freeuser.org

Ci sono molte cose che ruotano attorno al tema della Security (o per chi ama il marketing Cyber Security), una di queste è il Patching Management. Stavo leggendo  questo documento redatto da Kenna Security e Cyentia  “PRIORITIZATION TO PREDICTION”, vi consiglio la sua lettura per un “azzeramento” su alcuni temi in cui sono personalmente carente, di seguito alcune naturali considerazioni, qualche riflessione e una breve checklist di consigli Velocity: (def.) the speed of something in a given direction Ho sempre considerato “efficace” un processo di patching valutando quando questo fosse in grado di coprire, nel minor tempo possibile, le vulnerabilità evidenziate e sollevate da un qualunque tool di continous VA. Questa mia personale e semplicistica percezione si porta dietro un tema essenziale da identificare: la “Velocity” con cui il patching viene effettuato. Quant’è il “minor tempo possibile”? Per chi si occupa di security e abbia la pretesa che chiunque sia intor...

La Trusteer ha pubblicato un articolo sul funzionamento di Tatanga (trojan) che dimostra come questa minaccia sia in grado di aggirare i token chipTan  per frodare i conti online dei malcapitati, ad oggi quasi tutti Tedeschi. Tatanga controlla i dettagli utente, il numero del conto, la valuta corrente e i limiti di trasferimento, scegliendo con cura quale vittima di fatto garantisca il più alto trasferimento di denaro. Dopo di che inizia ad operare. Tecnicamente viene utilizzata un Web Inject per frodare l'utente facendo credere che la banca stia richiedendo un test chipTAN. Acquisite tutte le tuple necessarie si effettua il trasferimento. Niente di trascendentale , da un punto di vista tecnico è MITM con una spolveratina del sempre più comune Man In The Browser , mi tornano però alla mente due parole " Human Firewall ".

Premetto, amo WhatsApp, adoro il fatto che permetta di trasferire messaggi e brevi informazioni ad un costo equo (cioè quasi gratuitamente) rompendo le logiche delle telco che lucrano paurosamente su SMS ed affini (lucravano spero). Va ricordato, per la cronaca, che WhatsApp è un giocattolo capace di muovere 1 miliardo di messaggi al giorno , ma proprio per questa popolarità è giusto che, in quanto utenti, impariamo a porci alcune domande in merito alla sua affidabilità (questo vale anche per molte altre app a dire il vero). La prima, da buon paranoico è: Ma quant'è sicuro? Quanto è preservata la riservatezza dei messaggi che girano su quest'app?  Poco veramente poco . Distinguiamo ora due scenari di utilizzo: 1) Rete cellulare 2) Rete wifi Rete cellulare E' sicuramente l'approccio più comune per coloro che sono in mobilità. Avrete già intuito che WhatsApp non sia sicura come applicazione. Partendo da quest'assunto (che andremo a sviscerare) possiamo...

Per prima cosa, c'è da capire che ci sono molte specializzazione nella computer security. Puoi essere un esperto nell'hardening dei sistemi, o nel creare software non violabili. Puoi essere un esperto nel trovare problemi di sicurezza nei software, o nelle reti. Puoi essere un esperto di virus, o nel redigere policy, o nella crittografia.  Ci sono molte, molte opportunità per molte competenze diverse. Non devi essere uno sviluppatore per essere un esperto di sicurezza.   In generale, possiamo elencare tre azioni fondamentali da compiere per coloro che vogliono muovere i propri passi nella mondo della sicurezza: Studia . Lo studio può assumere molte forme. Può fare esercitazioni, seguire corsi universitari, oppure puoi partecipare a "delle" training conference come SANS o Offensive Security . ( Ci sono anche   degli ottimi starter kit ). Può cimentarti in letture a tema, ci sono   tanti ottimi libri sulla security in giro , o blog , focalizzati su...

Spesso mi viene chiesto di suggerire questo o quel tool per controllare, o per meglio dire, SPIARE, le attività sul computer di un determinato utente. Mettiamo subito le cose in chiaro sulle questioni legali che una tale attività comporta, mi vengono in mente almeno 3/4 violazioni, tra cui privacy e stalking, ma se consideriamo anche l'ambito aziendale possiamo aggiungere anche il telecontrollo. Eh si miei cari datori ricordiamo l'Art. 4 della legge 20 maggio 1970, n. 300 cita testualmente: "È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori." FULLSTOP Fatevi passare la voglia e magari date un'occhiata qui http://bit.ly/fgn7q5 Tuttavia... ...l'occasione mi è propizia per suggerirvene 5 XD These tools can be used for monitoring of users or your own pc for activities. Below mentioned tools supports all versions of Windows from XP to Seven. 1. Ryll Logger ...

