Fatevi un favore e #SupportLetsEncrypt

Non è la prima volta che se ne parla, vale la pena ripeterlo.

La privacy è una cosa importante ed è un diritto inalienabile: HTTPS aiuta a mantenerla nella nostra vita online, un luogo in cui passiamo sempre più tempo e svolgiamo sempre più attività.

Let’s Encrypt è una Certification Authority gratuita, automatica e aperta. Non è di proprietà di nessuna azienda, ma opera nell’ambito della Linux Foundation ed è una organizzazione 501(c)
Il suo scopo è appunto fornire certificati digitali semplici da usare per arrivare a un 100% encrypted web. Leggi tutto “Fatevi un favore e #SupportLetsEncrypt”

Se non password, allora #PassaFrase

PassaFraseIconSu questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password.
Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi interesso al campo così come ogni buon professionista nel campo IT dovrebbe fare e sto usando questo progetto non solo per offrire un servizio all’utente, ma anche per imparare qualcosa, possibilmente per trasmettere le lessons learned e per approfondire il dibattito sulla sicurezza, a tutti i livelli.

La necessità di password lunghe e complesse, come sapete già bene, è parecchio antica in termini informatici: fino a qualche anno fa andavano di moda password formate da sequenze casuale di lettere maiuscole e minuscole, numeri e qualche volta segni di interpunzione o similari. Queste password erano difficili da memorizzare tanto che alcuni le appuntavano: nella migliore delle ipotesi sulla agendina personale o nel portafoglio, nella peggiore in un post-it incollato sotto la tastiera. La loro presunta robustezza, tuttavia, ci convinceva che il gioco valesse la candela. Leggi tutto “Se non password, allora #PassaFrase”

Smettete di usare Flash ADESSO

No FlashFlash è il Lato Oscuro: rapido, facile, seducente e mortale.

Ce lo portiamo dietro dal millennio scorso, da quando i “grafici” volevano dettare le leggi del web e insegnare a Sir Tim Berners-Lee e a milioni di tecnici come doveva essere fatto il “vero” web (mica quella roba in HTML che non si può impaginare…)

Adesso, grazie a questi geni incompresi della tecnologia (quelli ancora in attività sono saltati sul carro di HTML5+CSS), ci portiamo dietro una costante falla di sicurezza. Leggi tutto “Smettete di usare Flash ADESSO”

Possiamo spegnere l’incendio

Mikko Hypponen ha fatto un intervento al recente TEDx di Bruxelles in cui ha cercato di stimolare delle reazioni da parte di tutti noi utenti.

Tutti noi utenti e tutti noi articoli venduti dai servizi online come se fossimo merce.

Il titolo di questo articolo fa riferimento ad una storia raccontata da Mikko nel suo intervento in cui un cameriere, andando contro gli ordini del suo capo, ha avvertito di un incendio in atto i clienti di un locale di lusso californiano.

Paolo Attivissimo ha chiesto il permesso di pubblicare sul suo sito la traduzione in italiano del discorso di Mikko, l’ha ottenuto e ora la traduzione è disponibile. Chi mastica un pochino l’inglese può ascoltare direttamente l’originale perché Mikko parla lentamente e usa un inglese facile da comprendere.

Prendetevi venti minuti e ascoltate quel discorso.

Aggiornamento 28/14/2014: aggiunto il link al testo tradotto.

Uno step fisico

Sull’utilità dell’utilizzo di verifica a due fattori per le password di accesso ai servizi abbiamo già discusso innumerevoli volte.
Reimpostare una password, in molti casi, si rivela fin troppo semplice e un attacker che dovesse riuscire ad accedere all’indirizzo email di un utente, potrebbe potenzialmente compromettere molti, se non tutti, i suoi account. L’autenticazione a due fattori permetti di combinare una seconda informazione con la password in modo da rendere tentativi di attacco più difficili.
Tipicamente, una autenticazione a due fattori potrebbe essere realizzata combinando una password con un codice usa e getta inviato via SMS oppure generato da una app installata sullo smartphone.

Qualche organizzazione, tipicamente banche, usano già da qualche anno quelli che si definiscono disconnected tokens ovvero piccoli dispositivi elettronici che forniscono codici usa e getta su un display, normalmente usando una modalità time-based basata su un oscillatore al quarzo integrato (la pagina Multi-factor authentication sulla Wikipedia è molto esaustiva e interessante da leggere a questo proposito).
Una notizia più recente è invece la possibilità di utilizzare l’autenticazione a due fattori di Google con un token fisico non proprietario e con Chrome. Leggi tutto “Uno step fisico”

Sicurezza, trasparenza, facilità d’uso

Lascio all’articolo precedente lo sviluppo del lato tecnico della storia del furto di immagini, qui vorrei fare qualche commento.

