SIAMO GEEK

Tag: Sicurezza

  • Lo snapshot non è un backup

    È indubbio che la virtualizzazione stia diventando pian piano una tecnologia accettata anche dai più refrattari, non foss’altro che per una questione di costi.

    Il problema è la relativa inesperienza di alcuni SysAdmin che, per varie ragioni, non vogliono imparare la nuova tecnologia, ma si limitano ai soliti “sentito dire” e ad esperienze poco scientifiche come “quel giorno avevo i jeans e il server è saltato, quindi nessuno con i jeans può entrare nella computer room”. Non ridete, ce ne sono più di quanti pensiate.

    Quando ci si avvicina alla virtualizzazione, una delle cose che colpiscono è la possibilità di fare degli snapshot della macchina virtuale (VM). Questa funzione è utilissima quando si fanno modifiche sistemiche alla VM, ma deve essere utilizzata con estrema parsimonia e coscienza di causa.

    Qualche SysAdmin sprovveduto utilizza gli snapshot come se fossero dei backup, senza, evidentemente, porsi il problema di come fare velocemente un restore.

    Senza contare che mantenere per più di un paio di giorni degli snapshot di VM in produzione è un suicidio dal punto di vista delle performance.

  • Quanto è facile rubare i server di un’azienda?

    Il titolo si riferisce al server come servizio, non come hardware: i dati e le configurazioni, non il ferro.

    Immaginiamo che un malintenzionato, che chiameremo Dr. No, voglia rubare dati e infrastruttura IT di un’azienda. Il nostro Dr. No potrebbe essere un dipendente infedele, un consulente doppiogiochista o qualsiasi altro losco figuro, la cosa non ha rilevanza ai fini di questa storia.

    (altro…)

  • Sicurezza stampanti HP: non si fa così

    Pochi giorni fa HP ha annunciato di aver rilasciato gli aggiornamenti del firmware delle stampanti coinvolte in un problema di sicurezza.

    Il problema riguarda la possibilità di installare su alcune stampanti HP un firmware non originale (video) che può esporre dati riservati oppure modificare i parametri di funzionamento della stampante causando danni e, potenzialmente, incendi.

    Il problema è che HP, in una maniera assolutamente irrituale rispetto a casi analoghi, non ha pubblicato l’elenco dei modelli coinvolti, ma dice semplicemente di accedere alla sezione del supporto del suo sito, mettere il nome del modello della stampante, selezionare Download e verificare se c’è un aggiornamento del firmware.

    Questa scelta è stata probabilmente dettata da qualche genio delle pubbliche relazioni o del dipartimento legale, i quali preferiscono sempre nascondere la polvere sotto il tappeto e gestire in seguito eventuali problemi, scommettendo sul fatto che o non succeda nulla oppure si possa minimizzare o smentire.

    Se questa era la norma nel secolo scorso, nel 2012 la mancanza di trasparenza in questo tipo di comunicazioni non paga più, specialmente quando ci sono molte alternative alle stampanti HP a prezzi vantaggiosi.

  • DECIMAL POINT IS COMMA.

    Qualche tempo fa ho attivato il servizio gratuito di Website Defender su questo blog come parte del plugin Secure WordPress.

    Al pari del plugin, il servizio aggiunge un utile livello di paranoia alla normale sicurezza di un sito basato su WordPress.

    Periodicamente Website Defender segnala i file modificati dall’ultima scansione e compie delle analisi sulle pagine per evitare problemi.

    Poco fa il report periodico mi ha informato che una pagina potrebbe rivelare l’IP interno del server. È evidentemente un falso allarme, in quanto il sistema automatico di analisi ha scambiato un numero espresso con la notazione italiana (punto che separa le migliaia) per un indirizzo IPv4 appratente ad uno dei range assegnati alle reti interne.

    Questo esempio dimostra quanta distanza ci sia ancora tra una regular expression e un’interpretazione semantica dei contenuti.

  • Chi scrive i virus e perché

    Un video in cui Mikko Hyppönen spiega quale sono le attuali fonti del malware e le motivazioni che spingono queste persone a crearlo.

    [youtube=http://www.youtube.com/watch?v=YMzp6eFR3BE&w=480]

  • Mouse di Troia

    Oramai il vettore di penetrazione a mezzo chiavette USB disseminate nel parcheggio o spedite per posta è noto a (quasi) tutti: le persone che lavorano in ambienti sensibili sanno che eventuali chiavette USB di provenienza ignota devono essere analizzate prima dal personale IT.

    Netragard era stata incaricata di eseguire un test di penetrazione in una ditta in cui le persone erano difficilmente ingannabili con la solita chiavetta persa nel parcheggio. I termini dell’incarico prevedevano che non venissero utilizzati metodi di social engineering, mail, telefoni o accessi fisici alla vittima.

    I tecnici di Netragard hanno, quindi assemblato con materiale off the shelf un mouse all’interno del quale si trovava un hub USB e una flash USB. Collegando il mouse al computer si collegava, in realtà un hub USB a cui erano collegati il mouse e una chiavetta USB con del malware costruito ad hoc.

    Il tutto è stato confezionato in un confezione regalo con depliant e documentazione fasulli e inviato per posta alla vittima. Inutile dire che l’attacco è riuscito. (via Netragard Blog, con molti dettagli tecnici)

     

  • THC-Hydra

    Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.

    A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.

    THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.

    A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.

  • Blackberry e iOS: password crackata con 200 €

    Elcomsoft Phone Password Breaker è un software venuto a 200 € in grado di eseguire un attacco di forza bruta alle password di iOS e del Blackberry.

    Il programma è in grado di utilizzare fino a 32 CPU e 8 GPU ATIAMD o nVIDIA per trovare la password. L’uso dei processori grafici per scardinare la sicurezza informatica non è nuovo: nel 2008 un gruppo guidato da Alexander Sotirov ha creato un finto certificato di sicurezza utilizzando i processori grafici di 300 PlayStation.

    La nuova versione del software è in grado di operare anche sui backup di iOS e Blackberry, quindi non è necessario l’accesso fisico al dispositivo per considerarsi a rischio. (via Stefano Quintarelli)

  • ASP.NET: la cosa si fa seria (aggiornamento)

    [youtube=http://www.youtube.com/watch?v=yghiC_U2RaM&w=480]

    Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.

    La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.

    La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)

    Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.

    Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.

  • Stuxnet e la protezione dei sistemi industriali

    Stuxnet è un malware molto anomalo.

    Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC.

    (altro…)

  • Aggiornamenti per Flash

    Adobe ha aggiornato l’advisory con cui segnala un baco di Flash e di Acrobat Reader.

    Da oggi sono disponibili gli aggiornamenti di Flash Player.

    Diversamente da quanto annunciato, gli aggiornamenti che correggono il problema di Acrobat Reader saranno disponibili nella settimana del 4 ottobre p.v. (via F-Secure)