SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Elenco dei profili di Google

    Con questo semplice script in Python è possibile scaricare l’elenco degli URL di tutti i profili degli utenti di Google:

    import urllib
from BeautifulSoup import BeautifulStoneSoup as bs
xml = bs(urllib.urlopen('http://www.gstatic.com/s2/sitemaps/profiles-sitemap.xml').read())
for i in xml.findAll('loc'):
    try:
        urllib.urlretrieve(i.text, i.text[35:])
        print 'Downloaded %s' % i.text[35:]
    except Exception, err:
        print '%s could not be retrieved' % i.text
print 'All done'

    gstatic.com è il nome a dominio che Google utilizza per servire contenuti statici e ridurre, quindi, il carico sui server principali.

    Il risultato è una serie di file di testo con un URL per ogni riga.

    L’URL è quello del profilo di ciascuno dei 35.513.445 utenti registrati. Per fare un esempio, questa è la pagina del mio profilo, contenuta tra quelle scaricabili con lo script riportato sopra (via Yiannis).

  • I dollari di Windows

    Gli amministratori di sistemi Windows senza dubbio conoscono bene la possibilità di accedere all’intero disco fisso di un computer collegato in rete per  il quale si hanno le credenziali di amministratore usando la condivisione amministrativa identificata dal nome del drive seguita dal segno dollaro.
    Sfruttando questo accesso, è possibile copiare o prelevare files senza disturbare il lavoro degli utenti, facilitando al contempo l’amministrazione di un computer Windows.
    Ovviamente questa abilità offre il fianco anche a possibili attacchi: è sempre buona norma – e questo è un motivo in più – fare attenzione all’elenco degli utenti che fanno parte del gruppo Administrators e alla forza della loro password. Invece la difesa perimetrale della rete dovrebbe fare in modo di impedire l’accesso a queste condivisione a chiunque sia all’esterno della LAN.

    Fatta questa piccola precisazione sulla sicurezza, diciamo che gli utenti migrati da Windows XP (ancora ampiamente usato soprattutto in ambito aziendale) verso Vista o 7 avranno trovato impossibile utilizzare questo tipo di accesso che infatti risulta disabilitato per impostazione di base nei due sistemi operativi più recenti di Microsoft.
    E’ tuttavia possibile riattivare manualmente questa funzionalità agendo su un valore del Registro che si trova nella chiave

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

    Verificate se esiste la voce LocalAccountTokenFilterPolicy, altrimenti createla come 32-bit DWORD e impostatela al valore 1.
    Dopo aver riavviato il PC, sarà di nuovo possibile accedere alle condivisione amministrative usando la solita sintassi del tipo \\nomecomputer\c$.

  • Il verso di scrittura usato come vettore di attacco

    La diffusione dei computer al di fuori degli Stati Uniti e dell’Europa occidentale aveva iniziato a porre il problema degli alfabeti non latini.

    La soluzione a questo problema si chiama Unicode, un sistema di codifica dei caratteri che dovrebbe permettere, nel lungo termine, di mappare tutti gli alfabeti passati e presenti della Terra. La codifica Unicode prevede anche uno spazio dedicato, la Private Area, che può essere utilizzato per mappare alfabeti di fantasia, come, ad esempio, il klingon.

    Per poter mischiare vari tipi di alfabeti o per soddisfare le necessità di alfabeti che, come l’arabo, hanno una parte scritta verso sinistra e una parte verso destra, Unicode prevede alcuni caratteri di controllo che segnalano il cambio di verso di scrittura.

    Tutto bene, finché il cambio di verso non viene utilizzato come vettore di attacco per costringere l’utente ad aprire quello che lui crede essere un file di dati, mentre, in realtà, è un eseguibile.

    (altro…)

  • È ora di cambiare la password di Facebook

    Symantec segnala che alcune applicazioni di Facebook potrebbero aver concesso involontariamente l’accesso all’access token degli utenti a terzi.

    L’access token è il sistema con il quale le applicazioni agiscono per conto degli utenti su Facebook, dopo aver ricevuto l’approvazione dell’utente stesso.

    Un’applicazione con il vostro access token può impersonarvi su Facebook limitatamente alle azioni che voi avete concesso a quel token.

    Per invalidare l’access token è sufficiente cambiare la password del proprio account, l’opzione si trova nelle impostazioni dell’account.