ENISA per i molti che non la conoscessero è l'agenzia europea per la sicurezza dell'informazione. Dico molti perché io stesso, pur essendo dentro determinati "ambienti", sono venuto a conoscenza della sua esistenza non meno di due anni fa. Ed è un vero peccato visto che lo scopo che si prefigge, nell'odierna società dell'informazione, è quello di fase security awareness (tra le tante cose) e lo fa anche discretamente bene. Eccone un bel esempio: Augurando buon 2011 a tutti i lettori, segnalo che ENISA ha pubblicato un interessante documento incentrato sull'e-commerce volto a rendere più informati sia i clienti sia i venditori, con attenzione ai principali schemi di frode e di protezione. Al lavoro ha contribuito, come già per il documento "ATM Crime", il socio @ Mediaservice.net. http://www.enisa.europa.eu/act/ar/deliverables/2010/how-to-shop-safely-online

Spie, a memoria credo che sia la prima volta che ascolto una notizia del genere, ma forse sono troppo "piccolo" per ricordare di notizie di guerra fredda nei TG nostrani, ho seguito un pò di straforo la questione dei 10 arresti e delle vicende annesse spizzicando  qua e la e non ho potuto veramente fare a meno di trarne qualche spunto (dopo tutto si tratta di errori eccellenti): Crittografa la tua wifi Le spie a quanto traspare dai fatti, usavano connessioni wifi per comunicare. Molto intelligentemente, invece di utilizzare il medesimo access point effettuavano delle connessioni adHoc ( WIN ). Il grande pregio di una soluzione come questa è che esclude di fatto la possibilità di essere spiati tramite una infrastruttura di comunicazione che non si possa controllare (internet point, gestore, wisp) costringendo l'FBI a fare degli appostamenti nei pressi di caffè/bar/abitazioni e/o altri luoghi di incontro con i rappresentanti dell'ambasciata. Tuttavia nel ten...

Questa settimana si aggiorna il materiale riguardante le varie checklist che uso per lavoro, le posto anche qui visto mai che per qualcuno possano essere utili (tanto sono tutto documenti unclassified ndr ) . Si parte con  Defense Information Systems Agency : WINDOWS SERVER 2008 SECURITY CHECKLIST - Version 6, Release 1.8 + Appendici BlackBerry Enterprise Server (BES) 5.0.1 - STIG (tool) Inoltre mi sono accorto solo oggi della presenza delle PCI DSS in ita (me tapino) PCI DSS Version 1.2 Non resta che augurarvi buona lettura ;)

Nel processo di "socializzazione" dell'informazione che sto tentando di portare avanti, una tappa obbligata è quella interagire con uno strumento di informazione diretta, leggete pure Twitter . Ovviamente il focus è quello dell'ICT nello specifico si parla di security, un mondo che negli ultimi anni non ha brillato per trasparenza nella "catena dell'informazione" sostituendo i valori dell' etica (hacker) e della full disclosure con una visione quasi esclusivamente weberiana , "ma questa è un'altra storia e si dovrà raccontare un'altra volta" ( cit. ) Tornando a noi, nell'ottica di decentralizzare e dell'ampia diffusione Twitter è lo strumento che fa al caso nostro, una sorta di fiume di dati (se non filtrati ovviamente) che spesso può tornare molto utile  per avere informazioni "main stream" di prima mano, giusto 2 query d'esempio http://search.twitter.com/search?q=hacked http://search.twitter.com/search?q=0d...

Forse è il segreto di pulcinella, ma qualora fosse passato inosservato vi comunico che l'algoritmo di cypher alla base dell'encoding delle comunicazioni GSM è andato a farsi f...friggere! Don't Panic? Parliamone! Ogni anno alla CCC - Chaos Communication Congress ne succedono delle belle. La 26th edizione ( 26C3 ) non è stata da meno regalandoci la chicca di un fantastico "practical attack" ai danni dell'algoritmo A5/1 , ora vi domanderete: "Ma quale potenza di calcolo è stata utilizzata per portare a compimento quest'attacco?" E' presto detto, 40 computer che hanno lavorato consecutivamente per mesi . "Ah! Ma allora non c'è da temere niente" Sbagliato, perché il risultato di quell'elaborazione è una tantum ed oggi ci ritroviamo con 2Tb di dati scaricabili che "possono decodificare" tutto lo scope delle possibili chiavi generate dall'algoritmo ... ora dovreste avere una faccettina tipo "Sobh!  O_O...

