Gmail e SSL

gennaio 14th, 2010 glycerin

Google ha deciso di modificare le proprie policy di accesso alla mail da loro gestita decidendo di accogliere le raccomandazioni di alcuni prestigiose personalità e ricercatori in materia di security quali ad esempio Bruce Schneier.
In pratica non solo verrà gestita in SSL la semplice login di accesso alla webmail ma anche tutta la sessione di gestione. I consigli che sono pervenuti nella sede di Google riguardano la possibilità di entrare in possesso dei contenuti delle mail che senza un certificato SSL viaggerebbero nella rete in chiaro, cosa facilitata se si utilizza una connessione Wi-Fi. In questo modo la connessione verrà cifrata per tutta la durata della sessione.

Se un utente volesse decidere di non usare i certificati potrebbe disattivare quest’opzione direttamente tramite i settings del proprio account:

Una volta salvata la modifica è possibile forzare la URL a non usare la https ma semplicemente l’http.

Technorati Tags: gmail, Bruce Schneier, SSL

Posted in News, Security | 2 Comments »

BackTrack 4 Final Release

gennaio 12th, 2010 glycerin

Disponibile la versione 4 di Backtrack al link http://www.backtrack-linux.org/downloads/.
Quest’ultima presenta un nuovo kernel un pià ampio reposiroty di tool insieme a dei tool custom da scoprire. Insieme ovviamente a dei fixes necessari per quelli già operativi. Questa versione ha ricevuto un più largo supporto dalla community …. fatto non da trascurare direi …

Posted in Linux, News, Security | No Comments »

Il support per MySQL 5.0 terminerà entro la fine dell’anno

dicembre 11th, 2009 glycerin

Stando alla notizia pubblicata su “The H Open Source” la versione 5.0 del noto DB server non sarà più sotto sviluppo e non sarà fornito alcun aggiornamento dei binari a partire dal 31 Dicembre 2009. A partire dal 1 Gennaio 2010 la 5.0 sarà posta nello stato “Extended Support“, ovvero soltanto gravi bug e vulnerabilità che ne possano compromettere la sicurezza verranno sistemati per quei clienti che hanno un rapporto contrattuale di maintenance, fino alla fine del 2011.
Sun consiglia di passare alla versione 5.1 senza con ciò dimenticare che il supporto verso questa release terminerà nella metà di Dicembre del prossimo anno.

Posted in Debian, Linux, mysql, News, Security | 2 Comments »

Cracking della password di admin di WordPress attraverso attacchi del tipo bruteforce

novembre 30th, 2009 glycerin

Stando a quanto riportato da The Register, fonte l’istituto Sans.org sono stati ritrovati alcuni script in PHP su di una VPS (Virtual Private Server) con lo scopo di tentare un attacco del tipo Bruteforce verso le utenze di administrator di siti realizzati con WordPress. L’attacco è di tipo distribuito verso più siti e il risultato del cracking viene memorizzato su di un DB MySQL permettendo all’attaccante di lanciare varie istanze dello script, e ovviamente avere le info in modo immediato su come entrare in un particolare sito con l’utenza di admin.
Come workaround per ovviare a questo problema direi che oltre che cambiare più frequentemente la password di admin, vi siano anche da adottare politiche di limitazione sui tentativi di inserimento password ad esempio utilizzando Fail2Ban o via ipt_recent di IPTABLES e, se possibile, utilizzare delle politiche di filtraggio su IP per la pagina di accesso alla login di administrator.

Posted in Linux, News, Security | 3 Comments »

Confermate da Microsoft vulnerabilità critiche in Internet Explorer

novembre 25th, 2009 glycerin

Microsoft ha confermato l’esistenza di alcune vulnerabilità critiche che sono state già annunciate in alcune report del weekend. Dal report si evidenzia che Internet Explorer 6 SP1 sotto Windows 2000 SP4 e Internet Explorer 6 e 7 sotto Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 sono vulnerabili. Il bug non è presente in Internet Explorer 5.01 SP4 o Internet Explorer 8. Il problema è causato da un invalido pointer reference nel Microsoft HTML Viewer (mshtml.dll) quando viene processato uno specifico oggetto CSS/STYLE utilizzando il metodo Javascript getElementsByTagName(). Se questo puntatore punta ad un oggetto già cancellato questo può essere utilizzato per far crashare il browser oppure permettere la injection di codice.
Microsoft sta lavorando al fixing di questo bug e nel frattempo consiglia di impostare il livello di sicurezza per le zone Internet e Local Intranet a “alto”, o in alternativa disabilitare l’Active Scripting.
Anche Microsoft Outlook, Microsoft Outlook Express e Windows Mail sono affetti dalla stessa vulnerabilità, ma l’Active Scripting viene prevenuto dal fatto che le impostazioni di sefault permettono l’apertura le mail in formato HTML con i privilegi di siti ristretti.

