Archivio tag: sicurezza

Sfondare una porta aperta è troppo facile, su Windows.

Pubblicato il da
Risposta

serratura di sicurezza

La parte divertente di questa falla, che spero abbiano tappato nel frattempo, è quando si parla di “inviare pacchetti appositamente confezionati a una porta chiusa del sistema-bersaglio”. Una porta chiusa!
Ci sono i fondamentali sulla sicurezza del networking che vacillano di fronte a questa affermazione, solo alla Microsoft riescono riescono ad essere così “rivoluzionari”.

Il bollettino di sicurezza MD11-083 di Microsoft definisce “critica“ la falla nel TCP/IP di Windows Vista, Windows Server 2008 e Windows 7 che “potrebbe consentire lesecuzione di codice da remoto se un aggressore invia un flusso continuo di pacchetti UDP appositamente confezionati a una porta chiusa del sistema-bersaglio… un aggressore potrebbe eseguire codice arbitrario in kernel mode” e “potrebbe poi installare programmi; visualizzare, modificare o cancellare dati; oppure creare nuovi account con pieni permessi dutente”. Ironicamente, Windows XP è immune al problema. Idem dicasi per Windows Server 2003.

Fonte: Il Disinformatico.

Password, non cazzword…

Pubblicato il da
7

cliente: salve mi dovrebbe cambiare la password della posta elettronica che non ci riesco…

io: guardi è facile, dal pannello di controllo ci vogliono due minuti.

cliente: no no per cortesia me lo faccia lei che io con queste cose mi perdo per strada… anzi metta la data di  nascita di mia moglie il 23 aprile 19…

io: no guardi, questa non è una password, è una cazzword, gliela trovano in 20 secondi e poi non mi venga a dire che il nostro servizio non è sicuro.

cliente: ah, non lo sapevo, allora mettiamo falko, il nome del mio cane, tutto minuscolo con la kappa mi raccomando.

io: no guardi non ci siamo, gliela preparo io una password come si deve. Ha da scrivere?

cliente: sono pronto…

io: Ha(!9.ziK(12, ha preso nota?

cliente: mamma mia che password, non me la ricorderò mai…

io: può sempre cambiarla, ma questa è la differenza tra una password cazzuta e una password del c…

Una cazzword appunto.

L’importanza della password

Pubblicato il da
Risposta

Posta Elettronica e Sicurezza

A causa di una password banale e troppo facile, in un account creato per dei test e infine dimenticato, un server mail ha sfornato oltre 900.000 (novecentomila!) mail di SPAM in un fine settimana. Non tutte inviate per fortuna, i sistemi di sicurezza ed un intervento mirato hanno bloccato ed eliminato le code.

Ne sono uscite comunque abbastanza, ed ora il server mail si ritrova in tutte le RBL (blacklist) conosciute e non, comprese quelle usate dal Vaticano e dai provider dello Zimbabwe.

Non mi mancherà il lavoro a ferragosto…

L’amministrazione di WordPress in sicurezza con SSL

Pubblicato il da
Risposta

Sicurezza di WordPress

Sarebbe buona regola proteggere tutte quelle parti di un blog/sito in cui è richiesta una registrazione. Una di queste protezioni è l’utilizzo di SSL. Poi c’è chi, come il sottoscritto, predica bene e razzola male. Ma sto rimediando… ;-)

Se un servizio di SSL è attivo sul server web, esempio OpenSSL che è il più diffuso con Apache, è possibile effettuare una piccola modifica a WordPress affinché la pagina di login o tutte le pagine dell’amministrazione del blog siano costrette ad usare il servizio SSL disponibile.

Tutto questo, si intende, dopo aver  installato un certificato SSL valido, acquistato o autoprodotto che sia. Se non lo avete, una facile ricerca su San Google sarà di grande aiuto.

Occorre modificare il file di configurazione di WordPress (wp-config.php) aggiungendo una di queste due istruzioni:

define('FORCE_SSL_LOGIN', true);

define('FORCE_SSL_ADMIN', true);

La prima forza l’uso di SSL solo per la pagina di login. La seconda per tutta la parte amministrativa del blog.