OWASP (Open Web Application Security Project) ha pubblicato un significativo aggiornamento alla lista dei TOP 10 "Most Critical Web Application Security Risks" Questa versione spicca per la chiarezza con cui sono stati esposti i vari punti e per come i vari "classificati" siano stati analizzati pesando tutti i fattori che entrano in gioco nell'analisi del rischio di una vulnerabilità. Lo scopo principale come sempre è quello di sensibilizzare/educare sviluppatori, designer, architects e, non da ultime, le organizzazioni circa le conseguenze che molte delle più comuni classi di vulnerabilità hanno sull'infrastruttura IT, non solo, sono inoltre illustrati i modi più generici per mettersi al sicuro da questi vettori d'attacco. Il documento (in formato PDF ) è una Release Candidate for comment (una sorta di RFC) se qualcuno ha qualcosa da aggiungere, non ha che da dirlo E mi raccomando... : It’s About Risks, not Weaknesses!

Direi proprio di si ! (Mi autorispondo) Ogni tanto mi ricordo di avere un blog che per di più ha la pretesa di parlare di security e visto l'hype che c'è intorno al fenomeno di massa dei social network, riporto pari pari una news che ho già avuto modo di inoltrare sul mio profilo. Il tema non è nuovo, tempo fa parlavo di come funziona Facebook e di come "gestisce" le informazioni che noi stessi gli diamo e finalmente (ironicamente ndr.) è successo quello che da tanto aspettavo. Le varie applicazioni che con tanto amore curiamo in realtà se mal gestite possono creare seri problemi alla nostra privacy/immagine digitale. Prendete ad esempio  RockYou . Vengono offerti molti gadget/widget/*get/apps che dir si voglia che permettono di "abbellire" i profili di FB e MySpace oltre a questo le sotto citate apps (nello specifico per FB)  tenevano copia delle NOSTRE credenziali (o forse meglio dire vostre), che simpaticoni! E come nei migliori film arriva il "catt...

Quando sento parlare la tv italiana di H4ck3rS (si ci mettono anche la S) mi scompiscio letteralmente dalle risate. Quando poi nello stesso servizio sento che la parola hå¢kêr§ siene associata al phishing capisco che i giornalisti proprio non capiscono un bell'accidente di niente, conseguentemente o cambio canale o straccio l'articolo... Mi ero ripromesso dunque di non scrivere alcunché in merito alla questione tanto chiacchierata in questi giorni ma questa mattina sfogliando la newsletter di hardware upgrade trovo la summa (formale e non sboccata) a tutti i miei pensieri Attenzione : abbiamo scritto carpire all'utente , quindi la colpa non è di Google o di Microsoft ma di quei " 30mila polli " che hanno inserito username e password nella pagina sbagliata! via www.hwupgrade.it . 30000 polli + 9600 polli + molti altri polli = moltissimi polli!!!!

E' tutta una questione di proporzioni. Mi ricordo che "in gioventù" i takeover ai canali IRC erano all'ordine del giorno. Quando volevi "far tacere" qualcuno un ping -ls 65000 a.b.x.y da una linea "bella capiente" bastava per tirare giù il 90% degli utenti, il 56K era lo standard. Passa il tempo, cambiano le tecnologie così come la diffusione degli strumenti informatici e succede, come è accaduto in questi giorni, di assistere ad un vero e proprio takeover ad personam , volto ad oscurare l' identità digitale del georgiano Cyxymu . Non voglio entrare nei dettagli politici della questione , voglio solo mettere in evidenza come sia possibile mettere a tacere, con la volontà esplicita di farlo, i più diffusi ed utilizzati sistemi di comunicazione sociale che vanno di moda ora in rete: The attack included at least these components: DDoS attack against Cyxymu's Twitter account (http://twitter.com/cyxymu) DDoS attack against Cyxymu's Yo...