    Resta sempre valido il consiglio di concedere privilegi a meno applicazioni possibili e di rivedere di tanto in tanto le applicazioni a cui si sono concessi dei privilegi.

  • MACDefender

    È in corso un’azione volta ad associare nei motori di ricerca alcuni temi attuali, come la morte di Bin Laden, a link che portano a malware.

    Tra i malware c’è una novità di cui non sentivamo certamente la mancanza: un finto antivirus per OSX di Maintosh presentato con il nome di MACDefender.

    Bisogna chiarire subito un fatto: non esistono scanner antivirus legittimi che saltano su ex abrupto e, in un attimo, trovano decine di virus sui computer. Sono tutti finti, siano essi per Windows, OSX, Android, iOS…

    I siti civetta che tentano di forzare l’utente ad installare MACDefender propongono il download di un file compresso come BestMacAntivirus2011.mpkg.zip, di un pacchetto di installazione o anche di un’applicazione pronta per essere eseguita.

    Chi ha abilitato l’opzione Open Safe files after downloading di Safari si troverà installato il malware senza che sia necessario confermare alcunché. Inutile dire che è bene disabilitare questa opzione.

    MacRumors ha una procedura da seguire per chi è caduto vittima di questo malware.

    Anche i forum di Apple contengono riferimenti a questo tipo di malware. (via NakedSecurity, ISC).

  • Non solo in Italia le cazzate legislative

    PasswordCome dice Luigi quiogni tanto qualche legislatore ha la bella idea di regolamentare qualche aspetto dell’informatica“.

    E’ notizia di circa un mese fa che il governo francese ha deciso di proibire che le password all’interno di un sistema informatico vengano conservate criptate.

    Secondo la BBC la legge obbliga i siti di e-commerce, i servizi di video, music ed i provider webmail di mantenere alcuni dati degli utenti. Questi includono il nome completo, indirizzo, numeri di telefono e password. Ovviamente i dati devono essere passati alle autorità su richiesta. Polizia, dogana ed ufficio delle imposte hanno diritto ad accedere a quei dati.

    Alcuni big della rete come Google, Ebay si sono attivati al fianco dell’associazione francese per i servizi alla Internet community (ASIC) per una battaglia legale. Alcuni hanno dichiarato che potrebbero anche chiudere completamente i propri servizi agli utenti transalpini.

    (via Napolux)

  • Attenzione ai link relativi a Bin Laden

    I recenti avvenimenti di cronaca relativi all’uccisione di Bin Laden e di altri membri della sua famiglia in Pakistan potrebbero essere sfruttati per distribuire malware.

    ISC ha già diramato un avviso in merito.

    In sostanza, è consigliabile evitare di seguire link che promettono immagini eclatanti, siano essi nei messaggi di posta elettronica, sui forum o sui social network. Il fatto che questi link siano postata da amici che conoscete bene non deve essere un fattore mitigante, specialmente se queste persone non fanno abitualmente queste cose.

    Anche i risultati delle ricerche di immagini su Google dovrebbero essere trattati con le molle.

  • Crackato il sistema di autenticazione delle immagini di Nikon

    Dopo aver scoperto un problema nel sistema di autenticazione di Canon, la Elcomsoft è riuscita a crackare anche il sistema di Nikon.

    I modelli interessati da questo problema sono tutti quelli che supportano la tecnologia Image Authentication: D3X, D3, D700, D300S, D300, D2Xs, D2X, D2Hs, e D200.

    L’Image Authentication di Nikon calcola un hash SHA-1 dei dati e un altro dei metadati di una fotografia. I due valori di 160 bit ciascuno vengono, quindi, crittografati attraverso una chiave privata registrata nella fotocamera utilizzando l’algoritmo RSA-1024. I due valori di 1024 bit (128 byte) che rappresentano la firma elettronica della fotografia sono registrati nei metadati EXIF MakerNote, riservati, appunto, ai dati non standard che il costruttore dell’apparecchio decide di registrare.

    Il software di validazione di Nikon estrae questi due valori e li decritta attraverso la parte pubblica della chiave RSA con cui sono stati crittografati.

    Elcomsoft è riuscita ad estrarre la chiave privata, che dovrebbe rimanere segreta, da una fotocamera Nikon. Conoscendo la chiave privata e l’algoritmo di firma, non pubblicato da Nikon, ma scoperto da Elcomsoft), è possibile firmare qualsiasi tipo di immagine. (via blog di Elcomsoft, The Register)

     

     

  • Cercate delle chiavi private di PGP?

