Sicurezza informatica
Nel gennaio 2014 scrivevo a proposito dell’Internet delle cose insicure.
In fondo all’articolo citavo una notizia, rivelatasi al tempo infondata, di un botnet di 100.000 frigoriferi connessi.
Purtroppo non abbiamo dovuto attendere molto prima che qualcuno lo facesse davvero, così lo scorso settembre il blog di Brian Kerbs è stato attaccato con un DDoS di 630 Gbs, una potenza di fuoco doppia rispetto al DoS più potente registrato prima di quell’evento. (altro…)
Verso le otto e mezza di questa mattina il sito della Gazzetta mostrava una pagina nera con una GIF animata e del testo in inglese e il sito del Corriere restituiva un errore 403.
Una rapida analisi rivelava che i due domini (ma non quelli di altre testate del gruppo) avevano subito un DNS hijacking. (altro…)
Credo che oramai più o meno tutti gli utenti un minimo esperti abbiano capito cosa è un ransomware e anche che non si clicca mai su link o files allegati a email che contengono informazioni inesatte (numeri di partita iva errati, codici cliente errati, ecc) o incomplete (nessuna indicazione del nome dell’azienda o della persona a cui è destinata la mail, per esempio, ma un semplice “Spett.le utente@dominio.tld, ecco la sua fattura in allegato”).
Oggi Avast ha annunciato l’acquisto di AVG per 1,3 miliardi di dollari in cash.
Entrambe le società sono nate nell’allora Cecoslovacchia. (altro…)
Poco fa ho ricevuto una mail di phishing con l’aspetto di una comunicazione di una nota banca italiana.
Copio l’URL verso cui voleva farmi andare la mail, lo visito in incognito per verificare se sia già bloccato.
Visto che non era ancora bloccato, decido di segnalarlo a Google e a Netcraft. (altro…)
Google ha annunciato che dal prossimo 16 giugno bloccherà le connessioni SMTP cifrate con SSLv3 e RC4.
Questo potrebbe avere qualche impatto di poco conto sugli utenti e qualche piccola ripercussione per chi invia la mail da altri fornitori. (altro…)
Damien Miller ha annunciato il percorso di obsolescenza del protocollo 1 nel pacchetto OpenSSH, il software open del client e server SSH.
In questo momento ci sono due protocolli SSH. SSH-1 è il protocollo originale creato nel 1995 da Tatu Ylönen; SSH-2 è un protocollo adottato a partire dal 2006 ed è incompatibile con SSH-1. (altro…)
I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1.
I maggiori produttori di browser hanno delineato i passi che porteranno i certificati con hash SHA-1 a non essere più considerati attendibili. (altro…)
Se avete QuickTime installato su Windows rimuovetelo adesso.
Zero Day Initiative ha pubblicato due articoli (qui e qui) riguardanti due diverse vulnerabilità che permettono ad un attaccante di sfruttare QuickTime per Windows per eseguire codice arbitrario.
Apple ha deciso di non supportare più la versione di Windows di QuickTime anche se, secondo Bleeping Computer, Apple continua ad offrire il download attraverso il programma che aggiorna i suoi software per Windows. (altro…)
Sono passati dodici mesi da quando il cosiddetto FREAK Attack ha scatenato il panico su internet: oggi parliamo di un altro rischio nella sicurezza di portata simile.
Si chiama DROWNAttack, ovvero Decrypting RSA with Obsolete and Weakened eNcryption, è un attacco che sfrutta una debolezza nella versione 2 del protocollo SSL. Questa debolezza non è frutto di un errore, ma di una scelta progettuale dovuta alle restrizioni esistenti negli anni ’90 sulla esportazione di tecnologie crittografiche dagli USA verso l’estero. La storia di come queste restrizioni siano state concepite e di quale danno abbiano provocato dovrebbe essere già noto a tutti, segnalo comunque al lettore interessato la esaustiva pagina su Wikipedia.
Il funzionamento di DROWN è spiegato in questo documento tecnico completo, tuttavia riassumeremo qui di seguito il suo modus operandi a grandi linee. (altro…)
Su questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password.
Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi interesso al campo così come ogni buon professionista nel campo IT dovrebbe fare e sto usando questo progetto non solo per offrire un servizio all’utente, ma anche per imparare qualcosa, possibilmente per trasmettere le lessons learned e per approfondire il dibattito sulla sicurezza, a tutti i livelli.
La necessità di password lunghe e complesse, come sapete già bene, è parecchio antica in termini informatici: fino a qualche anno fa andavano di moda password formate da sequenze casuale di lettere maiuscole e minuscole, numeri e qualche volta segni di interpunzione o similari. Queste password erano difficili da memorizzare tanto che alcuni le appuntavano: nella migliore delle ipotesi sulla agendina personale o nel portafoglio, nella peggiore in un post-it incollato sotto la tastiera. La loro presunta robustezza, tuttavia, ci convinceva che il gioco valesse la candela. (altro…)
Apple ha compiuto una mossa coraggiosa con la pubblicazione di una lettera aperta ai propri clienti (americani).
Nella lettera Apple rivela che l’FBI avrebbe chiesto, in sostanza, di indebolire la sicurezza dei dispositivi iOS e di creare una backdoor che permetterebbe agli agenti di accedere facilmente alle informazioni personali registrate su di essi. Questo è il testo dell’ordine emesso dal giudice.
Apple dice di non aver dato seguito a questa richiesta e chiede che venga aperto un dibattito tra gli Americani su questo tema.
Tempo fa Google aveva dichiarato di essersi opposto alle ingerenze dell’FBI e Microsoft si era unita a Apple nella protesta. (altro…)