In molti abbiamo perso dei dati o abbiamo scoperto che per un errore (nostro o informatico) alcuni dati sono finiti in un contesto pubblico quando sarebbero dovuti rimanere privati. Ma quando si tratta di parti intime di persone famose o dei loro partner l’evento diventa una notizia. Leggi tutto “Sicurezza, trasparenza, facilità d’uso”

Prodotti Microsoft vulnerabili ai file TIFF

TIFFAlcuni prodotti Microsoft sono sensibili ad un attacco portato attraverso file grafici TIFF.

Questo formato è sconosciuto ai più, ma ha una certa diffusione nel campo della grafica e assimilati: la regola generale è che se non l’avete mai sentito nominare è perché non avete mai avuto bisogno di utilizzarlo.

Tuttavia è possibile attaccare una vittima inducendola ad aprire un file di Office che contiene un’immagine TIFF creata ad arte. Se viene aperto un file di questo tipo con un programma vulnerabile l’attaccante può eseguire dei programmi arbitrari sul computer della vittima (remote code execution).

I programmi interessati sono:

  • Office 2003
  • Office 2007
  • Office 2010 (solamente se gira su Windows XP oppure Windows Server 2003)
  • Lync

Questa vulnerabilità viene già sfruttata attraverso mail con allegati creati ad arte che, se aperti, possono eseguire programmi sul computer della vittima.

Per ora non sono annunciate delle patch, Microsoft ha diramato un bollettino di sicurezza in cui viene spiegato come disabilitare il codec del formato TIFF. Chi non vuole smanettare troppo con la configurazione di Windows può delegare l’attività all’apposito Fix it. (via ISC)

Aggiornamento 7/11/2013 – Ovviamente la diffusione dei vari exploit di questo baco è maggiore di quella ritenuta all’inizio. Prestate particolare attenzione a delle mail con allegati Word (DOC o DOCX).

Aggiornamento 6/12/2013 – Microsoft ha annunciato che il problema verrà risolto nel patch tuesday di dicembre 2013.

Lo strano caso di #badBIOS

MicrocontrollerLa notizia non è freschissima, ma io me ne sono imbattuto solo ieri.
Ammetto che, a un primo sguardo, potrebbe sembrare una bufala di proporzioni colossali che ogni professionista del IT sarebbe tentato di ignorare con una alzata di spalle, ma pare che sotto in effetti ci sia molto di più.
E no, non è un pesce di Halloween.

Tutto inizia tre anni fa, ma sale agli onori della ribalta con questo tweet

https://twitter.com/alexstamos/status/393027135377399808

Questo articolo su ArsTechnica racconta la storia di un misterioso malware che si è riprodotto per anni sui computer di Dragos Ruiu, un noto e rispettabile consulente di sicurezza informatica.
Il malware pare responsabile per la cancellazione di files dalle memorie, di massa, la modifica di firmware di alcuni microcontroller all’interno del PC e per la capacità di impedire il boot di alcuni sistemi operativi o l’avvio da un disco ottico. Leggi tutto “Lo strano caso di #badBIOS”

Ecco a cosa servono gli antivirus

I professionisti dell’informatica consigliano sempre di installare un buon antivirus e di tenerlo aggiornato.

Altre persone, che appartengono alla stessa categoria dei 60 milioni di CT della nazionale e 60 milioni di Presidenti del Consiglio, dicono che non serve e snocciolano queste sapienti motivazioni:

  • i virus sono scritti dalle ditte di antivirus;
  • non ho nulla da proteggere;
  • me l’ha detto mio cuggggino che è stato trasferito da poco al reparto computer e telefoni di $società_della_GDO e, quindi, ne capisce;
  • io capisco a sensazione quando il mio PC è infetto senza bisogno di antivirus; [i “tennici sensitivi” sono i più divertenti, NdLR]
  • è troppo caro;
  • mi rallenta il PC;
  • io sono più furbo dei virus;
  • il mio computer è inattaccabile perché ho $sistema_operativo_diverso_da_Windows e i virus li fanno solo per Windows (me l’ha detto mio cugggino che eccetera eccetera).

Ieri BBC e New York Times hanno dato la notizia di un attacco di DDoS contro Spamhaus nell’ambito di una guerra di malviventi contro chi li blocca. Il grosso dall’attacco sarebbe stato un traffico generato contro Spamhaus di 300 Gb al secondo; immaginate ogni due secondi il contenuto di un migliaio di CD-ROM lanciato contro i server di Spamhaus.

