SIAMO GEEK

  • Pubblicità… regresso

    PIù del 100% di fruttaQualche giorno fa ho incrociato su facebook questa foto e, trovandola esilarante, ho pensato bene di condividerla immediatamente.
    Sono però rimasto colpito da alcuni commenti che cercavano di “trovare una “giustificazione” a questa immane castroneria “markettara” e, in modo particolare, dal tentativo di paragonarla alle tipiche bugie che caratterizzano il mondo della pubblicità.

    Che la pubblicità tenda spesso a manipolare la verità, cerando di disegnarne una che sia più interessante ed accattivante è un dato di fatto. In molti casi la cosa non è fastidiosa ed è quasi capibile (come nel caso dell’arrotondamento delle cilindrate di auto e moto, npa) in altri le bugie possono arrivare a celare o modificare informazioni fondamentali sino ad arrivare a generare dei veri e propri casi, che possono prendere anche direzioni giudiziarie.

    Ma questa foto non è solo una bugia, è qualcosa di molto più grave… affermare che una marmellata contenga “più del 100% di fruttaè insultare la matematica, la logica… non è una “possibile” manipolazione della realtà, ma è un tentativo di far passare un messaggio di superiorità… e accettare che questo sia “solo pubblicità” è come accettare l’esistenza delle scie chimiche o delle altre bufale che ultimamente vengono promosse con una facilità impressionante.

    Forse sarò troppo pragmatico, ma pensare che ci sia gente che, meravigliandosi, comperi questo prodotto per quel motivo, mi fa veramnente pensare male delle persone.

     

     

    Kazuma

  • SpiderOak

    SpiderOakSpiderOak è un servizio di storage online.

    A differenza di molti altri nomi noti (uno per tutti: DropBox), SpiderOak implementa il principio della conoscenza zero (zero-knowledge) dei dati lato server, in quanto sui loro server tutte le informazioni sono registrate in modo cifrato, la chiave non è nota a SpiderOak e le password non sono salvate sui loro server. Questo fa sì che nessuno in SpiderOak può rivelare a terzi il contenuto dei dati registrati.

    All’atto della creazione di un account in SpiderOak, viene generata una coppia di chiavi di cifratura protette da una password nota solamente all’utente che verranno utilizzate per cifrare il traffico da/per SpiderOak. Questa tecnologia permette di avere il massimo della privacy, ma ha due aspetti che bisogna considerare con attenzione. Il primo è che la forza delle chiavi dipende anche dalla piattaforma su cui vengono generate; l’ideale sarebbe utilizzare un Linux, o comunque un computer fidato. Il secondo aspetto è che non è possibile in alcun modo recuperare una password dimenticata: se si dimentica la password di sblocco delle chiavi (che è anche la password dell’account), i dati sono persi per sempre (o fino a quando qualcuno non riesce a decifrarli con un attacco a forza bruta). (altro…)

    Luigi Rosa

  • Synolocker

    Il famoso ransomware CrysynolockerptoLocker e` stato, a quanto pare, adattato per poter girare direttamente dentro ai NAS Synology. Al momento non so in quale modo viene portato l’attacco, ovvero in che modo il malware si installi nel NAS, ma mi sembra ovvio che sia opportuno prendere in considerazione le classiche misure di sicurezza, soprattutto fino a che non sara` fatta piu` luce sul problema.

     

     

    1. Se possibile, staccare totalmente il NAS da internet
    2. Se non e` possibile, esporre solo le porte veramente necessarie. Ad esempio esporre la porta del file manager ma non quella dell’amministrazione
    3. Esporre se possibile il NAS usando porte non standard (riduce il rischio di essere oggetto di un attacco casuale)
    4. Assicurarsi che il NAS non sfrutti UPNP per aprire delle porte sul router all’insaputa dell’utente
    5. Impostare password complesse e lunghe
    6. Aggiornare il firmware del NAS
    7. Tenere un backup offline dei files.

     

    Visto che ancora non si sa come il malware penetri nel NAS, puo` essere che la via di infezione sia a mezzo di un altro malware che gira su un PC Windows nella LAN del NAS, in questo caso le precauzioni relative all’accesso via internet sarebbero inutili, ma e` comunque meglio prenderle in considerazione tutte. E` altrettanto logico che un PC infetto sul quale sia stata salvata (o anche solo digitata) la password di amministrazione e` un vettore di attacco contro il quale non c’e` soluzione, se non spegnere il NAS. 🙂

    Aggiornamento: Cercando notizie in giro ho scoperto che da parecchio tempo (diversi mesi, pare) e` in giro un malware che infetta i NAS Synology e che mina bitcoin, senza fare altri danni. A parte che trovo assurdo minare bitcoin con le CPU ridicole che si trovano nei NAS, questo nuovo malware potrebbe evidentemente avere ereditato le capacita` di attacco dal vecchio bitcoin miner.

     

     

    Kurgan

  • Il traffico di Facebook

    Qualcuno si è accorto che verso le 18:00 di oggi Facebook è andato down e ci è restato per circa 30 minuti.