    Trovare su Internet delle chiavi private in formato OpenPGP è più semplice di quanto si possa credere, basta chiedere a Google.

  • Tanto fumo, niente fuoco

    Come ormai tutti saprete, oggi la Web Farm di Aruba.it – uno dei grandi fornitore di connettività, server e servizi internet in Italia – ha subito un grave incidente, per fortuna senza danni a persone.

    Come cliente, devo dire che l’azienda non ha brillato per velocità nella comunicazione e per trasparenza, tuttavia è ormai chiaro come si sono svolti i fati.
    A causa di un corto circuito in una batteria nella sala UPS, la plastica degli involucri è andata letteralmente in fumo, facendo scattare gli allarmi antincendio che hanno quindi preventivamente tagliato l’alimentazione elettrica in tutta la struttura.
    A causa di questo problema, molti siti internet in hosting, server in housing e altri servizi hanno smesso di funzionare per molte ore. I tecnici di Aruba hanno quindi messo l’alimentazione elettrica in bypass escludendo gli UPS e assicurando un ritorno all’operatività per quanto senza più nessuna ridondanza sull’alimentazione fornita dalla rete.

    Per chi volesse approfondire la questione, può rivedersi il microblog su Twitter oppure il comunicato stampa ufficiale.
    Sarà interessante seguire la vicenda nelle prossime ore e giorni e vedere come questa azienda affronterà il resto del disaster recovery, oltre che prendere nota delle reazione dei clienti all’interruzione prolungata.

  • Dalle porte aperte non entrano solamente gli amici

    Come ogni tecnologia di Internet, c’è sempre qualcuno che ne abusa e obbliga a chiudere servizi utili che prima erano accessibili a tutti senza problemi.

    Quando ho mosso i primi passi nella Rete, tutti i server SMTP accettavano mail da tutti perché era così che doveva essere. Adesso un mail server del genere verrebbe blacklistato in poche ore.

    La pratica dei WiFi liberi poteva sembrare bella e utile, finché qualcuno non ha iniziato ad abusarne, rendendola sconsigliabile.

    Al di là delle imposizioni di legge, ci sono due motivi essenziali per cui i WiFi liberi non sono più una bella idea.

    Il primo problema l’avevamo trattato tempo fa, vi rimando, quindi all’articolo Proteggere i WiFi liberi con una password nota per i dettagli. In pratica, in una rete WiFi senza password i pacchetti dati passano in chiaro e sono leggibili da tutti quelli che vogliono farlo.

    Il secondo problema è ben più grave, come hanno sperimentato sulla loro pelle delle persone di Buffalo, Sarasota e Syracuse. In breve, i WiFi liberi possono venir utilizzati da malintenzionati per commettere delle azioni illegali, tra cui il download di materiale pedopornografico.

    La vostra connessione, lasciata libera con le migliori intenzioni di aiutare il prossimo, potrebbe, quindi, essere utilizzata per scopi illeciti. (via Bruce Schneier)

  • iOS tiene traccia della posizione del device

    Pete Warden ha scoperto che iOS registra nella directory di root la posizione del device in un database SQLite in chiaro.

    I dati sono registrati nella tabella CellLocation, ogni record contiene latitudine, longitudine e timestamp espresso come numero di secondi trascorsi dal 1 gennaio 2001. Le coordinate sono calcolate triangolando le torri, non via GPS, quindi non sono estremamente precise, specialmente se si riferiscono a zone in cui le torri sono molto distanti tra loro.

    All’interno di iOS il file si trova nella directory dell’utente root, quindi nessuna APP può leggere quei dati, ma non può nemmeno cancellarli.

    Quando, però, viene eseguito un backup del dispositivo, se non si selezione la copia crittografata, il file SQLite è liberamente accessibile sul computer in cui è registrato il backup.

    Inoltre, chiunque entri in possesso del device iOS potrebbe fare una copia del contenuto e analizzarlo.

    Aggiornamento 26/4/2011Sulla mailing list Full disclosure c’è una procedura applicabile ai dispositivi iOS non sbloccati che disabilita la registrazione dello storico delle posizioni. La procedura consiste nella creazione  di una serie di trigger da applicare al database che registra i dati che cancella lo storico delle posizioni registrate.