Autenticazione a due fattori per Dropbox

Dopo i recenti episodi di hackeraggio che hanno coinvolto Dropbox, il sito ha aggiunto la possibilità di attivare l’autenticazione a due fattori.

Il primo fattore resta la password e il secondo può essere o un messaggio che si riceve via SMS oppure un’applicazione supportata (Google AuthenticatorAmazon AWS MFAAuthenticator for Windows Phone 7).

L’autenticazione a due fattori è un notevole passo avanti nella sicurezza, in quanto chi volesse accedere in maniera fraudolenta al vostro account di Dropbox dovrebbe conoscere la password e avere in mano il vostro cellulare.

Vediamo come attivare l’autenticazione a due fattori.

Leggi tutto “Autenticazione a due fattori per Dropbox”

Buco di sicurezza in MySQL/MariaDB

È stato scoperto un pericoloso baco in MySQL/MariaDB che potrebbe permettere l’accesso come root ad un database server.

La vulnerabilità non funziona su tutte le installazioni di MySQL (inclusa CentOS) e dipende da come è stato compilato il server.

Il problema risiede nella routine di autenticazione di un utente. Quando viene aperta una connessione a MySQL/MariaDB viene generato un token calcolando un SHA della password fornita e di una stringa casuale; il token viene quindi confrontato con l’SHA calcolato con il valore corretto. Per un errore di cast potrebbe succedere che le due stringhe vengano considerate uguali anche se non lo sono e anche se memcmp() ritorna un valore diverso da zero; se si verifica questo caso, MySQL/MariaDB pensa che la password sia corretta e permette l’accesso. La probabilità che questo accada è di 1/256.

Leggi tutto “Buco di sicurezza in MySQL/MariaDB”

Come aggirare il blocco dell’accesso RDP

Spesso si dice ad un utente che lamenta un problema di lasciare il suo computer acceso per fare un intervento fuori dall’orario di lavoro.

Può succedere che l’utente abbia disabilitato l’accesso RDP al proprio computer, ma è un blocco facilmente aggirabile.

Bisogna, ovviamente, conoscere delle credenziali con diritti amministrativi sul computer di cui si vuole ottenere il controllo, cosa facilissima se il computer è membro di un dominio e chi deve intervenire è l’amministratore del dominio.

La procedura per abilitare da remoto l’accesso RDP su un computer è semplicissima:

  1. eseguire REGEDIT;
  2. dal menu File selezionare Connetti a registro di sistema in rete…;
  3. indicare il nome o l’IP del computer a cui ci si vuole connettere;
  4. andare sulla chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server del computer remoto;
  5. modificare il valore REG_DWORD fDenyTSConnection da 1 a 0.

L’accesso RDP si attiva dal momento in cui viene salvato il nuovo valore di fDenyTSConnection, non bisogna riavviare nulla.