La seconda è da preferire, a mio avviso.

Se il blog si appoggia ad un pannello di controllo come Plesk, e nella configurazione del dominio se le pagine SSL e non fanno riferimento allo stesso percorso, probabilmente non ci sarà bisogno di fare niente altro (il condizionale è d’obbligo perché il pannello di controllo e le funzioni rese disponibili agli utenti potrebbero essere personalizzate).

Se invece ci si appoggia ad un Apache nudo e crudo, dando per scontato che OpenSSL sia installato come di solito è occorrerà predisporre opportunamente delle regole di rewrite nel file di configurazione del virtualhost o nel file .htaccess, affinché le pagine di amministrazione (/wp-login.php e tutto il percorso /wp-admin/*) vengano rimandate dal normale http:// a https://.

Un po’ come succede se provate ad accedere alla pagina di login di questo blog: http://robrota.com/wp-login.php

Altre informazioni, compresi alcuni esempi di regole di rewrite, li trovate in questa pagina dei codex di WordPress.

L’insostenibile sicurezza dei dati in rete

Pubblicato il da
Risposta

Dati personali in rete

Quanto si preoccupano gli utenti dei loro dati in rete e delle modalità con cui vengono conservati?
Poco, sembrerebbe. La recente violazione del PlayStation Network e relativo furto di dati ha evidenziato ancora una volta quanto, oltre alla sicurezza dei sistemi, sia da prendere in seria considerazione anche la sempre maggior crescente facilità con cui gli utilizzatori della rete affidano i propri dati personali, e le proprie carte di credito, in mano a strutture che, per quanto possano avere dei nomi altisonanti a garanzia, non possono certo offrire la sicurezza assoluta sulla non violabilità dei loro sistemi. Sony è solo il caso più recente, ma ha avuto illustri precedenti e non sarà certo l’ultimo.

La differenza di usi e costumi rispetto non molti anni addietro è sconcertante, dalla assoluta diffidenza riguardo i pagamenti su Internet, tanto da scoraggiare le attività commerciali in rete, agli estremi opposti di eccessiva facilità e fiducia, spesso senza alcun controllo sull’affidabilità e la proprietà dei sistemi.

Sconcertante l’età media, sempre più bassa, di chi dispone di una carta di credito per acquisti e, soprattutto, giochi on line, e la mancanza pressoché totale dell’esercizio di un controllo parentale nel caso di minori.

Ancora più sconcertante la scarsa attenzione, alle volte completa indifferenza, dei media di informazione tecnologica riguardo temi etici e sociali sull’utilizzo (e sugli utilizzatori) della tecnologia in rete quando si tratta di dati personali e dei soldi degli utenti. Quello che conta è che i servizi siano ripristinati e attivi nel minor tempo possibile, il resto non sembra affar loro. Businness docet.

“durante una conferenza stampa, il capo di PlayStation Kaz Hirai ha dichiarato che gli account di dieci milioni di utenti potrebbero essere compromessi, carte di credito incluse.
Si è saputo da subito che le carte di credito erano a rischio, ma questa è la prima volta che Sony dà numeri precisi riguardo agli account vulnerabili.”

Leggi tutto su Gizmodo IT.

“Ora la parola passa alla giustizia nel caso di furto dei dati ai danni del Playstation Network e di Qriocity, due servizi di Sony. I dati di 77 milioni di utenti carte di credito comprese sono stati compromessi. Gli utenti italiani interessanti in questo grave caso di “Data breach” potrebbero essere circa 1,5 milioni, di cui circa il 70% rientra nella categoria dei frequentatori abituali. I dati violati sarebbero: nome, indirizzo email, data di nascita, password, login e online ID del network, e perfino i dati della carta di credito utilizzata per gli acquisti online. Alcuni servizi di PlayStation Network e Qriocity torneranno a funzionare entro una settimana secondo il PlayStation Blog. I dati delle carte di credito sul database delle carte di credito erano cifrati, ma il caso del trafugamento finisce sotto inchiesta in tutto il mondo.”

Leggi tutto su: ITespresso.it.