Sicurezza informatica
STUN (Session Traversal Utilities for NAT) è una tecnologia descritta da RFC5389 per scoprire facilmente l’indirizzo privato di un host che si trova dietro ad un filtro NAT.
Un server STUN ha lo scopo di enumerare tutti gli indirizzi privati o pubblici di un host e di permettere ad altri software di utilizzare quell’informazione. (altro…)
Nonostante il titolo criptico, la sostanza è molto seria e può impattare un grande numero di sistemi.
La vulnerabilità permette di eseguire programmi arbitrari sulla vittima da remoto (remote code execution) e interessa la funzione interna __nss_hostname_digits_dots() della libreria glibc utilizzata da gethostbyname().
In sostanza ogni programma compilato con gcc e glibc fino alla versione 2.17 inclusa e utilizza quella funzione è vulnerabile.
La brutta notizia è che praticamente tutti i programmi che interagiscono con Internet utilizzano gethostbyname() (altro…)
Il protocollo FTP è, a ragione, abbastanza disprezzato dai SysAdmin.
Siccome è un protocollo molto vecchio, presenta dei comportamenti che non sono più adatti alle configurazioni attuali. Uno di questi è la trasmissione in chiaro delle credenziali.
Come per altri protocolli, è stata aggiunta la possibilità di utilizzare TLS come trasporto ottenendo il protocollo FTPS (RFC4217), che non va confuso con il protocollo SFTP. (altro…)
Ci sono alcune password che non vanno utilizzate.
Ma nemmeno per cinque minuti.
E, no, nemmeno come password temporanee.
Sono le password che vengono provate per prime quando si attacca un sistema, sono quelle che fanno crollare tutta l’impalcatura di sicurezza di un sistema. (altro…)
L’adozione di https sta diventando sempre più importante per la tutela della privacy degli utenti e per la sicurezza delle comunicazioni.
Uno dei fattori che più hanno limitato la diffusione di questo protocollo risiede nella caratteristica della sessione TLS che, fino a poco tempo fa obbligava ad avere un solo certificato PKI per una coppia IP:porta. (altro…)
È possibile ridurre (enfasi su ridurre) la possibilità che un attacco CryptoLocker o similare vada a buon fine.
Allo stato attuale gli attacchi avvengono principalmente eseguendo dei programmi (dropper) mascherati da fatture, rapporti di recapito di un vettore o altri documenti analoghi, la maggior parte delle volte compressi in uno ZIP allegato a sua volta ad un messaggio di posta elettronica. (altro…)
Mikko Hypponen ha fatto un intervento al recente TEDx di Bruxelles in cui ha cercato di stimolare delle reazioni da parte di tutti noi utenti.
Tutti noi utenti e tutti noi articoli venduti dai servizi online come se fossimo merce.
Il titolo di questo articolo fa riferimento ad una storia raccontata da Mikko nel suo intervento in cui un cameriere, andando contro gli ordini del suo capo, ha avvertito di un incendio in atto i clienti di un locale di lusso californiano.
Paolo Attivissimo ha chiesto il permesso di pubblicare sul suo sito la traduzione in italiano del discorso di Mikko, l’ha ottenuto e ora la traduzione è disponibile. Chi mastica un pochino l’inglese può ascoltare direttamente l’originale perché Mikko parla lentamente e usa un inglese facile da comprendere.
Prendetevi venti minuti e ascoltate quel discorso.
Aggiornamento 28/14/2014: aggiunto il link al testo tradotto.
Sembra che il malware che distrugge i dati sia tornato.
Dopo Cryptolocker si iniziano a vedere alcuni esempi di malware che sovrascrivono le aree dati vitali di un disco, rendendo il computer inutilizzabile.
Il fatto che molti computer attuali vengano venduti senza un disco di ripristino rende la cosa ancora più fastidiosa per realtà medio-piccole e per utenti privati. Veeam ha annunciato un software di backup di tipo disaster recovery gratuito per tutti i PC fisici, ma per ora è solamente annunciato o disponibile a pochi per il beta testing. Esistono sicuramente altri prodotti anche gratuiti, ma il problema per gli utenti finali e le realtà piccole e medie è fare i backup, verificarli e mantenerli aggiornati.