Leggi tutto “Ecco a cosa servono gli antivirus”

Rischi dell’implementazione di IPv6

Mentre il conto alla rovescia dell’esaurimento dell’IPv4 continua, è opportuno valutare i rischi correlati all’adozione di IPv6.

Il NIST ha pubblicato un utilissimo documento in cui vengono dettagliate le linee guida per l’adozione sicura dell’IPv6 nelle organizzazioni.

Il documento è molto corposo e la prende veramente alla lontana, ma è utile a tutti perché non dà nulla per scontato; chi conosce già i dettagli dei protocolli IP può saltare i primi capitoli.

Nella guida vengono spiegati i meccanismi di passaggio da v4 a v6 e i rischi correlati.

Leggi tutto “Rischi dell’implementazione di IPv6”

Poi non date la colpa al malware

Museo di Iraklio / Heraklion museumSpesso c’è la tendenza ad incolpare il malware per ogni tipo di danno causato ai sistemi informativi o per ogni tipo di furto di informazioni.

Se non si può parlare di colpa di chi scrive il software, certo il programmatore è in molti casi correo colposo (quando non è doloso, ma è un altro paio di maniche) di intrusioni illecite o furti di informazioni.

Negli ultimi anni le cose stanno lentamente cambiando, ma fino a poco tempo fa chi scriveva software era assolutamente inconsapevole dei rischi della sicurezza perché o non se ne curava affatto o pensava che fosse un Problema Altrui.

Scrivere un software che tenga presente i problemi della sicurezza non è semplice, ma sta diventando rapidamente una necessità imperativa se non si vuole fare brutte figure, o peggio.

Leggi tutto “Poi non date la colpa al malware”

Attacchi alle aziende

Ma in fondo, a cosa serve?NBC pubblica un articolo di Reuters in merito ad un attacco informatico ai danni di EADS e ThyssenKrupp.

Bisogna rendersi conto che questi non sono più attacchi di qualche gruppo di studenti svogliati che vogliono fare qualcosa di eclatante.

Il Governo della Germania ha notato un incremento degli attacchi ai danni di società tedesche, ovviamente le più bersagliate sono quelle che fanno tecnologia e innovazione.

Bisogna rendersi conto una volta per tutte che la sicurezza informatica è forse più importante di quella fisica dei locali e che la storia che i virus li scrivono quelli che scrivono gli antivirus è una cazzata bella e buona detta per auto-giustificare il lassismo della sicurezza informatica.

Per rispondere all’altra domanda che spesso viene posta per auo-assolversi, “Chi vuoi che sia interessato ai miei computer?”, la cronaca degli ultimi anni dimostra che spesso un’azienda o un’organizzazione viene attaccata per attaccarne un’altra in quanto la prima azienda è più vulnerabile dell’obbiettivo finale. Un esempio su tutti: l’attacco a RSA per attaccare un fornitore della Difesa americana che usava i token RSA per autenticare gli utenti (sì: RSA era l’anello debole della catena).

Leggi tutto “Attacchi alle aziende”

Vulnerabilità dell’autenticazione NTLM

Tubo / PipeMark Gamache ha pubblicato un dettagliato articolo in cui spiega come il furto di credenziali utilizzate per l’autenticazione NTLM sia più semplice di quanto si riteneva.

Fin’ora si credeva che l’unico modo per rubare la password di un utente tramite NTLM fosse un attacco MitM o il possesso di credenziali amministrative sul sistema vittima; entrambe le cose rendevano il furto delle credenziali un male minore, in quanto il sistema sarebbe stato già ampiamente compromesso.

Il protocollo di autenticazione NTLM prevede quattro protocolli diversi in ordine crescente di sicurezza: LM, NTLM, NTLM con session security e NTLMv2, l’ultimo dei quali è l’unico a non essere interessato da questa vulnerabilità.

Leggi tutto “Vulnerabilità dell’autenticazione NTLM”

Rete parallela

Tubi / PipesSono sempre di più i prodotti e i sistemi operativi che supportano IPv6.

La quasi totalità di questi host è configurata per default in dual stack con DHCP su IPv4 e SLAAC su IPv6. Chi esegue l’installazione del dispositivo raramente si cura della parte IPv6 e procede solamente alla configurazione di IPv4, lasciando IPv6 attivo in SLAAC.

