Categoria: Sicurezza

  • PHP: come non confrontare gli hash

    Provate ad eseguire questo codice: <?php var_dump(md5(‘240610708’) == md5(‘QNKCDZO’)); var_dump(md5(‘aabg7XSs’) == md5(‘aabC9RqS’)); var_dump(sha1(‘aaroZmOk’) == sha1(‘aaK1STfY’)); var_dump(sha1(‘aaO8zKZF’) == sha1(‘aa3OFF9m’)); var_dump(‘0010e2’ == ‘1e3’); var_dump(‘0x1234Ab’ == ‘1193131’); var_dump(‘0xABCdef’ == ‘ 0xABCdef’);

  • Finte email per le fatture del telepass

    Ricevo oggi una finta email di avviso di emissione di una fattura del Telepass. La mail è del tutto identica a quella vera, l’unica differenza  è che in allegato vi è un malware (Zbot), mentre in quella vera non vi è alcun allegato, in quanto le fatture devono essere scaricate dal sito www.telepass.it. Il malware ad oggi viene…

  • Backup anti-ransomware

    Siamo in un periodo in cui parte del malware è scritto con la finalità di bloccare i file di dati per poi chiedere un riscatto (ransomware). In questo momento il ransomware è diffuso in ambiente Windows, ma presumere di essere immuni solo per il fatto di non utilizzare Windows è da sprovveduti. Ci sono delle…

  • Ripeto: è sufficiente il backup

    Replica di una scena già vista: una Pubblica Amministrazione perde i dati per mancanza di diligenza e si urla all’attacco hacker. Non avendo personalmente analizzato la situazione posso solamente fare delle supposizioni.

  • Aggiornate gli IIS esposti a Internet ADESSO

    Microsoft ha recentemente corretto un problema critico di HTTP.sys Come capita spesso, qualcuno ha analizzato le differenze per scoprire il tipo di problema che è stato corretto e i risultati delle analisi portano a suggerire di aggiornare immediatamente IIS, prima che dobbiate essere costretti a farlo da una serie di BSOD.

  • Giocare la password ai dadi

    Assume that your adversary is capable of a trillion guesses per second. Edward Snowden a Laura Poitras, maggio 2013 Come difendersi da qualcuno con questa potenza di fuoco, che nel frattempo è sicuramente aumentata? Un modo efficace è rispolverare cinque cari vecchi dadi da gioco.

  • Migliorare la sicurezza di CentOS 7

    Su High on Coffe c’è un articolo con una serie di consigli per migliorare la sicurezza di CentOS 7. Non si tratta della solita prolissa guida di RedHat, ma di una serie di controlli da effettuare su un’installazione se si vuole migliorare la sicurezza di una parte del sistema. Un altro vantaggio di questa guida è…

  • Aggiornamenti OpenSSL

    Sono appena state rilasciate le nuove versioni di OpenSSL 1.0.2a, 1.0.1m, 1.0.0r e 0.9.8.zf Gli aggiornamenti correggono bachi di severità alta (1.0.2a) o moderata (tutte le altre) delle versioni precedenti.

  • Ammazzabrowser

    <!DOCTYPE html> <html> <head> <script> location = ‘data:text/html,<script>location = “location.toString + \”A\””;’ + ‘A’.repeat( 100000000 ); </script> </head> </html> Questo semplice testo in una pagina HTML manda a zampe all’aria Firefox e Google Chrome, mentre Internet Explorer esce illeso. Potete farlo da voi oppure andare a vostro rischio su crashfirefox.com.

  • Sito del PD Toscana hackerato

    La notizia non è che un WordPress sia stato sfondato, ma come. In questo momento il sito del PD Toscana mostra questa immagine di apertura: Ad un’analisi superficiale potrebbe apparire che degli abilissimi hacker abbiano rubato le credenziali al webmaster.