Passa ai contenuti principali

Post

Visualizzazione dei post da Novembre, 2007

Google MD5 Cracker e il potere dell'informazione

Differenti volte abbiamo parlato su Exploit dell'algoritmo MD5 usato in molte web application per cifrare la password degli utenti; è anche risaputa la debolezza dell'algoritmo che permette di collidere due hash md5 con un numero ridotto di tentativi.
Negli ultimi giorni un gruppo di esperti di sicurezza si è visto defacciare il proprio sito, non riuscendo ad identificare la fonte di questo attacco.
Google incentiva il cracking del md5 - Exploit


Quando si dice il potere dell'informazione.
Google indicizza praticamente tutto, contenuti, immagini, filmati e ... tutto ciò che non è espressamente vietato nel robot.txt?
Come? Cos'è il Robot.txt? E' quella cosa che gli amici della Light Blue Touchpaper si sono scordati di configurare.

Sicurezza è, prima di tutto, conoscenza dei mezzi

PS: per tutti coloro che volessero fare delle prove vi lascio con un link ad un simpatico DataBase? Motore di ricerca? Giudicate voi ;)
Tags: , , ,

Corso "Online" di Crittografia

"Practical Aspects of Modern Cryptography" così si chiama il corso dell'Università di Washington tenuto da Josh Benaloh, Brian LaMacchia, e John Manferdelli. Interessanti i contenuti delle letture, degli assignment, le relative soluzioni e non da ultimo la versione PDF del libro Handbook of Applied Cryptography, di Menezes, van Oorschot, e Vanstone.

Schneier on Security: College Cryptography Course Online
Tags: crittografia,

Trojan di stato nei computer Tedeschi

A questo punto penso che in germania qualcuno abbia perso il lume della ragione. In un pomeriggio fatto di letture ed aggiornamenti, questa è l'unica conclusione ovvia alla questione sollevata da un articolo letto su Punto Informatico. Leggete il passaggio che ho riportato di seguito, ha dell'incredibile ...
Tutto questo secondo il capo di BKA non deve allarmare il pubblico, perché non si ricorrerebbe all'inserimento di spyware e trojan sui computer degli utenti in modo frequente. "Oggi - dice Ziercke - abbiamo 230 indagini aperte su islamici le cui attività ci risultano sospette. Credo che in due o tre di questi casi noi vorremmo poter agire" inserendo appunto sistemi di spionaggio da remoto sui loro computer. Ciò consentirebbe, evidentemente, anche di conoscere i contenuti delle conversazioni effettuate dal e con o in prossimità del sistema intercettato, Skype o non Skype.
PI: Germania, subito trojan di stato nei computer

Ma vi rendete conto? Dalla serie "Non…

iPhone in Italia con Vodafone e UMTS

Sono rimasto un pò indietro con la lettura del mio feed in questi giorni tanto d'aver perso questa notizia ...
In linea con quanto già pubblicato, arriva questa nuova notizia: l’iPhone sarà distribuito da Vodafone non prima della primavera del 2008 e sarà dotato di tecnologia UMTS. A quanto pare, l’accordo tra i due partner sarebbe già firmato e verrà annunciato nel periodo natalizio.
iPhone in Italia nel 2008: Vodafone e UMTS?


In tutti questi casi si trattava, appunto, di accordi quasi “occasionali”, finalizzati alla vendita di un prodotto destinato ad avere una vita commerciale tutto sommato breve, dato che l'oggetto altro non era che il terminale GSM-Edge nato per la vendita negli USA, con qualche leggero adattamento per l’Europa.Mentre il colpaccio, nella realtà, lo avrebbe fatto Vodafone: da come risulta alla redazione di Morse il gruppo pan-europeo di telecomunicazioni avrebbe, infatti, firmato un accordo di esclusiva per la versione UMTS dell’iPhone.L’annuncio ufficiale ve…

Cronache da Eindhoven

Un mio collega sta trascorrendo il periodo all'estero, obbligatorio per il suo dottorato, ad Eindhoven dove ne succedono di tutti i colori ...