    Per farmi un’idea della misura di questo down sono andato a vedere le statistiche di traffico IPv4 del MIX che, ad oggi, interconnette 145 ISP e 37 carrier:

    Traffico IPv4 del MIX

    Quello scalino da 20 Gbit/sec coincide con il down di Facebook. E stiamo parlando di parte del traffico italiano.

    Aggiornamenti dopo la pubblicazione iniziale:

    • 1/8/2014 22:50 sostituzione del grafico con uno catturato in seguito per meglio evidenziare il calo di traffico

     

    Luigi Rosa

  • Zero Day in Symantec Endpoint Protection

    I ricercatori di Offensive Security hanno scoperto alcune vulnerabilità in Symantec Endpoint Protection.

    Per il momento l’organizzazione ha deciso di non pubblicare il codice per sfruttare queste vulnerabilità, ma si è limitata a pubblicare un video dove si vede un Windows 7 32 bit SP1 aggiornato con installato l’ultima versione 12.1.4100.4126 aggiornata del software di Symantec in cui un utente non privilegiato esegue uno script in Python per guadagnare il privilegio di SYSTEM.

    Symantec è al corrente del problema e sta investigando. Non ci sono notizie per ora di programmi che possano sfruttare questa vulnerabilità per attaccare un computer.

    Un problema in un software di questo tipo è molto serio, per di più Symantec Endpoint Protection è molto utilizzato anche nelle grosse organizzazioni.

    Il consiglio che vale per tutti, indipendentemente dall’antivirus installato, è che un software di protezione non garantisce l’immunità completa, sia per la grande varietà di malware in circolazione, sia per l’ovvia regola che esce prima il virus della definizione dell’antivirus. (via ISC)

    Security Focus ha assegnato al problema l’ID 68946.

    Aggiornamenti dopo la pubblicazione iniziale

    • Aggiunto link all’articolo di Security Focus

     

    Luigi Rosa

  • Usare Internet Explorer è un rischio

    Evitate Internet Explorer. Usate il browser che più vi piace, usatene due, tre contemporaneamente, fate telnet sulla porta 80, tirate fuori Mosaic dalla naftalina… Ma evitate Internet Explorer.

    Secondo alcune persone ci sono siti che si aprono solamente con Explorer; può essere vero, ma quand’è l’ultima volta che avete fatto dei test? Browser e siti vengono aggiornati quasi settimanalmente e questi test dovrebbero essere ripetuti periodicamente prima di dichiarare la non-compatibilità.

    Il problema di Internet Explorer è la quantità di vulnerabilità note che Microsoft decide scientemente di non correggere.

    In pratica, se si usa quel browser si decide di utilizzare un programma di cui sono note le vulnerabilità a chi vi vuole attaccare, il quale avrà gioco facile a fare quello che vuole con il vostro PC. Spesso abbiamo dato conto anche qui dei vari problemi di Explorer, ma ad un certo punto la cosa non fa più notizia e si rischia l’effetto copia-e-incolla.

    Bromium Labs ha dimostrato con uno studio [PDF] la pericolosità di Internet Explorer: il risultato è che nel primo semestre di quest’anno le vulnerabilità di Explorer sono raddoppiate, a fronte di un crollo di quelle di Java e una diminuzione sostanziale di quelle di Flash e Adobe Reader.

    Usare Internet Explorer per la navigazione generale (ovvero non in maniera specifica con quei siti che richiedono espressamente il browser di Microsoft) è un comportamento molto rischioso.

    Luigi Rosa

  • Festeggiate i SysAdmin

    keep-calm-and-call-a-sysadminOggi ricorre l’annuale System Administrator Appreciation Day.

    Ci sono tante definzioni di SysAdmin, traducibile in italiano con sistemista; uno dei modi per capire se un tecnico informatico è anche un vero SysAdmin è vedere se quella persona “ci tiene” a che le cose vadano bene e che tutto funzioni come si deve.

    Spesso, però, le azioni che il SysAdmin fa per fare andar bene le cose sono comprensibili solamente ad altri colleghi, anche perché è impossibile spiegare a non addetti ai lavori una frase tipo “script bash che monitora la porta TCP e restarta il demone se non risponde entro un timeout”.

    Il lavoro del SysAdmin spesso è paragonabile alla manutenzione delle fognature: non se ne accorge nessuno finché le cose funzionano, ma quando qualcosa non va…

    Prima o poi i sistemisti domineranno la Terra, nel frattempo oggi offrite almeno un caffè al vostro SysAdmin.

    Luigi Rosa

  • Problemi di sicurezza per Tails

    TailsTails è una distribuzione Linux basata su Debian che permette di ridurre la tracciabilità di chi la utilizza.

    Dopo che sono state segnalate alcune vulnerabilità, il team di Tails ha rilasciato la versione 1.1. In questo momento è assolutamente sconsigliabile utilizzare versioni di Tails minori della 1.1, anche se la procedura di aggiornamento automatico dalla versione 1.0.1 alla 1.1 non è disponibile.