Posted in News, Security | No Comments »

Documenti PDF generati tramite le famose “pdf-printer” consentono di rivelare informazioni personali

novembre 25th, 2009 glycerin

La generazione di un PDF tramite l’utilizzo di una stampante virtuale consente di rivelare informazioni circa la directory in cui viene memorizzato il documento, lo username dell’utente che ha creato quel documento e altri particolari, che anche se non estremamente importanti, sono sempre delle utili informazioni sull’utente che ha generato quel documento.
Il problema si pone ogni volta che si stampa una pagina in formato HTML tramite una stampante virtuale utilizzando Internet Explorer. Il path che si evidenzia è del tipo: file://C:\\Users\dab\Downloads\document.pdf che viene memorizzato nel documento stesso.
In alcune vecchie versioni di Word si è evidenziato lo stesso problema, corretto nelle recenti versioni.
L’esperto in sicurezza con nickname “inferno” ha testato con Google che una semplice ricerca produce milioni di documenti che contengono il path di archiviazione del tipo specificato prima. Facendo numerosi test si è evidenziato che Firefox è immune da questo problema per il semplice fatto che archivia sul documento il suo nome e non tutto il path.
All’articolo pubblicato su H Security ulteriori particolari circa la ricerca testat su Google da inferno.

Posted in News, Security | No Comments »

La NSA collabora con Apple, Sun e Red Hat

novembre 20th, 2009 glycerin

Che la NSA avesse aiutato Microsoft nel rafforzare i propri sistemi operativi è una notizia nota, ma che lo faccia per aziende del calibro di Apple, Sun e Red Hat questa cì che è una notizia. Con questa inziativa la NSA risponde alle continue richieste di rafforzare la security di importanti e critiche infrastrutture e sistemi economici, oramai gestiti dai player sopra nominati. Ma la cosa che desta un pò timore è se dietro il giusto tentativo di salvaguardare sistemi che oramai gestiscono la vita di una nazione non si possa nascondere dietro un altro scopo, ovvero il poter controllare questi sistemi. Da parte loro a questi dubbi rispondono col fatto che il loro lavoro è stato esclusivamente di indirizzare verso delle “guidelines” senza entrare direttamente nel vivo dei processi di sviluppo.
La stessa esperienza acquisita dalla NSA è stata utilizzata durante il processo di sviluppo di Windows 7 nell’implementazione della SCAP (Security Content Automation Protocol).

Ulteriori info al link in allegato.

Fonte notizia: http://www.h-online.com/security/news/item/NSA-helps-Apple-Sun-and-Red-Hat-harden-their-systems-863889.html

Posted in News, Security | No Comments »

iPhone security application rilasciata da Cisco

novembre 20th, 2009 glycerin

Cisco ha rilasciato un applicazione free per iPhone che consente agli utenti di ricevere delle alert custom sui real-time security threats e altre informazioni. L’applicazione chiamata Cisco SIO To Go processa le informazioni provenienti dal Cisco Security Intelligence Operations (SIO). L’applicazione è stata progettata per gli esperti del settore security e non per l’utente medio.

Ulteriori info sul link in allegato.

Fonte notizia: http://www.h-online.com/security/news/item/Cisco-releases-free-iPhone-security-app-865268.html

Posted in News, Security | No Comments »

Rilasciato PHP 5.3.1

novembre 20th, 2009 glycerin

Dopo circa 5 mesi dal rilascio della versione 5.3.0 gli sviluppatori PHP hanno rilasciato un primo aggiornamento con circa 100 bug fix, alcuni dei quali inerenti la security. L’ultima in ordine è la direttiva “max_file_uploads” che può essere utilizzata per limitare il numero di upload richiesti a 20, di default. La limitazione del numero di file in upload per ogni richiesta può essere d’aiuto nel prevenire possibili tentativi di DOS.

Nel link di seguito ulteriori info sul change log.

Fonte notizia: http://www.h-online.com/security/news/item/PHP-5-3-1-released-864957.html

Posted in Linux, News, Security | No Comments »

Rilasciata Metasploit 3.3

novembre 19th, 2009 glycerin

Gli sviluppatori del Metasploit Framework hanno annunciato il rilascio della versione 3.3, dopo circa un anno dalla 3.2. Quest’ultima relase include numerosi di aggiornamenti, migliorie e nuove features. In aggiunta a più di 180 bug fix l’attuale versione include 445 exploit module, 216 moduli ausiliari, supporto a Ruby 1.9.1 e supporto per nuovi sistemi operativi inclusi Windows Vista e Windows 7.

Fonte notizia: http://www.h-online.com/security/news/item/Metasploit-3-3-released-862458.html

Posted in News, Security | No Comments »