Leo, sei un personaggio sappilo! :D
Tags: , , ,

(IN)Secure Magazine - Issue 14

E' uscita come di consueto la 14° Issue di (IN)Secure Magazine.



Così com'è avvenuto nel mese di settembre, questo numero è bello ricco di articoli molto molto interessanti. Mi permetto di segnalarne qualcuno (in grassetto):

Attacking consumer embedded devices
Review: QualysGuard
CCTV: technology in transition - analog or IP?
Interview with Robert "RSnake" Hansen, CEO of SecTheory
The future of encryption
Endpoint threats
Review: Kaspersky Internet Security 7.0
Interview with Amol Sarwate, Manager, Vulnerability Research Lab, Qualys Inc.
Network access control: bridging the network security gap
Change and configuration solutions aid PCI auditors
Data protection and identity management
Information security governance: the nuts and bolts
Securing moving targets
6 CTOs, 10 Burning Questions

Ho uploadato il PDF della rivista sui miei spazi pronta per il download

PS:CTO, questa parola mi fà venire in mente una recente cena, che debba segnalare la rivista ad Andy e Romeo? ;)
Tags:

No! I root DNS server non sono 13

Sfatare questo mito è ora abbastanza semplice ... ho le prove :)



Mi sono sempre chiesto come mai i ROOT server fossero numericamente 13, e come facessero questi "soli" 13 server a soddisfare le richieste della totalità di Internet" (notare la maiuscola).
Un'altra domanda abbastanza ricorrente era rivolta alla loro dislocazione geografica, come mai parte di questi famosi 13 era dislocata in America? Non è anti performante? (considerato che un attraversamento di una dorsale oceanica costa in termini di tempo mediamente 100ms)

Le veloci risposte che mi sono sempre dato alle due domande rispettivamente, "probabilmente c'è una sorta di meccanismo di load balancing che regola il tutto" e "sono un America probabilmente per storicità", hanno sempre lasciato quel senso di amarezza nella mia testa, come di risposta non data.
Oggi mi imbatto in un articolo di Kim Davies sul blog di ICANN
Sfatiamo questo mito
Per prima cosa i root server non sono 13 ma centi…

Nikto 2 has been released

Da Planet Security (disponibile anche per noi italiani) apprendo con felicità la disponibilità della nuova release di nikto. I più forse si domanderanno cosa e a cosa serva questo tool dallo strano nome. E' presto detto.

Nikto è un web server scanner che permette di effettuare una moltitudine di test (di sicurezza ovviamente) su servizi web di varia natura e vendor. Ad oggi include qualcosa come 3500 scansioni verso file e CGI probabilisticamente dannosi, riesce a ricavare la tipologia di servizio e la versione di altre 900 daemon server testando 250 vulnerabilità specifiche per ciascuno di essi.

I papà di nikto inoltre tengono a precisare che "is not designed as an overly stealthy tool."
Quindi attenzione quando lo usate, oltre a poter far schiantare il server su cui lo testate, ed oltre ad essere illegale testare al sicurezza su server per cui non si ha autorizzazione, riuscireste a fare più rumore di un elefante in una cristalleria! (Chi ha detto IDS?)
Unix Requirements
P…

CC-? - Building the Legal Commons

Free resources hero Carl Malamud is responsible for another coup: As announced on the public.resource.org site, he has negotiated a deal to buy a chunk of federal case reports and make them available totally freely -- expressly public domain (using a new CC tool we're releasing in December that makes it clear that there are no rights -- copyright, moral, publicity, etc. -- attached to content).
Building the Legal Commons (Lessig Blog)

Sono veramente curioso di vedere cosa si sono inventati con questo CC-?, ma considerando già come si presenta ...
The agreement calls for definitive paperwork approved by both parties within 30 days with Public.Resource.Org making developer snapshots of the archive available in early 2008. Public.Resource.Org is represented by the Electronic Frontier Foundation in this transaction. The cases will be marked with a new Creative Commons mark—CC-Ø—that signals that there are no copyrights or other related rights attached to the content.
Announcem…

