Quello che era probabilmente un metodo per cambiare dinamicamente le impostazioni del router si è rivelato una pericolosissima backdoor.
Craig Heffner ha scoperto che si può accedere all’interfaccia amministrativa di alcuni router D-Link senza che vengano chieste le credenziali impostando lo User Agent del proprio browser a xmlset_roodkcableoj28840ybtide (se letta al contrario la parte alfabetica è editby joelbackdoor).
(altro…)
“
La mente è come un paracadute, perchè funzioni bisogna aprirla.”
Ho avuto l’onore di conoscerti un anno fa, dopo che “digitalmente” ci eravamo incontrati diverse volte.
Quella volta ho scoperto che i tuoi gusti musicali non collimavano con i miei e per questo preferivo ascoltare le tue idee e cercare di rimanere il più contagiato possibile da quel tuo fantastico entusiasmo di vivere la rete.
Un grosso abbraccio a chi, da oggi, dovrà fare a meno della tua splendida presenza, a partire da Paola, Blanca e Rebecca.
Ciao Marco.
Ammettiamolo: la maggior parte di noi disabilita SELinux come prima azione quando installa un server ex novo.
Selinux viene visto come una rottura di scatole, che non fa funzionare le cose che installiamo. A parziale discolpa dei SysAdmin va detto che SELinux non è esattamente intuitivo (sto parlando di livello di intuitività di un SysAdmin) e spesso lo si percepisce come quello che sta tra un problema e la soluzione dello stesso.
Con l’aumentare degli attacchi è bene iniziare a considerare l’opzione di (ri)abilitare SELinux, magari partendo dai server meno critici.
Da punto di vista della sicurezza, il vantaggio di SELinux è che le sue policy non sono facilmente modificabili dall’utente o da un applicativo e permettono un controllo molto più granulare dei normali attributi di lettura/scrittura/esecuzione di *NIX. Inoltre SELinux applica delle policy obbligate: in un normale sistema *NIX un utente può fare chmod 777 della propria home directory, mentre se sono attive delle opportune policy di SELinux lo stesso utente potrebbe non riuscire a farlo anche se è proprietario della directory ed ha i permessi di scrittura.
SELinux è un argomento complesso e articolato, di seguito viene solamente grattata la superficie con un esempio di implementazione su CentOS 6.4, tenendo ben presente che nella sicurezza non esiste un singolo silver bullet, ma una buona sicurezza è sempre frutto di varie azioni coordinate.
Nella sicurezza non esiste un solo silver bullet, ma ci sono tanti piccoli accorgimenti che aiutano a rafforzare un sistema.
Uno dei problemi dei siti è il controllo e l’isolamento dei file caricati dagli utenti o da sconosciuti. Ci sono vari modi per mitigare eventuali problemi che si possono verificare quando viene caricato un file indesiderato, qui ne viene esposto uno, ben sapendo che non si tratta dell’unico.
Il tipico esempio di directory pericolosa per un sito è la directory /wp-content/uploads di WordPress. Un metodo per mitigare gli attacchi è disabilitare qualsiasi tipo di esecuzione di script o programmi da questa directory da parte di Apache aggiungendo queste direttive alla configurazione del sito:
<Directory /path/wp-content/uploads/>
AllowOverride none
RemoveHandler .cgi .pl .py
<FilesMatch "\.(php|p?html?)$">
SetHandler none
</FilesMatch>
</Directory>
In questo modo nessun file CGI, Perl, Python o PHP caricato in quella directory potrà essere interpretato come tale se richiamato da Apache.
Quando si comincia ad utilizzare IPv6 in produzione su una configurazione LAN eterogenea iniziano i comportamenti a cui non siamo abituati.
Con IPv4 un host impostato per la configurazione automatica si assegna un indirizzo link-local (169.254.0.0/16, RFC3927) contatta il server DHCP per avere un indirizzo e, quando lo ottiene, scarta l’indirizzo link-local e avrà sempre solamente quell’indirizzo fino alla scadenza dell’affitto dello stesso.
(altro…)I CMS dovrebbero, tra le altre cose, facilitare l’aderenza dei contenuti ad una gabbia grafica predefinita.
Prima del web, i giornali venivano composti seguendo delle gabbie, ma lo facevano degli umani, che agivano utilizzando anche un minimo di buon senso.
In modo particolare (e qui parlo anche per esperienza diretta di chi i CMS li scrive), le immagini sono quelle che pongono il problema maggiore perché è difficile far stare qualsiasi immagine in una gabbia grafica.
Prendiamo per esempio il caso di questo articolo apparso su un giornale locale segnalato da un amico, Massimo Senna, su Facebook (sono state tagliate le pubblicità e i menu):
L’immagine mostra la cantante ripresa in mezza figura, che non presenta problemi di sorta, dal momento che l’immagine è comunque meno alta del blocco di testo.
