Spesso c’è la tendenza ad incolpare il malware per ogni tipo di danno causato ai sistemi informativi o per ogni tipo di furto di informazioni.
Se non si può parlare di colpa di chi scrive il software, certo il programmatore è in molti casi correo colposo (quando non è doloso, ma è un altro paio di maniche) di intrusioni illecite o furti di informazioni.
(altro…)NBC pubblica un articolo di Reuters in merito ad un attacco informatico ai danni di EADS e ThyssenKrupp.
Bisogna rendersi conto che questi non sono più attacchi di qualche gruppo di studenti svogliati che vogliono fare qualcosa di eclatante.
Il Governo della Germania ha notato un incremento degli attacchi ai danni di società tedesche, ovviamente le più bersagliate sono quelle che fanno tecnologia e innovazione.
(altro…)Mark Gamache ha pubblicato un dettagliato articolo in cui spiega come il furto di credenziali utilizzate per l’autenticazione NTLM sia più semplice di quanto si riteneva.
Fin’ora si credeva che l’unico modo per rubare la password di un utente tramite NTLM fosse un attacco MitM o il possesso di credenziali amministrative sul sistema vittima; entrambe le cose rendevano il furto delle credenziali un male minore, in quanto il sistema sarebbe stato già ampiamente compromesso.
Il protocollo di autenticazione NTLM prevede quattro protocolli diversi in ordine crescente di sicurezza: LM, NTLM, NTLM con session security e NTLMv2, l’ultimo dei quali è l’unico a non essere interessato da questa vulnerabilità.
Mark ha scoperto che attraverso Cloudcracker (o servizio analogo) è possibile eseguire un attacco a forza bruta per ottenere l’hash NTLM; se la vittima utilizza Windows XP è possibile scoprire la sua password nel giro di una notte.
(altro…)Sono sempre di più i prodotti e i sistemi operativi che supportano IPv6.
La quasi totalità di questi host è configurata per default in dual stack con DHCP su IPv4 e SLAAC su IPv6. Chi esegue l’installazione del dispositivo raramente si cura della parte IPv6 e procede solamente alla configurazione di IPv4, lasciando IPv6 attivo in SLAAC.
Purtroppo l’attuale implementazione di SLAAC non prevede alcuna forma di autenticazione o di validazione preventiva, posto che l’IT si sia già posto il problema dell’IPv6 nella sua LAN.
Il risultato è che a tutti gli host IPv6, inclusi i server, può essere assegnato un indirizzo IP da un software come radvd con lo scopo di creare una LAN parallela a quella esistente con delle regole di routing e di accesso completamente diverse. Piazzare una macchina Linux con radvd e un tunnel IPv6 con 2^64 indirizzi pubblici è più semplice di quello che sembra; una volta attivato il gateway, gli host con un IPv6 sarebbero accessibili da qualsiasi parte di Internet.
In questa fase transitoria è bene configurare correttamente gli host, disabilitando IPv6 (o lo SLAAC) dove non è ancora necessario. Agire solamente sul firewall di frontiera non è sufficiente perché nel caso indicato sopra il Linux potrebbe avere un punto di uscita diverso verso Internet.
Agli sviluppatori delle applicazioni che usano i database, ovviamente.
Dark Reading raccoglie in un articolo un decalogo di consigli per gli sviluppatori che vogliono mitigare i problemi di sicurezza delle applicazioni che utilizzano database (tipicamente SQL, ma non necessariamente).
Alcune norme sono ovvie e ne abbiamo parlato anche noi: la prima in assoluto è la SQL injection, molto più diffusa di quello che si possa credere. Basta, infatti, che un solo campo di un’intera applicazione non venga opportunamente sanificato per mettere a repentaglio la sicurezza dell’intero progetto.
(altro…)Chi si è avvicinato all’utilizzo della PowerShell ha cozzato quasi subito con la bella feature che impedisce di eseguire gli script.
