SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • SQL injection

    Questo articolo è per chi non sa cosa sia la SQL injection.

    Con questo termine si identifica una classe di vulnerabilità dei software che consente ad un utente qualsiasi di aggirare i controlli del software e inviare direttamente al server comandi SQL.

    Prima della diffusione dei server SQL i dati venivano archiviati e recuperati utilizzando funzioni di libreria del linguaggio di programmazione. Esisteva un comando/funzione del linguaggio per aprire un archivio di dati, uno per cercare un record, un altro per aggiornare i dati, un altro ancora per cancellarli e così via. Con questo sistema era di fatto impossibile portare attacchi tipo SQL injection perché i comandi relativi al trattamento dei dati erano parte del programma. In altre parole, le azioni che avevano come oggetto i dati erano cablate nel programma e non c’era modo di cambiarle se non cambiando il programma (e ricompilarlo).

    La diffusione capillare dei server SQL ha cambiato le carte in tavola.

    (altro…)

  • Analisi accurata di STUXNET

    Questa pagina contiene un video di un’oretta in cui Ralph Langner espone la prova inconfutabile che STUXNET sia stato fatto per colpire le installazioni iraniane.

    La presentazione si basa sul payload di STUXNET che il team di Langner ha isolato, decrittato, decompilato, decodificato e, infine, correlato con il presunto obiettivo del malware.

    Le operazioni sono state complicate dal fatto che parte del materiale su cui opera STUXNET è classificato.

    Il risultato, comunque è notevole: grazie anche alle foto propagandistiche del sito Internet del presidente iraniano è stato possibile dimostrare che STUXNET è stato realizzato espressamente per colpire quell’installazione.

    Due note di colore: il numero 6 sembra essere molto ricorrente nel codice di STUXNET e spesso la voce di Langner ricorda molto quella di Londo Mollari 🙂

  • Scoperto un video amatoriale del disastro dello Space Shuttle Challenger

    Un video inedito del disastro dello Space Shuttle Challenger è emerso da una cantina della Florida dopo quasi un quarto di secolo. Il filmato amatoriale è stato registrato da Jack Moss con la sua nuova videocamera la mattina del 28 gennaio 1986.

    I quattro minuti del filmato catturano il momento del disastro, 73 secondi dopo il lancio dal Kennedy Space Centre (Florida), in cui morirono i sette gli astronauti a bordo del Challenger. La flotta degli Shuttle rimase a terra per quasi tre anni ed il programma spaziale della NASA fu modificato e ridimensionato.

    Non credo che il signor Moss abbia pensato che fosse qualcosa di importante. Lo ha messo nel suo scantinato con altri nastri e se ne è dimenticato“, ha detto Marc Wessels, executive director dello Space Exploration Archive, gruppo che raccoglie cimeli spaziali per scopi didattici.

    Ci volle un po’ per trovare qualcuno con un vecchio lettore video Betamax, poi ho dovuto guardare ore di gameshows e sit-com degli anni ’80, ma quando ho trovato il filmato ho pensato che le persone dovevano vederlo

    [youtube=http://www.youtube.com/watch?v=41jq_5ltkno&w=480]

    In memoria di Dick Scobee (Comandante), Michael J. Smith (Pilota), Judith Resnik (Specialista di missione 1), Ellison Onizuka (Specialista di missione 2), Dr. Ronald McNair (Specialista di missione 3), Greg Jarvis (Specialista del carico 1) e Christa McAuliffe (Specialista del carico 2). 28 gennaio 1986

    [via Gravità Zero]

  • Cos’è il genio? /8

    Vivi in Inghilterra anche se non sei un brit. Hai un ruolo importante in quanto sei uno dei responsabili dei database di una multinazionale e stai concordando con il responsabile dei database della filiale italiana la migrazione dei due database server che contengono i dati delle due applicazioni mission critical aziendali.

    Dopo che ti sono state illustrate le procedure da utilizzare per la migrazione, nate dall’esperienze passate, decidi di voler cambiare le carte in tavola e chiedi di cambiare la porta di default del database. Quando, dall’Italia, ti vengono chieste spiegazioni in merito, inizi una mini pontificazione sulla necessità, nonostante ci si trovi in una rete interna senza accessi dall’esterno, di essere estremamente attenti alla security: “gli attacchi degli hacker e i virus vanno sulle porte di default dei database“. Quando il tuo alter ego italiano ti sottolinea che, avendo avuto qualche esperienza di hacking “se dovessi fare un attacco certo non mi limiterei alle porte di default“, rispondi con superiorità concedendo di lasciare invariate le porte dei database server.