Adobe è stata compromessa: sono stati trafugati i sorgenti di alcuni software e i dati di moltissimi utenti registrati.
Dal momento che le compromissioni sono due è bene analizzarle separatamente.
Per quanto riguarda il codice sorgente, Adobe ha rilasciato una dichiarazione qui. L’intrusione sarebbe avvenuta lo scorso 17 settembre e sicuramente è stato copiato il sorgente di ColdFusion e di Acrobat, probabilmente anche quello di altri software di Adobe. L’evento è molto serio perché chi può accedere a quei sorgenti può studiarli per scoprire delle vulnerabilità e sfruttarle. I gestori di siti con ColdFusion devono prestare particolare attenzione e tenere il loro software aggiornato. Stessa regola vale per chi ha installato Flash e Adobe Reader; questi ultimi utenti possono considerare l’opzione di rimuovere il software per la lettura dei PDF e utilizzarne un altro.
Articolo un po’ sui generis, ma, come ben sanno i collaboratori di questo blog, la regola di Siamo Geek è che non ci sono regole.
Sono titolare di un box auto in un condominio utilizzato dai miei genitori, che si occupano delle spese condominiali e dei rapporti con l’amministratore.
(altro…)Ieri è mancato Tom Clancy, ricoverato in un ospedale di Baltimore.
Prima assicuratore e poi prolifico scrittore, è molto probabile che molti lettori di questo sito abbiano letto o visto qualcosa scritto da lui.
Il suo primo grande successo è stato The Hunt for Red October (La grande fuga dell’Ottobre Rosso), da cui è stato tratto un film con Sean Connery e Alec Baldwin, che ha vinto un oscar nel 1991; in italiano ha ovviamente cambiato nome in Caccia a Ottobre Rosso. Già in questo romanzo si vede lo stile di Clancy, che descrive in maniera estremamente dettagliata i particolari di mezzi e attrezzature militari, con degli “incisi” di qualche pagina che dimostrano la sua preparazione enciclopedica in merito senza però far calare l’interesse nella narrazione.
Dopo questo successo, Clancy ha scritto svariati romanzi di spionaggio militare o tecnologico alcuni dei quali appartenenti a saghe diverse: Jack Ryan, Op-Center, Net Force, Power Plays.
La sua produzione letteraria include anche molti interessantissimi saggi militari, dei quali consiglio la lettura in lingua originale perché se sono stati tradotti tutti come Fighter Wing, le versioni italiane sono uno spreco di danaro e di carta. (via BBC)
Hai fondato un gruppo su Facebook per utilizzare la rete come laboratorio di buone idee per la politica. Bravo.
Pensi che proprio dalle discussioni in rete possano nascere delle proposte. Ottimo.
Decidi di postare una immagine. Ottima idea.
Ma sei un genio !
Quasi un miliardo e trecento milioni di utenti. Quasi un miliardo e trecento milioni di foto di profili messi tutti insieme all’interno di una singola pagina web.
Ecco l’ultima applicazione (assolutamente inutile, nda) ma, almeno, con un fantastico impatto visivo, presente in rete, realizzata dall’americana Natalia Rojas. Dopo aver scoperto che tramite le API di Facebook era possibile accedere ai profili di tutti gli utenti del social network, Natalia ha impiegato oltre un anno per realizzare l’applicazione (afferma di averlo fatto solo nel tempo libero, però).
Ovviamente l’applicazione vi permette di ingrandire frammenti della pagina per vedere le singole foto dei profili e, se accettate di fornire un po’ di informazioni a Facebook, potrete anche cercarvi, trovarvi e, soprattutto, scoprire dei votri amici chi si è iscritto prima e dopo di voi.
Sono cose importanti, no?
Ho deciso di cambiare qualcosa nelle configurazione casalinga introducendo un po’ di virtualizzazione, un firewall standalone e un tunnel IPv6 (spero) finalmente stabile.
Seguendo le istruzioni di Fabrizio ho configurato il Linux casalingo di frontiera con KVM e una VM su cui gira la versione 2.1 di pfSense. Alla fine la configurazione è (per scelta di non complicarmi troppo la vita per ora) la più classica e semplice: WAN<->firewall<->LAN con i servizi pubblicati in LAN nattati (per IPv4) 1:1, senza DMZ, per ora.
Questo mi ha permesso di togliere i mezzo dal Linux host la gestione del tunnel e altri servizi legati alla rete (come il DHCP e radvd).
Quello che serve per lo scopo di questo articolo è un tunnel IPv6 gratuito con Hurricane Electric (un solo /64 è sufficiente), una connessione con IP fisso e un firewall pfSense. Negli esempi che seguono gli IP sono ovviamente inventati (per IPv4) o del blocco /32 utilizzabile per la documentazione (per IPv6).