Sembra una barzelletta, ma l’interprete di script di Microsoft per default non esegue gli script non firmati. Nulla di grave perché un Set-Execution-Policy Unrestricted rimette le cose a posto.
Nonostante ciò, oggi non riuscivo ad eseguire uno script che avevo caricato su un server di un cliente nonostante la policy Unrestricted confermata anche da Get-Execution-Policy.
Il problema era che avevo scaricato da Internet lo script: l’avevo creato a casa mia, l’avevo compresso e caricato su uno dei miei server e da lì l’avevo scaricato sul computer a cui ero connesso in VPN.
Tanto è bastato per far arrabbiare PowerShell.
Dopo i recenti episodi di hackeraggio che hanno coinvolto Dropbox, il sito ha aggiunto la possibilità di attivare l’autenticazione a due fattori.
Il primo fattore resta la password e il secondo può essere o un messaggio che si riceve via SMS oppure un’applicazione supportata (Google Authenticator, Amazon AWS MFA o Authenticator for Windows Phone 7).
L’autenticazione a due fattori è un notevole passo avanti nella sicurezza, in quanto chi volesse accedere in maniera fraudolenta al vostro account di Dropbox dovrebbe conoscere la password e avere in mano il vostro cellulare.
Vediamo come attivare l’autenticazione a due fattori.
La famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.
Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.
Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.
L’analisi di Gauss è ancora in corso, quindi le informazioni non sono ancora complete, Kaspersky ha pubblicato un documento tecnico con le informazioni disponibili (HTML, PDF).
(altro…)
Da diverso tempo monta la polemica sulla decisione di Microsoft di certificare per Windows 8 solo i sistemi dotati di UEFI secure boot.
Per chi non lo sapesse si tratta di un sistema di interfaccia tra il BIOS ed il sistema operativo atto ad impedire il BOOT di qualsiasi dispositivo sprovvisto di firma digitale.
Questo è ovviamente visto da molti come l’ennesimo tentativo di Microsoft di limitare la libertà dell’utente, impedendogli di fatto l’utilizzo di sistemi operativi diversi.
Per fare un esempio le attuali distro LINUX live non potrebbero essere avviate su un PC dotato di questo dispositivo se non disattivandolo (operazione non alla portata di tutti).
È stato scoperto un pericoloso baco in MySQL/MariaDB che potrebbe permettere l’accesso come root ad un database server.
La vulnerabilità non funziona su tutte le installazioni di MySQL (inclusa CentOS) e dipende da come è stato compilato il server.
Il problema risiede nella routine di autenticazione di un utente. Quando viene aperta una connessione a MySQL/MariaDB viene generato un token calcolando un SHA della password fornita e di una stringa casuale; il token viene quindi confrontato con l’SHA calcolato con il valore corretto. Per un errore di cast potrebbe succedere che le due stringhe vengano considerate uguali anche se non lo sono e anche se memcmp() ritorna un valore diverso da zero; se si verifica questo caso, MySQL/MariaDB pensa che la password sia corretta e permette l’accesso. La probabilità che questo accada è di 1/256.
Questo articolo è per chi non sa cosa sia la SQL injection.
Con questo termine si identifica una classe di vulnerabilità dei software che consente ad un utente qualsiasi di aggirare i controlli del software e inviare direttamente al server comandi SQL.
Prima della diffusione dei server SQL i dati venivano archiviati e recuperati utilizzando funzioni di libreria del linguaggio di programmazione. Esisteva un comando/funzione del linguaggio per aprire un archivio di dati, uno per cercare un record, un altro per aggiornare i dati, un altro ancora per cancellarli e così via. Con questo sistema era di fatto impossibile portare attacchi tipo SQL injection perché i comandi relativi al trattamento dei dati erano parte del programma. In altre parole, le azioni che avevano come oggetto i dati erano cablate nel programma e non c’era modo di cambiarle se non cambiando il programma (e ricompilarlo).
La diffusione capillare dei server SQL ha cambiato le carte in tavola.
(altro…)