SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Problemi di sicurezza su WordPress.com

    Automattic, la società che sta dietro a WordPress, ha comunicato di aver subito un attacco in seguito al quale alcuni sconosciuti sono riusciti a guadagnare l’accesso di root su alcuni dei loro server.

    La probabilità che i malintenzionati siano riusciti ad accedere a dati personali è molto bassa, ma è tutt’ora in corso un indagine da parte dei SysAdmin.

    I problemi di sicurezza che hanno causato questo accesso non autorizzato sono stati identificati e risolti.

    A titolo puramente precauzionale, chiunque abbia un account su WordPress dovrebbe cambiare la password e verificare che non abbia usato la stessa password utilizzata in altri siti.

  • Il mercato dei proxy

    Kerbs On Security ha un interessante articolo su uno dei tanti usi che vengono fatti dei computer zombizzati.

    In questa categoria rientrano tutti i computer (indipendentemente dal loro sistema operativo) in cui è installato un malware che fa di tutto per non essere rilevato (quindi non cancella file, non fa cadere le lettere né non fa altre cose che facevano i virus del secolo scorso) e sfrutta la connessione ad Internet della vittima.

    Tra gli usi più insidiosi di questi computer c’è quello del proxy.

    Immaginate di voler fare qualcosa di losco o comunque qualsiasi azione che non volete sia riconducibile alla vostra connessione ad Internet: la soluzione è utilizzare la connessione di qualcun altro. Se questo qualcuno è ignaro della cosa o è una grossa organizzazione, meglio ancora.

    Esistono dei veri e propri mercati di computer utilizzabili come proxy in cui si entra solamente se referenziati da altri. Quello descritto nell’articolo ha un costo di ingresso di 140 dollari e un canone di utilizzo dei proxy di circa un dollaro al giorno.

    Una volta accreditati, si può accedere all’elenco delle macchine disponibili ed è possibile effetuare una ricerca per posizione geografica, provider, tipo di connessione o altro.

    Dal momento che il menu mostra sia l’indirizzo IP del computer utilizzabile sia il reverse del medesimo, è anche facile sapere se ci sono delle organizzazioni al cui interno i computer sono poco protetti; l’articolo linkato in apertura ne elenca alcune.

    Cosa succede se viene utilizzata una connessione per scopi illegali, specialmente per crimini particolarmente odiosi, è facile da capire: costa più un buon antivirus o una causa legale per un crimine penale?

  • Solo una occhiata

    Finalmente, due giorni fa ho potuto toccare con mano il BlackBerry Playbook ovvero il tablet di casa RIM annunciato mesi fa e in uscita – buon ultimo tra i prodotti simili delle grandi case – in Nord America alla metà di Aprile.
    Purtroppo è stata una vera toccata e fuga: da quello che mi ha detto il tecnico di RIM che mostrava il prodotto, si tratta dell’unico esemplare esistente in Italia, quindi ognuno dei partecipanti alla conferenza ha potuto tenerlo solo un minuto.

    La prima impressione è di uno strumento maneggevole: si può tranquillamente tenere con una mano afferrandolo per un lato o tenendolo nel palmo.E’ poco più piccolo di un blocco note A5, ha gli angoli arrotondati, ma per il resto è un bel “mattoncino” che da una ottima sensazione di solidità e non da l’impressione di poter sfuggire dalle mani. Pesa 425g, ma stranamente avendolo tra le mani sembra molto più pesante, evidentemente  è solo una impressione data dalla combinazione con le dimensioni che visivamente sono, dopo tutto, molto ridotte.

    (altro…)

  • Attenzione ai log

    Chi vuole attaccare un sito cerca anche se questo pubblica più o meno volontariamente delle informazioni utili all’attacco.

    Tra queste informazioni ci sono le versioni del software utilizzato, i path assoluti nel file system e i log.

    WS_FTP è un client FTP che risale ai tempi di Mosaic, quanto Internet era un posto amichevole. Una delle feature di questo software è la creazione del file WS_FTP.LOG con il risultato del trasferimento.

    Purtroppo, se viene caricata una directory intera, il client trasferisce anche WS_FTP.LOG, che viene indicizzato da Google, con i conseguenti buchi di sicurezza, in quanto nel log sono indicati chiaramente i path assoluti nel file system.

  • Cautela nella scelta dei fornitori di campagne pubblicitarie ed email

    Da tempo si sentono notizie di furti di dati personali, tra le vittime gli utenti di deviantART, Honda, TiVo, Kroger, per citarne alcuni.

    Tutti questi furti hanno una caratteristica in comune: i dati sono stati sottratti a fornitori esterni rispetto alle società citate. Come sempre, la forza di una catena è determinata dall’anello più debole, che, in questo caso, è il fornitore esterno.

    (altro…)

  • Laptop Samsung con keylogger (aggiornamento: BUFALA)

    Mohamed Hassan ha scoperto su due modelli diversi di laptop Samsung il keylogger StarLogger installato e attivato.

