Categoria: Sicurezza

Sicurezza informatica

Social Engineering Toolkit 1.1

Le tecniche descritte in questo articolo sono dei REATI

È stata rilasciata la versione 1.1 di SEC.

Il kit, di cui abbiamo già parlato

29/12/2010
Al Chaos Communication Congress Tor ars technica)

29/12/2010
Un altro furto di dati

Questa volta è toccato a Honda USA e anche questa volta coinvolge un fornitore terzo di servizi.

Honda USA ha segnalato ai propri clienti che alcuni dati personali sono stati trafugati dagli archivi di un fornitore esterno.

Fatti come questo o come i recenti che hanno colpito deviantART e Gawker dimostrano quanto siano da prendere con estrema cautela i servizi esterni che inviano dati, che potrebbero non avere le stesse caratteristiche di sicurezza degli archivi aziendali da cui provengono e renderebbero, di fatto, vani gli sforzi per proteggere i dati aziendali.

Esistono programmi dedicati per inviare newsletter, anche gratuiti come phplist, che richiedono pochi sforzi informatici ed economici per essere messi a punto.

29/12/2010
Windows, Linux, e la fuga dai virus

(altro…)

28/12/2010
THC-IPV6

THC-IPV6 è una raccolta di tool che permette di sfruttare le debolezze del protocollo IPV6.

Il kit viene distribuito in formato sorgente e richiede Linux 2.6.x a 32 bit per funzionare senza modifiche.

(altro…)

28/12/2010
Vulnerabilità 0day per Internet Explorer

Abysssec ha pubblicato un video DEP e ASLR, fa crashare Internet Explorer e permette di eseguire del codice arbitrario (nel video viene eseguita la calcolatrice di Windows).

Microsoft ha pubblicato una nota tecnica in merito: il problema può essere mitigato se si utilizza EMET. Fermin Serna ha pubblicato un articolo su Technet in cui spiega alcuni dettagli tecnici del baco.

Per il momento, non si hanno notizie di malware che sfruttino questa vulnerabilità. (via SANS)

23/12/2010
Vulnerabilità 0day del servizio FTP di IIS 7.5

Matthew Bergin ha scoperto SANS)

23/12/2010
Una tabula recta per registrare le password

Le password sono un grattacapo, come alcuni fatti recentipippo. Ci sarebbero meno grattacapi, ma anche più problemi di sicurezza.

Le password devono essere sufficientemente lunghe, non devono essere le stesse per siti diversi, non ce le possiamo scrivere, non devono riferirsi ad eventi della nostra vita, non devono essere facilmente indovinabili se si conosce una parte di esse, devono contenere caratteri assortiti, non devono essere presenti in un dizionario… Tutte regole che conosciamo e non applichiamo perché i computer sono loro, non siamo noiidea interessante: utilizzare una variante della tabula recta per registrare le password.

(altro…)

22/12/2010
LittleBlackBox

certificato autofirmato.

LittleBlackBox è un progetto che raccoglie migliaia di certificati SSL di altrettanti dispositivi di rete con alcune utility di gestione e di analisi.

La maggior parte di questi dispositivi, infatti, ha a bordo lo stesso certificato, alcune volte il certificato varia al variare della release del firmware, ma nessuno lo calcola in maniera univoca la prima colta che viene attivato.

Se si possiede un dispositivo le cui chiavi sono presenti nel database di LittleBlackBox è bene tener presente che il traffico crittografato è facilmente decrittabile. (via full-disclosure)

19/12/2010
Google segnala i siti hackerati

Google ha introdotto una nuova funzione

17/12/2010
Un blog riporta che in una particolare condizione, le direttive di .htaccess vengono ignorate e possono essere esposte parti di un sito ritenute protette da password.

La particolare condizione prevede:
- Apache http server
- Zend Optimizer
- Direttiva <LIMIT> contenuta in .htaccess
(altro…)
15/12/2010
Sicurezza web for dummies

(altro…)

14/12/2010