Buco di sicurezza in MySQL/MariaDB

È stato scoperto un pericoloso baco in MySQL/MariaDB che potrebbe permettere l’accesso come root ad un database server.

La vulnerabilità non funziona su tutte le installazioni di MySQL (inclusa CentOS) e dipende da come è stato compilato il server.

Il problema risiede nella routine di autenticazione di un utente. Quando viene aperta una connessione a MySQL/MariaDB viene generato un token calcolando un SHA della password fornita e di una stringa casuale; il token viene quindi confrontato con l’SHA calcolato con il valore corretto. Per un errore di cast potrebbe succedere che le due stringhe vengano considerate uguali anche se non lo sono e anche se memcmp() ritorna un valore diverso da zero; se si verifica questo caso, MySQL/MariaDB pensa che la password sia corretta e permette l’accesso. La probabilità che questo accada è di 1/256.

Leggi tutto “Buco di sicurezza in MySQL/MariaDB”

Quanto è sicura una password?

Passfault è un programma open source che verifica la resistenza delle password.

Il programma analizza una password e cerca di stabilire quanto tempo sia necessario per crackarla in base ad alcuni parametri definiti. Ovviamente l’analisi che viene fatta è agnostica rispetto all’utente: per ovvi motivi il programma non prova le password che contengono dati correlati all’utente, che potrebbero, invece, essere ineriti nel dizionario di un programma di attacco che voglia prendere di mira un utente specifico.

È disponibile anche una versione online in https, anche se per verificare le proprie password è bene scaricare e installare i sorgenti Java. (via nakedsecurity)

 

Crackato il protocollo di Siri

A nemmeno un  mese dal lancio, la società tedesca fracese Applidium ha crackato il protocollo di Siri.

La metodologia descritta è molto interessante e può essere applicata a casi analoghi.

Siri invia tutti i dati a guzzoni.apple.com utilizzando il trasporto (trasporto, non protocollo, vedremo poi) HTTPS. Il client che risiede su iOS verifica la validità del certificato SSL di  guzzoni.apple.com per impedire che il traffico venga dirottato su un altro server tramite DNS poisoning.

Questo non ha però fermato i tecnici di Applidium, che hanno creato un finto host guzzoni.apple.com con un finto certificato SSL emesso e firmato da una finta CA. Il clienti di Siri verifica, infatti, la validità del certificato di guzzoni.apple.com, ma si fida di qualsiasi CA lo garantisca.

Leggi tutto “Crackato il protocollo di Siri”

Finto crack per Firefox 4.0 nasconde un trojan

FirefoxGira in rete un presunto crack per Firefox 4.0 che dovrebbe “sbloccare” il programma o attivare nuove funzionalità. Ovviamente è un fake che va ad installare sul computer un trojan…

Firefox è libero, gratuito e non necessita di registrazione o codici di attivazione.

L’ultima versione stabile di Firefox al momento in cui scrivo è la 3.6.8. La versione 4.0 è ancora una beta e se ne sconsiglia l’uso ai non smanettoni.

State attenti li fuori…