Spesso c’è la tendenza ad incolpare il malware per ogni tipo di danno causato ai sistemi informativi o per ogni tipo di furto di informazioni.
Se non si può parlare di colpa di chi scrive il software, certo il programmatore è in molti casi correo colposo (quando non è doloso, ma è un altro paio di maniche) di intrusioni illecite o furti di informazioni.
(altro…)NBC pubblica un articolo di Reuters in merito ad un attacco informatico ai danni di EADS e ThyssenKrupp.
Bisogna rendersi conto che questi non sono più attacchi di qualche gruppo di studenti svogliati che vogliono fare qualcosa di eclatante.
Il Governo della Germania ha notato un incremento degli attacchi ai danni di società tedesche, ovviamente le più bersagliate sono quelle che fanno tecnologia e innovazione.
(altro…)Mark Gamache ha pubblicato un dettagliato articolo in cui spiega come il furto di credenziali utilizzate per l’autenticazione NTLM sia più semplice di quanto si riteneva.
Fin’ora si credeva che l’unico modo per rubare la password di un utente tramite NTLM fosse un attacco MitM o il possesso di credenziali amministrative sul sistema vittima; entrambe le cose rendevano il furto delle credenziali un male minore, in quanto il sistema sarebbe stato già ampiamente compromesso.
Il protocollo di autenticazione NTLM prevede quattro protocolli diversi in ordine crescente di sicurezza: LM, NTLM, NTLM con session security e NTLMv2, l’ultimo dei quali è l’unico a non essere interessato da questa vulnerabilità.
Mark ha scoperto che attraverso Cloudcracker (o servizio analogo) è possibile eseguire un attacco a forza bruta per ottenere l’hash NTLM; se la vittima utilizza Windows XP è possibile scoprire la sua password nel giro di una notte.
(altro…)Sono sempre di più i prodotti e i sistemi operativi che supportano IPv6.
La quasi totalità di questi host è configurata per default in dual stack con DHCP su IPv4 e SLAAC su IPv6. Chi esegue l’installazione del dispositivo raramente si cura della parte IPv6 e procede solamente alla configurazione di IPv4, lasciando IPv6 attivo in SLAAC.
Purtroppo l’attuale implementazione di SLAAC non prevede alcuna forma di autenticazione o di validazione preventiva, posto che l’IT si sia già posto il problema dell’IPv6 nella sua LAN.
Il risultato è che a tutti gli host IPv6, inclusi i server, può essere assegnato un indirizzo IP da un software come radvd con lo scopo di creare una LAN parallela a quella esistente con delle regole di routing e di accesso completamente diverse. Piazzare una macchina Linux con radvd e un tunnel IPv6 con 2^64 indirizzi pubblici è più semplice di quello che sembra; una volta attivato il gateway, gli host con un IPv6 sarebbero accessibili da qualsiasi parte di Internet.
In questa fase transitoria è bene configurare correttamente gli host, disabilitando IPv6 (o lo SLAAC) dove non è ancora necessario. Agire solamente sul firewall di frontiera non è sufficiente perché nel caso indicato sopra il Linux potrebbe avere un punto di uscita diverso verso Internet.
Agli sviluppatori delle applicazioni che usano i database, ovviamente.
Dark Reading raccoglie in un articolo un decalogo di consigli per gli sviluppatori che vogliono mitigare i problemi di sicurezza delle applicazioni che utilizzano database (tipicamente SQL, ma non necessariamente).
Alcune norme sono ovvie e ne abbiamo parlato anche noi: la prima in assoluto è la SQL injection, molto più diffusa di quello che si possa credere. Basta, infatti, che un solo campo di un’intera applicazione non venga opportunamente sanificato per mettere a repentaglio la sicurezza dell’intero progetto.
(altro…)La famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.
Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.
Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.
L’analisi di Gauss è ancora in corso, quindi le informazioni non sono ancora complete, Kaspersky ha pubblicato un documento tecnico con le informazioni disponibili (HTML, PDF).
(altro…)Questo articolo è per chi non sa cosa sia la SQL injection.
Con questo termine si identifica una classe di vulnerabilità dei software che consente ad un utente qualsiasi di aggirare i controlli del software e inviare direttamente al server comandi SQL.
Prima della diffusione dei server SQL i dati venivano archiviati e recuperati utilizzando funzioni di libreria del linguaggio di programmazione. Esisteva un comando/funzione del linguaggio per aprire un archivio di dati, uno per cercare un record, un altro per aggiornare i dati, un altro ancora per cancellarli e così via. Con questo sistema era di fatto impossibile portare attacchi tipo SQL injection perché i comandi relativi al trattamento dei dati erano parte del programma. In altre parole, le azioni che avevano come oggetto i dati erano cablate nel programma e non c’era modo di cambiarle se non cambiando il programma (e ricompilarlo).
La diffusione capillare dei server SQL ha cambiato le carte in tavola.
(altro…)