Giusto il tempo di finire di tradurre un articolo che parla di SLIC table . Giusto il tempo di porsi la domanda: "Ma funzionerà anche su Windows 7"? Giusto il tempo di acquisire la RTM... e cosa ti succede? Ma non ti crackano il nuovo sistema di casa Microsoft in quattro e quattr'otto? Che birbanti :) non solo ... Venendo in possesso di una ISO della versione Ultimate destinata alla Lenovo, hanno estratto una OEM Product Key che si è rilevata "Master" (cioè valida per tutti gli OEM...hp, dell, lenovo, sony...)! WOW 7 - Windows 7 Activator Una nuova versione di WOW non si è lasciata attendere troppo... non vedo l'ora di tornare a casa :) e ancora. Il tool opera in modo del tutto automatizzato, scaricandosi il BIOS dal produttore della scheda madre e integrandovi SLIC 2.1 insieme ai relativi certificati. E' stata anche curata la end user experience ... Un pò di riferimenti: Punto Informatico NeoWin My Digital Life (con ...

La vulnerabilità ora è " on the wild " ( Apritela a vostro rischio e pericolo ) A Security Advisory has been posted in regards to the Adobe Reader, Acrobat and Flash Player issue discussed in the Adobe PSIRT blog on July 21 (" Potential Adobe Reader, Acrobat, and Flash Player issue ", CVE-2009-1862). A critical vulnerability exists in the current versions of Flash Player (v9.0.159.0 and v10.0.22.87) for Windows, Macintosh and Linux operating systems, and the authplay.dll component that ships with Adobe Reader and Acrobat v9.x for Windows, Macintosh and UNIX operating systems. This vulnerability (CVE-2009-1862) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being actively exploited in the wild via limited, targeted attacks against Adobe Reader v9 on Windows. [Via Adobe Product Security Incident Response Team (PSIRT) ] Software Vulnerabili Adobe Reader, Acrobat versioni 9....

WordPress 2.8.2 fixes an XSS vulnerability. Comment author URLs were not fully sanitized when displayed in the admin. This could be exploited to redirect you away from the admin to another site via WordPress › Blog » WordPress 2.8.2 . Alla disperata ricerca della PoC ! Oppure ... svn diff ed il gioco è fatto ;) Certo che ne avevano fatti di casini nella "sezione" comment è?! Specialmente in tags/2.8.2/wp-includes/comment-template.php EDIT: Spero abbiate aggiorato perché ora pubblico l'exploit

Prendi un grande dizionario pieno zeppo di password (47024989 basteranno?). Prendi una FPGA e comincia a smanazzare con coWPAtty per crack... come come? Non hai una FPGA? Non sai cos'è coWPAtty e ignori l'esistenza anche di openchiphers ? Andiamo per gradi allora ... E' notorio che fare il bruteforce di una password cifrata in un qualsiasi algoritmo in mancanza di weakness specifiche (es. WEP e/o AES ) può risultare un'attività tediosa e priva di soddisfazioni immediate. Spesso il gap temporale impiegato per il ritrovamento della chiave di decifrazione rende l'attività di reverse priva di un vero significato se non quello del test puro e semplice, vista la "volatilità" del significato dei dati in analisi. Quindi come intervenire qualora si voglia accelerare il processo? Due le vie percorribili O si aumenta in maniera spropositata la capacità di calcolo messa a disposizione per l'analisi Oppure ci si affida a dei prehash già calcolati Disponend...

Questa mattina il sistema di aggiornamento automatico di Wordpress mi ha proposto di aggiornare all'ultima release 2.8.1 come al solito mi accingo a leggere il ChangeLog e le solite note accompagnatorie . WordPress 2.8.1 fixes many bugs and tightens security for plugin administration pages. Core Security Technologies notified us that admin pages added by certain plugins could be viewed by unprivileged users, resulting in information being leaked. Not all plugins are vulnerable to this problem, but we advise upgrading to 2.8.1 to be safe... via WordPress › Blog » WordPress 2.8.1 . Oggi più che mai l'occhio viene cade sulla questione security molto ricca di vulnerabilità (ora patchate): 2009-06-04: Core Security Technologies notifies the WordPress team of the vulnerabilities (security@wordpress.org) and offers a technical description encrypted or in plain-text. Advisory is planned for publication on June 22th. 2009-06-08: Core notifies again the WordPress team of the vul...