1
Selezione all’ingresso
Posted by Gas on Sep 4, 2010 in L'angolo del geek, Sicurezza
via FF
Subscribe to my feed
Chi ha bucato il WPA ?
Sembra proprio che, dopo anni di predominio incontrastato nelle reti wireless di tutto il mondo, il WPA (WI-FI Protected Access) basato sul TKIP (Temporal Key Integrity Protocol) sia stato definitivamente bucato. Si legge infatti in rete che alcuni ricercatori Giapponesi siano riusciti a sfruttare una vulnerabilita’ proprio del TKIP e a trovare le chiavi per decrittare iil flusso dei dati nel giro di appena un minuto.
A questo proposito verra’ tenuta una conferenza a Hiroshima il prossimo 25 Settembre nella quale illustreranno le loro scoperte.
Aspettando di capire se questa vulnerabilita’ e’ davvero cosi’ pericolosa come sembra, il mio consiglio e’ di passare al protocollo WPA2 che, per ora, sembra essere ancora sicuro.
Fonti : TecnoSupport & Geekissimo
Stay tuned !
Sicurezza informatica: questa sconosciuta
Per la serie.. non c’e’ mai limite al peggio.
Una settimana fa StrongWebMail, una nuova societa’ che fornisce servizi di posta elettronica, per dimostrare la inviolabilita’ dei propri server e dei propri servizi ha deciso di “sfidare” gli Hacker mettendo in palio 10.000 $ per chi fosse riuscito a penetrare nella casella elettronica del loro CEO.
Fonte di tanta sicurezza e’ stato il nuovo metodo di autenticazione che, oltre agli usuali Username e Password richiede anche un “terzo elemento” (un codice di cinque cifre) che viene generato casualmente al momento dell’accesso e mandato via SMS al titolare della email.
Questa sicurezza ha anche spinto StrongWebMail a fornire ai partecipanti lo Username e la Password di questo account, per mostrare la potenza di questo nuovo metodo di autenticazione
Inutile dire che nel giro di poco l’email e’ stata violata senza ricorrere a forza bruta e senza rubare allo stesso CEO il cellulare [superemotions file=”icon_rolleyes.gif” title=”Rolling Eyes”]..
L’email e’ infatti stata violata sfruttando l’anello piu’ debole della catena: l’utonto.
E’ stata infatti mandata al CEO stesso una mail contenente un link che indirizzava ad un sito preparato per un attacco Cross-Site scripting (XSS) che ovviamente e’ stato cliccato ed aperto. Questo ha come per magia aperto le porte al gruppo di Hacker che si sono cosi’ portati a casa il bottino.
Morale della favola.. e’ inutile un sistema a prova di bomba se dai le chiavi di accesso a degli incompetenti.
(fonte AD)
Stay tuned !
Il mercato dei BUG
Alcuni giorni fa leggevo (qui) che si e’ svolta una competizione (il Pwn2Ow9) che ha messo alla prova diversi browser e diversi smartphone.
Per quanto riguarda i browser sono stati sufficienti pochi secondi e, con il click su un link malevolo, Firefox, Explorer e Safari sono stati violati.
E fin qui (purtroppo) niente di nuovo.
La novita’ di questa edizione e’ invece stata la affermazione di Charlie Miller (il piu’ veloce a violare Safari per MacOS) il quale ha affermato che, d’ora in poi, non svelera’ piu’ in maniera gratuita le eventuali falle che trovera’ nei browser, ma che al contrario le terra’ per se per utilizzarle nelle competizioni e quindi guadagnare con i premi messi in palio.
Da una parte questa affermazione e’ sicuramente condivisibile, in quato la scoperta di un bug e’ una attivita’ che porta via molto tempo e quindi ritengo debba essere in qualche modo ripagata.
Dall’altra la stessa affermazione implica problemi di tipo “etico”: chi assicura che questi bug non verranno ceduti a malintenzionati che li sfrutteranno a loro vantaggio ? E, anche nel caso di assoluta correttezza dell’Hacker.. Se questo bug venisse coperto dai malintenzionati di cui sopra.. potrebbe essere in qualche modo responabilita’ di chi non ha rivelato in tempo i bug che ha scoperto ?
Cosa ne pensate ?
P.S.
L’unico browser che al Pwn2Ow9 ha resistito senza cedere a nessun attacco e’ stato Chrome, il browser di Google.
Inutile dire che non appena cominceranno ad uscire un po di estensioni utili (eliminazione di pubblicita’ e banner in primo luogo) Chrome diventera’ il mo nuovo browser di default !
Stay Tuned !
Zone Alarm Pro .. gratis !
Posted by Gas on Nov 18, 2008 in Sicurezza
Vi ho gia’ segnalato in alcuni vecchi post (ad esempio qui e qui) Zone Alarm, un firewall (gratuito per uso non commerciale) molto potente che personalmente installo su tutti i miei pc che devono essere connessi a internet.
Per un giorno (oggi) e’ possibile scaricare la sua versione pro (che normalmente costa circa 20€ all’anno ) in maniera del tutto gratuita.
La versione pro di Zone Alarm, oltre alla funzione di firewall, offre anche protezione dagli spyware, un sistema di protezione dal furto di identita ed altre funzionalita’ avanzate (potete guardare qui per un confronto tra le varie versioni)
La promozione e’ diponibile a questo indirizzo ed e’ valida fino alle 06 AM UTC-8 (se non erro circa le 15 italiane) del 19 Novembre .
Buon download e Stay tuned !
La tua password e’ sicura ?
Posted by Gas on Nov 16, 2008 in Sicurezza
Mi e’ capitato di chiedermi se le password che utilizzo possono essere considerate sicure ( nel caso a qualcuno interessasse scoprirle ).
Ci sono regole di massima da seguire per scegliere password sicure:
Banditi il proprio nome, il nome dei familiari, date e altre informazioni che un malintenzionato potrebbe scoprire e tentare di utilizzare. Sarebbero poi da evitare parole contenute nei dizionari (in particolare da evitare singole parole in inglese) e combinazioni di caratteri troppo corte (almeno 6 caratteri).
Altri consigli validi sono utilizzare sia caratteri maiuscoli che minuscoli, cifre, caratteri speciali (!”$%&).
Alcuni consigliano di scegliere la password in modi piu’ complessi ancora ma, almeno per i miei gusti, e’ inutile ed eccessivo.
Un buon metodo per inventare a propria password e’ quella di prendere una parola (possibilmente che sia semplice da ricordare) ad esempio ciliegia e a questa sostituire alcuni caratteri con simboli o numeri: un esempio potrebbe essere cil!3gi4 che potrebbe diventare (Il!3Gi4 , sicuramente piu’ difficile da scoprire rispetto all’originale!
Ma il metodo secondo me piu’ sicuro ed affidabile e’ quello di utilizzare password lunghe: qui troverete un servizio (Brute Force Calculator, trovato grazie a Geekissimo) che vi permettera’ di stimare per quanto tempo una password con caratteritiche simili alla vostra puo’ resistere ad un attacco Brute Force, ossia in quanto tempo un server dedicato allo scopo potra’ scoprire la parola scelta da voi tentando tutte le possibili combinazioni.
Grazie a questo servizio (di cui non conosco la precisione nel fare le stime) ho scoperto che a grandi linee le password che utilizzo (>10 caratteri) sono piuttosto sicure, e possono essere forzate in anni (e non in giorni o ore)… direi che per me puo’ bastare [superemotions file=”icon_biggrin.gif” title=”{#superemotions_dlg.biggrin}”]
Stay tuned