la violazione delle leggi, ma di documentare l’esistenza di questi strumenti, per poterli riconoscere in caso di attacchi.

    La PowerShell di Windows è uno strumento molto potente, molto più di quanto possa sembrare ad un osservatore superficiale o prevenuto. Era, quindi, naturale che prima o poi sarebbero arrivati degli script PowerShell per eseguire operazioni non del tutto legittime ai danni della vittima.

    Nishang gratta solamente la superficie, ma contiene esempi molto interessanti. Tipicamente gli script contenuti in Nishang vengono eseguiti sul computer vittima una volta che l’attaccante è riuscito a penetrare le difese, quindi non troverete script di penetrazione, bensì di controllo e ricognizione remoti, tra cui un utilizzo… creativo del record TXT del DNS.

  • Gauss

    La famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.

    Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.

    Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.

    L’analisi di Gauss è ancora in corso, quindi le informazioni non sono ancora complete, Kaspersky ha pubblicato un documento tecnico con le informazioni disponibili (HTML, PDF).

    (altro…)

  • Power Pwn

    Un nome strano per chi non conosce il gergo hacker per una ciabatta multipresa che nasconde molti segreti.

    Questo oggetto sarà in vendita alla fine di settembre al non economico prezzo di 1.295 dollari.

    Il prezzo non esattamente da supermercato è motivato dal fatto che l’aggeggio custodisce varie funzioni segrete, tra cui: due porte ethernet, ricetrasmettitore 802.11, GSM 3G con server ssh e possibilità di inviare comandi bash via SMS, ricetrasmettitore Bluetooth, 16 Gb di storage, stealth mode sulle porte eternet.

    Ovviamente non è solamente hardware: il simpatico oggetto arriva con molto software precaricato, tra cui: Debian 6, Metasploit, SET, Fast-Track, w3af, Kismet, Aircrack, SSLstrip, nmap, Hydra, dsniff, Scapy, Ettercap, tool Bluetooth/VoIP/IPv6 e molto altro.

    Magari una verifica che i cavi di rete del vostro ufficio non finiscano in oggetti strani… (via Bruce Schneier)

  • X-Ray for Android

    X-Ray for Android è un’applicazione che analizza il sistema per verificare eventuali problemi noti di sicurezza.

    L’applicazione non è disponibile sulla piattaforma di distribuzione ufficiale, ma va installata dal suo sito previa abilitazione di questa funzione nelle impostazioni di Android.

    (altro…)

  • Reset della password

    Per vari motivi ho cercato in giro alcune linee guida su come scrivere una buona procedura di reset della password di un account via posta elettronica, ne riassumo qui alcune, in ordine sparso.

    Non modificare i dati fino alla conferma dell’utente. A meno di necessità specifiche o casi particolari, i dati di autenticazione non devono essere modificati fino all’avvenuta conferma da parte dell’utente, al fine di impedire che buontemponi blocchino l’accesso all’utente semplicemente chiedendo un reset della password.

    Usare CAPTCHA. La pagina di richiesta del reset della password dovrebbe contenere un CAPTCHA per evitare che i sistemi automatici possano attaccare facilmente il sistema oppure possano provocare disagi a più utenti.

    Utilizzare una buona fonte di entropia. L’URL per il reset della password inviato via mail deve contenere una parte casuale, che non deve essere legata al timestamp o ad altri valori deterministici. È bene utilizzare sempre il generatore di numeri casuali disponibile sul sistema (/dev/urandom per *NIX) anziché una funzione di libreria del linguaggio.

    Limite di tempo. L’URL utilizzabile per il reset della password deve avere una scadenza oltre la quale non è più valido.

    Spiegare bene. Sia la pagina di reset della password sia le mail che vengono inviare all’utente devono essere ben chiare e spiegare bene la modalità di reset. In particolare, la mail deve indicare in maniera precisa il nome del sito di cui si sta reimpostando la password, il termine ultimo di validità e le azioni da intraprendere se chi riceve la mail non ha chiesto il reset della password.

    Confermare. Una volta terminata (o cancellata) l’operazione, è bene inviare una seconda mail di conferma all’utente.

    Monitorare. Una funziona amministrativa dovrebbe segnalare gli account di cui viene richiesta spesso la reimpostazione della password. Inoltre è bene impedire un numero non-umano di richieste di reset della password nell’unità di tempo, come, ad esempio, 500 richieste all’ora.

    HTTPS. Se possibile, utilizzare HTTPS con un certificato valido per il form di richiesta di reset e per l’URL di sblocco.

    Cookie. Non devono essere utilizzati i cookie per identificare l’utente ed eventuali cookie di sessione o di identificazione devono essere cancellati nel momento in cui la password viene reimpostata.

    Riservatezza. Se nel form di richiesta password si richiede direttamente la mail (da evitare, se possibile), quando viene inserita una mail sconosciuta, il programma deve comportarsi allo stesso modo in cui si comporterebbe se la mail fosse di un utente registrato, al fine di impedire ad un eventuale curioso o attaccante di capire se una mail corrisponde ad utente effettivamente registrato.

    Va da sé che queste sono linee guida che si applicano a siti normali, per ambienti che richiedono una sicurezza maggiore devono essere messe in campo procedure completamente diverse.

  • Black-Ops Plastic

    Qwonn ha presentato una nuova serie di sistemi di sorveglianza basati su un materiale particolare.

    Questo tipo di plastica appare nera all’occhio umano, ma è trasparente alle telecamere in bianconero.

    In questo modo è possibile nascondere delle telecamere in oggetti apparentemente innocui, come il sostegno di una lampada da tavolo o un bicchiere da viaggio.

    I dettagli e il principio su cui si basa questo tipo di materiale non sono ancora noti, dal momento che è ancora in corso la procedura per ottenere un brevetto.

    Va da sé che è meglio trattare con sospetto qualsiasi oggetto di plastica nera… (via Bruce Schneier)

  • Secure boot e Windows 8

    Da diverso tempo monta la polemica sulla decisione di Microsoft di certificare per Windows 8 solo i sistemi dotati di UEFI secure boot.

    Per chi non lo sapesse si tratta di un sistema di interfaccia tra il BIOS ed il sistema operativo atto ad impedire il BOOT di qualsiasi dispositivo sprovvisto di firma digitale.

    Questo è ovviamente visto da molti come l’ennesimo tentativo di Microsoft di limitare la libertà dell’utente, impedendogli di fatto l’utilizzo di sistemi operativi diversi.
    Per fare un esempio le attuali distro LINUX live non potrebbero essere avviate su un PC dotato di questo dispositivo se non disattivandolo (operazione non alla portata di tutti).

    (altro…)