    E poi, pochi minuti dopo, chiedi al responsabile dei database italiani che ti mandi via email gli username e le password di tutti gli account sql dei server?

    Sei un genio !

  • Incontro del VMUG IT di aprile

    Finalmente è arrivato il momento di svelare la sorpresa che il VMUG IT ha preparato per il prossimo meeting.

    Innanzi tutto, un po’ di informazioni.

    Il primo meeting VMUG IT del 2012 si terrà il 4 aprile a Sirmione (BS), presso il Grand Hotel delle Terme, proprio di fronte alla Rocca Scaligera.

    Il focus dell’evento sarà sul tema virtual security, con interventi su tecnologie specifiche di questo ambito.

    (altro…)

  • Voi e le vostre password complicate!

    Secondo quanto rivela il giornale israeliano Haaretz, la password dell’account mail di Bashar Assad compromesso da Anonymous sarebbe stata 12345.

    1 2 3 4 5 

    Se la notizia fosse vera non ci sarebbe molto da commentare, tranne che solamente l’erede al trono del regno degli incoscienti (per non utilizzare termini ben peggiori) utilizzerebbe una password del genere per un account governativo.

    Poi, però, non diamo la colpa agli hacker…

  • Hacking dei siti: un bene o una scocciatura?

    Di recente c’è stato un incremento di hacking di siti e pare che le nuove vittime siano i sistemi di videoconferenza.

    Certamente non è simpatico per un SysAdmin o responsabile IT scoprire da Twitter che il sito di cui si è responsabili ha delle falle di sicurezza che sono state sfruttate da dei simpaticoni che hanno spiattellato la falla sulla home page del sito stesso. Tanto chi vuoi che sia interessato al nostro sito! dicono in tanti.

    Questi eventi dimostrano come prima cosa una teoria: la sicurezza dei siti Internet è, nella migliore delle ipotesi, sottovalutata. Password ovvie, credenziali condivise tra troppi attori, nessun test serio per gli attacchi standard, modifiche strutturali fatte all’ultimo momento, fornitori abili nella grafica web ma completamente ignoranti in tema di sicurezza, progetti gestiti dal dipartimento sbagliato, subappalti dei lavori… queste sono alcune delle cause che alzano notevolmente le probabilità che un sito venga compromesso.

    Le attività di hacking non sono simpatiche, specie se ci si trova dalla parte della vittima, ma credo siano utili.

    (altro…)

  • Ok gli attacchi di Anonymous, ma…

    Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.

    Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.

    Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.

    Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.

    Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.

    I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.

    Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.

    Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.

  • Quis custodiet ipsos custodes?

    Lo diceva Giovenale e anche Platone nel Repubblica trattava questo problema: Nempe ridiculum esset, custode indigere custodem.

    Gli eventi di cronaca degli ultimi giorni hanno mostrato quali siano i pericoli di avere una sola persona al comando senza che questa debba rispondere delle proprie azioni, se non ex post (ok, adesso la pianto con il latinorum) nel caso in cui queste azioni abbiano conseguenze nefaste.

    Anche nel mondo IT ci sono dei SysAdmin che, per necessità dell’organizzazione per cui lavorano o per prassi consolidate, si trovano ad avere pieni poteri sui sistemi che amministrano senza un auditing terzo.

    Non sto, certo, dicendo che ogni personale IT con accessi privilegiati debba essere sottoposto ad una procedura di presunzione di colpevolezza, ma le organizzazioni che impiegano i SysAdmin dovrebbero avere delle procedure che limitano i danni in casi di crisi.

    Alcuni comportamenti o procedure che evitano i problemi sono questi.

    (altro…)

  • Quanto è facile rubare i server di un’azienda?

    Il titolo si riferisce al server come servizio, non come hardware: i dati e le configurazioni, non il ferro.

    Immaginiamo che un malintenzionato, che chiameremo Dr. No, voglia rubare dati e infrastruttura IT di un’azienda. Il nostro Dr. No potrebbe essere un dipendente infedele, un consulente doppiogiochista o qualsiasi altro losco figuro, la cosa non ha rilevanza ai fini di questa storia.

    (altro…)