    Il programma si trova in C:\windows\sl\WinSl.exe

    StarLogger è completamente invisibile all’utente, cattura i tasti premuti e le schermate e può inviare i dati raccolti ad un indirizzo email. Tutto senza che l’utente sappia cosa stia succedendo.

    Mohammed ha aperto un caso al servizio clienti Samsung; un supervisore avrebbe confermato che Samsung avrebbe installato intenzionalmente il keylogger per raccogliere dati statistici, senza, però, informare adeguatamente l’utente. (via geek.com)

    Aggiornamento 31/3/2011 06:00CNET ha esaminato un modello della serie 9 e non ha trovato alcuna traccia del keylogger.

    Aggiornamento 31/3/2011 07:00 – k0nane avrebbe scoperto l’installazione di Carrier IQ in un telefono cellulare Samsung con Android.

    Aggiornamento 31/3/2011 14:00 – Si tratterebbe di un abbaglio o di una bufala. Nessun altro è riuscito a replicare in maniera indipendente il problema. (via Paolo Attivissimo, F-Secure)

    Aggiornamento 31/3/2011 20:00ZDnet riporta che si tratta di un falso positivo di GFI VIPRE. La directory C:\windows\sl viene creata anche dalla localizzazione in lingua slovena di Windows Live. La presenza di questa directory ha provocato la segnalazione di un falso positivo di GFI VIPRE. Complimenti, quindi, al supervisore del call centre di Samsung che ha ammesso la presenza di uno spyware inesistente.

    Aggiornamento 5/4/2011 21:00 – NetworkWorld chiede scusa per aver diffuso una notizia non verificata. Giornalisti italiani: imparate.

  • VVBS – Dopotutto, che problemi ci possono essere?

    Microsoft ha annunciato che Hotmail arricchirà il tipo di contenuti delle mail incorporando alcuni contenuti multimediali presenti in eventuali link.

    Inoltre consentirà di eseguire alcuni JavaScript che gireranno in una sandbox per consentire ai fornitori di contenuti di inserire parti dinamiche nelle mail. Gli utenti dovranno, quindi, fidarsi della bontà della sandbox di Hotmail.

    Dopotutto, non si corrono molti rischi, finché si evita Hotmail. (via The Inquirer)

  • mysql.com e sun.com attaccati con una MySQL injection

    Gli host mysql.com, www.reman.sun.com e www.ibb.sun.com sono stati attaccati con successo con una blind SQL injection.

    Un post sulla lista Full Disclosure rivela l’elenco delle tabelle di alcuni database e il dump di mysql.user di mysql.com

    Una pagina su BayWorlds rivela alcuni dati estratti attraverso l’attacco agli host di sun.com.

  • VVBS – Abbiamo già un sito, perché dobbiamo rifarlo?

    Per evitare di finire così.

    Il software di gestione di un sito deve essere manutenuto e aggiornato periodicamente. Non per rincorrere il gadget grafico modaiolo del momento, ma per mantenere il software a livelli decenti di sicurezza.

    (altro…)

  • Certificati compromessi: cosa è successo

    Comodo ha pubblicato un incident report in merito.

    In sostanza il 15 marzo scorso un attacco proveniente da “vari indirizzi IP, ma principalmente dall’Iran” è riuscito a compromettere un account della Certification Authority di Comodo.

    L’attaccante era “ben preparato e sapeva già quello che avrebbe voluto ottenere”.

    L’attaccante ha generato questi certificati:

    • mail.google.com
    • www.google.com
    • login.yahoo.com
    • login.yahoo.com
    • login.yahoo.com
    • login.skype.com
    • addons.mozilla.org
    • login.live.com
    • “Global Trustee”

    L’unico tra questi certificati visto fin’ora in rete è login.yahoo.com.

    Tutti i produttori hanno rilasciato degli aggiornamenti di sicurezza. È, quindi, fondamentale, applicare gli aggiornamenti proposti. (via Naked Security, F-Secure)

  • Chi custodisce i custodi stessi?

    Un recente articolo sul blog di Tor mette in evidenza che, a mio avviso, uno dei principali problemi della sicurezza al giorno d’oggi sia: “quanto ti fidi del tuo browser?”

    Al di la’ delle paranoie che io non so come lavora il mio browser (qualunque esso sia) sotto di me, quali backdoor possa avere aperte, chi mi dice che una sessione SSL sia aperta da manuale… c’e’ tutto un mondo intorno che puo’ risultare compromesso…

    Buona lettura… si fa per dire…

  • Meno viagra per tutti

    Sembra che sia stato inferto un brutto colpo a una delle maggiori reti di spammer che, quotidianamente, riempiono le nostre mailbox. L’azione è stata coordinata da Microsoft in collaborazione con le forze dell’ordine. Per qualche dettaglio in più potete leggere l’articolo sul blog di Microsoft che descrive l’operazione.

    Meno viagra per tutti? Ci credo poco visto il giro d’affari che genera lo spam, ma chissà…