Purtroppo l’attuale implementazione di SLAAC non prevede alcuna forma di autenticazione o di validazione preventiva, posto che l’IT si sia già posto il problema dell’IPv6 nella sua LAN.

Il risultato è che a tutti gli host IPv6, inclusi i server, può essere assegnato un indirizzo IP da un software come radvd con lo scopo di creare una LAN parallela a quella esistente con delle regole di routing e di accesso completamente diverse. Piazzare una macchina Linux con radvd e un tunnel IPv6 con 2^64 indirizzi pubblici è più semplice di quello che sembra; una volta attivato il gateway, gli host con un IPv6 sarebbero accessibili da qualsiasi parte di Internet.

In questa fase transitoria è bene configurare correttamente gli host, disabilitando IPv6 (o lo SLAAC) dove non è ancora necessario. Agire solamente sul firewall di frontiera non è sufficiente perché nel caso indicato sopra il Linux potrebbe avere un punto di uscita diverso verso Internet.

La sicurezza dei database è in mano agli sviluppatori

Controllo siluri / Torpedo consoleAgli sviluppatori delle applicazioni che usano i database, ovviamente.

Dark Reading raccoglie in un articolo un decalogo di consigli per gli sviluppatori che vogliono mitigare i problemi di sicurezza delle applicazioni che utilizzano database (tipicamente SQL, ma non necessariamente).

Alcune norme sono ovvie e ne abbiamo parlato anche noi: la prima in assoluto è la SQL injection, molto più diffusa di quello che si possa credere. Basta, infatti, che un solo campo di un’intera applicazione non venga opportunamente sanificato per mettere a repentaglio la sicurezza dell’intero progetto.

Il secondo errore più comune commesso dagli sviluppatori è l’eccesso di informazioni di errore visualizzate all’utente. Ci dicono che non dobbiamo essere criptici nella messaggistica, però è anche bene evitare di esagerare per non rivelare involontariamente dati che potrebbero essere utili per un attacco mirato.

Leggi tutto “La sicurezza dei database è in mano agli sviluppatori”

Fammi eseguire il dannato script!

Chi si è avvicinato all’utilizzo della PowerShell ha cozzato quasi subito con la bella feature che impedisce di eseguire gli script.

Sembra una barzelletta, ma l’interprete di script di Microsoft per default non esegue gli script non firmati. Nulla di grave perché un Set-Execution-Policy Unrestricted rimette le cose a posto.

Nonostante ciò, oggi non riuscivo ad eseguire uno script che avevo caricato su un server di un cliente nonostante la policy Unrestricted confermata anche da Get-Execution-Policy.

Il problema era che avevo scaricato da Internet lo script: l’avevo creato a casa mia, l’avevo compresso e caricato su uno dei miei server e da lì l’avevo scaricato sul computer a cui ero connesso in VPN.

Tanto è bastato per far arrabbiare PowerShell.

Leggi tutto “Fammi eseguire il dannato script!”

Autenticazione a due fattori per Dropbox

Dopo i recenti episodi di hackeraggio che hanno coinvolto Dropbox, il sito ha aggiunto la possibilità di attivare l’autenticazione a due fattori.

Il primo fattore resta la password e il secondo può essere o un messaggio che si riceve via SMS oppure un’applicazione supportata (Google AuthenticatorAmazon AWS MFAAuthenticator for Windows Phone 7).

L’autenticazione a due fattori è un notevole passo avanti nella sicurezza, in quanto chi volesse accedere in maniera fraudolenta al vostro account di Dropbox dovrebbe conoscere la password e avere in mano il vostro cellulare.

Vediamo come attivare l’autenticazione a due fattori.

Leggi tutto “Autenticazione a due fattori per Dropbox”

Gauss

Babbage's Difference EngineLa famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.

Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.

Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.

Leggi tutto “Gauss”

Secure boot e Windows 8

Da diverso tempo monta la polemica sulla decisione di Microsoft di certificare per Windows 8 solo i sistemi dotati di UEFI secure boot.

Per chi non lo sapesse si tratta di un sistema di interfaccia tra il BIOS ed il sistema operativo atto ad impedire il BOOT di qualsiasi dispositivo sprovvisto di firma digitale.

Questo è ovviamente visto da molti come l’ennesimo tentativo di Microsoft di limitare la libertà dell’utente, impedendogli di fatto l’utilizzo di sistemi operativi diversi.
Per fare un esempio le attuali distro LINUX live non potrebbero essere avviate su un PC dotato di questo dispositivo se non disattivandolo (operazione non alla portata di tutti).

Leggi tutto “Secure boot e Windows 8”