Android - SDK now ready with Eclipse support

Pensate che auto citarsi sia un gesto d'eccessivo ego oltre che un'azione di SEO bella e buona ? :)
Da ex-programmatore pentito vi posso assicurare che, se l’SDK sarà funzionale se ci sarà un IDE che permetterà un facile sviluppo di applicazioni multi device (ognuno ha le sue caratteristiche) e se le applicazioni saranno portabili (tra device e device) allora siamo davanti ad una bella rivoluzione, per di più Open, ma staremo a vedere.
FreeUser - Binary People

Meno di due giorni fa scrivevo queste misere righe con la speranza nel cuore di vedere un pò di cosettine prendere vita nel breve tempo intorno al progetto Android, cose che non si sono lasciate attendere :)

Non vi girerò il filmato della demo di android che quasi tutti vihannoproposto ma vorrei parafrasarmi mostrandovi che i miei sogni si sono fatti realtà.

Volevo un SDK ben congegnato





... parte 2 e parte 3
Volevo l'integrazione con un IDE (magari ECLIPSE)






Poi vediamo ...
"Android does not differentiate between the phon…

MacDaddyX: Cambiare Mac Address su di un Mac

Una delle problematiche che più mi angosciava quando mi sono trovato a fare i soliti network test, riguardava (ora è il caso di utilizzare il passato) la possibilità di cambiare il mac address dell'interfaccia di rete del mio macbook pro.

Trick, Tips, ifconfig e non sapete quanti voli pindarici prima di apprendere da mela|blog dell'esistenza di "Lui" (scusate l'eufemico appellativo ma non vi rendete conto della felicità che sto provando ora)



Tante le funzionalità ma una sola quella che più mi interessa "il tastone change sulla destra" ;)

Scherzi a parte il programmino da alcuni test preliminari sembra dare i suoi frutti, proverò il tutto sul mio environment lavorativo prima possibile ma non penso ci saranno sorprese, per di più godo della "fortuna" di non aver ancora effettuato l'aggiornamento a Leopard disponendo così potenzialmente di tutte le funzioni del tool.


Tags: change mac address, , ,

Nerd Test bis

Prendo fiato dal pomeriggio che sto spendendo nel riguardare le slide della lezione che devo tenere domani (e già questo dovrebbe dirla lunga su quello che sto per scrivere), rispondendo ai solleciti del mio feed reader :)

Un post di Delymyth su di un Nerd Test mi porta indietro nel tempo di secoli (due anni) siamo nel 2005 per la precisione il 9 Gennaio quando posto un Test Ameno (purtroppo mi accorgo solo ora di essermi perso il post nei vari passaggi di piattaforma).

Ma un momento ... mi ricordo di aver commentato il post riportato da Delymyth (voglio vedere quanto sono diventato nerd!!!)

Eccolo ... il mio 97 ... GASP! Che oggi s'è tramutato in un


1% scored higher (more nerdy),
0% scored the same, and
99% scored lower (less nerdy).
What does this mean? Your nerdiness is:
All hail the monstrous nerd. You are by far the SUPREME NERD GOD!!!

Che dire ... mi sento sempre più Nerd che mai sempre con i pantaloni di velluto a costine le bretelle e gli occhiali reincollati ... e "c'ho…

Chi è il bravo manager IT? Ma perché i bravi manager* esistono ancora?

Oggi ho letto questo interessante articolo tratto da punto informatico. La cosa mi ha molto toccato perché, se dapprima mi sentivo uno strano sorriso stampato in faccia a mo di sberleffo per le tematiche trattate, man mano che l'analitica quanto scherzosa trattazione di Giuseppe Cubasia andava avanti lo sberleffo si tramutava in un ghigno d'amarezza.
Ma andiamo per gradi, si parla del management del mondo IT...
Se il Bravo Informatico è colui che riconoscono come un risolutore di problemi, il Bravo Manager IT è colui che riconoscono come uno che non fa casini.
Posizione sostenuta anche da unlibrocheholetto (non molto di recente)
... Gli informatici hanno quella strana, folle idea, che fornire in tempi rapidi una soluzione qualitativamente vantaggiosa sia esattamente quello che l'azienda si aspetta da loro. Il che non è che sia completamente errato, ma solo un altro informatico potrebbe apprezzare questo aspetto del lavoro. In realtà le persone con cui ci rapportiamo (il famoso…

ISECOM Train the Trainer: Switzerland

ISECOM Switzerland will be hosting the next Train the Trainer and the compressed OPST/OPSA classes. These tiny turbo classes are open to everyone and anyone especially those with a short attention span! I will be coming out there to do the teaching in English.