    Ieri sono state segnalate altre vulnerabilità della versione 1.1, questa volta nel pacchetto I2P. Il programma non viene avviato automaticamente, quindi chi non lo utilizza non è a rischio. C’è la possibilità che una pagina web creata ad arte utilizzi I2P. In una nota il team di Tails consiglia di disinstallare I2P per avere il massimo della protezione.

    Dal momento che non è possibile aggiornare automaticamente alla versione 1.1, se si utilizza una chiavetta con dei dati persistenti, è necessario installare Tails 1.1 su un altro supporto e aggiornare la chiavetta USB di lavoro selezionando l’opzione Clone and upgrade dell’installer di Tails. Questa opzione non cancella i dati persistenti, anche se è necessario reimpostare eventuali password delle reti WiFi che sono state salvate.

    Aggiornamenti:

    • 27/7/2014 Modificato il paragrafo relativo alla vulnerabilità di I2P.

    Luigi Rosa

  • Attenzione alle finte richieste via mail

    Ho notato un ritorno di fiamma delle mail con allegati compressi con ZIP che contengono eseguibili mascherati.

    L’ultimo di questa mattina ha come presunto mittente comunicazioni@staff.aruba.it e come oggetto Invio copia bollettino. Anche il testo è abbastanza verosimile e privo di errori evidenti che caratterizzavano i primi tentativi di questo tipo, non fosse altro che non ho debiti pendenti con la ditta di Arezzo:

    Gentile cliente,
    come da lei richiesto in allegato potrà trovare copia del bollettino postale con cui effettuare il pagamento.

    Saluti
    ______________________________
    Aruba S.p.A.
    Servizio Clienti - Aruba.it
    http://www.aruba.it
    http://assistenza.aruba.it
    Call center: 0575/0505
    Fax: 0575/862000
    ______________________________

    Prima di buttare la mail ho voluto fare qualche analisi. (altro…)

    Luigi Rosa

  • Esempio di non-sicurezza di Windows XP

    Windows XP è duro a morire: molte persone non vogliono cambiare, altre non possono farlo.

    XP ha tanti problemi noti che non verranno mai più corretti. Mai più.

    Ieri KoreLogic ha pubblicato due esempi (qui e qui) ben documentati di un baco di XP che non verrà mai più corretto. Ovviamente gli esempi contengono anche una proof of concept ovvero un metodo che tutti possono applicare ad un’installazione di Windows XP per verificare l’esistenza della vulnerabilità.

    Si tratta di un problema di elevamento di privilegio, ovvero un problema che permette ad un utente normale di acquisire i diritti amministrativi della macchina anche se non conosce la password di un utente di livello Administrator.

    In questo caso non tutti i mali vengono per nuocere, infatti si può utilizzare uno dei due script in Python per guadagnare il livello di Administrator in un XP di cui si sono perse le credenziali amministrative senza utilizzare un CD con Linux con il programma che azzera la password di Administrator.

    Esempi come questi dimostrano che oramai Windows XP va trattato dal punto di vista della sicurezza come un sistema operativo in cui tutti possono fare tutto, alla pari di MS-DOS o Windows 95/98.

    Luigi Rosa

  • Prima versione di LibreSSL

    LibreSSLÈ stata rilasciata la prima versione di LibreSSL, aggiornata oggi alla 2.0.1.

    LibreSSL si propone come rimpiazzo di OpenSSL dopo i problemi iniziati con heartbleed. Il team di BSD ha avviato il progetto con l’intenzione di produrre un codice meno fumoso, più stabile e sicuro.

    Il codice di OpenSSL ha sulle spalle una lunga storia di compatibilità verso il basso che ha trasformato il codice in qualcosa di poco gestibile e prono agli errori.

    LibreSSL ha tolto di mezzo la compatibilità con piattaforme non più utilizzate in produzione, come MS-DOS, VMS, NetWare, Windows a 16 bit, Windows NT e OS/2 e con essa un sacco di problemi.

    Di fatto OpenSSL utilizza un C compatibile con ogni compilatore possibile da quello dell VMS al QuickC 1.5 all’ultimo gcc, con il risultato che deve reinventare al proprio interno il fuoco, la ruota e l’acqua calda. Una delle conseguenze di tutto ciò è che OpenSSL ha una propria libreria di allocazione della memoria che non è controllabile dal sistema operativo o dai normali tool di debug, ma ha una propria serie di API per fare il debug della gestione della memoria.

    (altro…)

    Luigi Rosa

  • Un pizzico di sale

    Bruce Schneier ricorda per l’n-sima volta che, quando richiesto, è il caso di salare gli algoritmi di hash.

    Di solito gli algoritmi di hash si usano per rappresentare con un valore gestibile (un numero) qualcosa che o non si vuole scrivere in chiaro (una password, un dato personale) oppure si vuole rappresentare in maniera compatta per una comparazione o ricerca più veloce. Ovviamente il secondo caso non deve essere salato e ci arrivano tutti a capire il motivo.

    Spesso la funzione di hash è surgettiva, ma le collisioni sono un male accettabile e, per quanto riguarda le password, può anche andare bene che sia tale, in quanto il rischio che, mettendo una password casuale, si ottenga una collisione è tollerabile.

    (altro…)

    Luigi Rosa