-
Obsolescenza di SHA-1
I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1. I maggiori produttori di browser hanno delineato i passi che porteranno i certificati con hash SHA-1 a non essere più considerati attendibili.
-
Togliete QuickTime da Windows ADESSO
Se avete QuickTime installato su Windows rimuovetelo adesso. Zero Day Initiative ha pubblicato due articoli (qui e qui) riguardanti due diverse vulnerabilità che permettono ad un attaccante di sfruttare QuickTime per Windows per eseguire codice arbitrario. Apple ha deciso di non supportare più la versione di Windows di QuickTime anche se, secondo Bleeping Computer, Apple continua ad…
-
Ci risiamo: ecco #DROWNAttack
Sono passati dodici mesi da quando il cosiddetto FREAK Attack ha scatenato il panico su internet: oggi parliamo di un altro rischio nella sicurezza di portata simile. Si chiama DROWNAttack, ovvero Decrypting RSA with Obsolete and Weakened eNcryption, è un attacco che sfrutta una debolezza nella versione 2 del protocollo SSL. Questa debolezza non è frutto di un…
-
Se non password, allora #PassaFrase
Su questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password. Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi…
-
Non servono coltelli senza filo
Apple ha compiuto una mossa coraggiosa con la pubblicazione di una lettera aperta ai propri clienti (americani). Nella lettera Apple rivela che l’FBI avrebbe chiesto, in sostanza, di indebolire la sicurezza dei dispositivi iOS e di creare una backdoor che permetterebbe agli agenti di accedere facilmente alle informazioni personali registrate su di essi. Questo è il…
-
Abuso di utenti con privilegi elevati
Una delle norme più virtuali dei SysAdmin *NIX e’ l’uso di sudo al posto di su – e della shell interattiva di root. Tutti dicono di farlo e pochi lo fanno per una mera ragione di praticità (e poi non è simpatico digitare continuamente la propria password sotto gli occhi della gente). Chi amministra *NIX lo…
-
Un brutto caso di frode
Il blog di Malwarebytes racconta un brutto caso di frode informatica. La pagina di un rivenditore autorizzato di Symantec conteneva il tipico messaggio “Virus rilevato sul tuo PC, chiama questo numero verde per rimuoverlo”. I tecnici di Malwarebytes hanno finto di cascarci, hanno chiamato il numero verde, hanno dato accesso alla persona ad un computer…
-
Certificato di XBOXLIVE.COM compromesso
Microsoft ha comunicato di aver inavvertitamente divulgato la chiave privata del certificato wildcard *.xboxlive.com Il certificato può essere utilizzato per validare connessioni TLS, ma non può essere utilizzato per firmare altri certificati o firmare dei programmi, quindi il rischio è limitato alla validità dei certificati di tutti gli host di xboxlive.com È, quindi, necessario prestare particolare attenzione…
-
GhostMail
GhostMail è un servizio gratuito di mail cifrata. Come SpiderOak, GhostMail è un servizio a conoscenza zero (zero-knowledge); come prima conseguenza di ciò, non è possibile resettare la propria password: se ve la dimenticate… peccato!
-
Let’s Encrypt
Ieri è partita la beta pubblica di Let’s Encrypt. Il sito rilascia gratuitamente, senza se e senza ma, certificati TLS firmati da una CA riconosciuta dalla PKI, con l’eccezione di Windows XP. In altre parole, i certificati di Let’s Encrypt sono riconosciuti dai browser, possono essere utilizzati senza problemi dalle società e se ne possono prendere…