Classes are only 8 hours long and followed by a 3 hour exam each day.
There's no better way to make an OPST or OPSA overview and it's recommended for people with either a degree in the computer sciences or at least 3 years working as a security tester or analyst. You are required to bring a Linux OS laptop for performing tests and following along (Linux Live Boot CD is acceptable, virtualization is not).

Day 1: OPSA
Day 2: OPST
Day 3: TtT (open to Training Partners only)

[via una mail di Pete Herzog]

Per chi fosse interessato il contatto ISECOM al quale chiedere maggiori informazioni ed il link dove registrarsi

Saluti :)

PS: Fausto capito? La virtualizzazione non è ammessa! Adesso capisco tutti gli errori che hai fatto…

Gphone - Open Handset Alliance

Come vorreste il vostro cellulare?



A commitment to openness, a shared vision for the future, and concrete plans to make the vision a reality.Welcome to the Open Handset Alliance™, a group of more than 30 technology and mobile companies who have come together to accelerate innovation in mobile and offer consumers a richer, less expensive, and better mobile experience. Together we have developed Android™, the first complete, open, and free mobile platform.

We are committed to commercially deploy handsets and services using the Android Platform in the second half of 2008. An early look at the Android Software Development Kit (SDK) will be available on November 12th.
Open Handset Alliance


Cosa dicono i papà di Android



Android™ will deliver a complete set of software for mobile devices: an operating system, middleware and key mobile applications. On November 12, we will release an early look at the Android Software Development Kit (SDK) to allow developers to build rich mobile applications.

Open

Occhio per occhio, spam per spam

È così che, impossibilitato a porre termine alla seccatura richiedendo la rimozione del proprio indirizzo dalle liste di distribuzione, Anderson ha nell'ordine bloccato tutti gli indirizzi, filtrandoli con il suo account di posta elettronica, e ha ripubblicato i contatti di 329 scocciatori sul suo blog, a mo' di avvertimento e con un pizzico di spirito vendicativo. I bot degli spammer si sono già industriati per imbrigliare nella loro tela gli indirizzi ripubblicati e per farne bersaglio di valanghe di spazzatura formato mail.
PI: Occhio per occhio, spam per spam

Ecco qua che mi torna in mente un mio vecchissimo post

E con enorme stupore noto che il servizio è ancora disponibile ... su, su vogliamo dare una mano? :)


Tags: , , make love not spam

The Day the Routers Died

There are some things that just baffle the mind. Like someone who had the time and energy to create a song about !Pv4/6 to the tune of The Day the Music Died. This guy must be Canadian, if the way he mispronounces router is any indication. Thanks to Rob for pointing to this video.Network Security Blog: The Day the Routers Died


Penso di non aver mai riso così tanto davanti ad un filmato di Youtube
Canzone semplicemente splendida
Tags: ripe55,

Roberto Preatoni è stato arrestato

Roberto Preatoniè il fondatore di Zone-H così come di WabiSabiLabi. Una persona rispettata nell'ambito del "tema sicurezza" oltre che un professore dell'Università di Urbino. Non è un black hat. E' un professionista che ha fatto della sicurezza informatica un mestiere.

Ieri,è stato arrestato, con un capo c'accuso a dir poco assurdo (ricordate lo scandalo deidossier?) ma torniamo a noi, l'accusa? Cospirazione ed associazione a delinquere!!! - sensa senso.

ComputerWorld scrive lucidamente (domani mi aspetto la spettacolarizzazione dei miedia Italiani):

Preatoni was hired by Telecom Italia to perform pen testing — a completely legitimate, white-hack activity. He was hired as part of a group dubbed the “Tiger Team”.
However, a number of members of this team were charged earlier this year with spying on the CEO of Brasil Telecom and others — and this has been big news in Italy for months now.
Preatoni seems to have been caught up in this mess and has found himself…