Destover sembra essere il malware utilizzato per attaccare Sony e trafugare documenti riservati e le copie di alcuni film.
Come fa notare il report di Kaspersky, Destover appartiene alla categoria dei malware che distruggono i dati dei computer dopo aver copiato quello che interessa; il danno arriva fino al Master Boot Record (MBR), quindi in caso di attacco è necessario avere a disposizione un supporto per il ripristino totale del computer oppure un backup disaster recovery. (altro…)
Sull’utilità dell’utilizzo di verifica a due fattori per le password di accesso ai servizi abbiamo già discusso innumerevoli volte.
Reimpostare una password, in molti casi, si rivela fin troppo semplice e un attacker che dovesse riuscire ad accedere all’indirizzo email di un utente, potrebbe potenzialmente compromettere molti, se non tutti, i suoi account. L’autenticazione a due fattori permetti di combinare una seconda informazione con la password in modo da rendere tentativi di attacco più difficili.
Tipicamente, una autenticazione a due fattori potrebbe essere realizzata combinando una password con un codice usa e getta inviato via SMS oppure generato da una app installata sullo smartphone.
Qualche organizzazione, tipicamente banche, usano già da qualche anno quelli che si definiscono disconnected tokens ovvero piccoli dispositivi elettronici che forniscono codici usa e getta su un display, normalmente usando una modalità time-based basata su un oscillatore al quarzo integrato (la pagina Multi-factor authentication sulla Wikipedia è molto esaustiva e interessante da leggere a questo proposito).
Una notizia più recente è invece la possibilità di utilizzare l’autenticazione a due fattori di Google con un token fisico non proprietario e con Chrome. (altro…)
Quanto è vecchia la vostra chiave ssh?
Rigenerare le chiavi ssh usate per collegarsi ai server è una rottura di scatole, ma potrebbe essere una rottura di molte unità di grandezza inferiore rispetto allo scoprire che una chiave ssh viene usata da mesi a nostra insaputa.
Quanto sono cortelunghe le chiavi ssh registrate nei file authorized-keys dei vostri server?
Per fortuna a questa ultima domanda c’è una risposta veloce sotto forma di un pratico script shell. (altro…)
EFF ha denunciato il fatto che alcuni provider americani e tailandesi impediscono ai client di posta elettronica di inviare messaggi su un canale sicuro.
Quelli segnalati da EFF sono i casi di cui si ha evidenza, ma è possibile che altri provider o altri fornitori di servizi di connettività, anche occasionale via WiFi, implementino le medesime politiche lesive della privacy.
Quello che viene bloccato è l’equivalente HTTPS del protocollo SMTP utilizzato per inviare la posta elettronica dal client (posta in uscita) oppure per trasmettere i messaggi email tra server differenti.
Il blocco in questione non ha nulla a che fare con eventuali metodi di cifratura del testo del messaggio. Se il testo del messaggio è cifrato, tale resta.
(altro…)Con l’aggiornamento del patch tuesday di questo mese Microsoft corregge un problema di sicurezza molto serio di Secure Channel (Schannel), la sua libreria per la connessione sicura.
Schannel è per Microsoft quello che per l’open source si chiama OpenSSL e per Apple si chiama Secure Transport. In sostanza è quella serie di routine (libreria) che permette di stabilire connessioni sicure in HTTPS o TLS. Con l’annuncio della vulnerabilità di Schannel si può affermare che quest’anno ciascuna delle maggiori librerie HTTPS/TLS ha avuto dei problemi, con buona pace di chi crede di essere al sicuro per il fatto stesso di utilizzare una piattaforma piuttosto che un’altra.
Schannel è utilizzato dai client e dai server che stabiliscono o accettano connessioni sicure utilizzando le funzioni di sistema di Microsoft.
La vulnerabilità segnalata e corretta da Microsoft permette di eseguire codice arbitrario da remoto. In altre parole, un attaccante potrebbe eseguire dei programmi che vuole lui su un computer che utilizza Scannel per collegarsi ad un altro computer. I primi (ma non di certo gli unici) membri di questo insieme sono tutti i Windows che hanno un Internet Information Server esposto a Internet con HTTPS abilitato. A titolo di pro memoria, Exchange Server utilizza HTTPS per far connettere i client mobili. (altro…)