security

Chi fa da sè fa per tre!

Fri, 03 Oct 2008 11:56:37 +0200

Capita spesso di leggere come qualche ingegnoso smanettone, scovando delle vulnerabilità presenti nei software, le abbia sfruttate per garantirsi la possibilità di portare a compimento un’incursione o quanto meno riuscire ad inquinare un sistema informatico. Qualcuno però ha affermato di riuscire a guadagnarsi l’accesso ad una applicazione Web senza avere la necessità di analizzare il codice del software.E’ il caso di Chris Nickerson, amministratore di un’impresa americana impegnata nel settore security consulting, il quale ha affermato che la correzione di falle individuate in un applicativo non dà la certezza di possedere un prodotto blindato.Nella conferenza tenuta alcuni giorni fa a New York, il signor Nickerson ha mostrato ai partecipanti all’OWASP - Open Web Application Security Project – quale è il panorama dei rischi in cui possono incappare le aziende prese ad obiettivo dagli 007 dello spionaggio industriale ed il conseguente danno economico. L’approccio adottato dal suo Tiger Team, composto anche da Ryan Jones e Luke McOmie, è quello di effettuare, oltre ai consueti test finalizzati alla ricerca di bug, verifiche di carattere prettamente basate sulla componente umana…. A cura di Davide Mancini, ispettore della Guardia di Finanza, responsabile dell’Unità Computer Forensic del GAT Nucleo Speciale Frodi Telematiche

Postfix's Creator Outlines Spam Solution

Mon, 22 Sep 2008 19:21:55 +0200

Wietse Venema started out as a physicist, but became interested in the security of the programs he wrote to control his physics experiments. He went on to create several well-known network and security tools, including the Security Administrator's Tool for Analyzing Networks (SATAN) and The Coroner's Toolkit with Dan Farmer. He is also the creator of the popular MTA Postfix and TCP Wrapper. SecurityFocus chatted up Venema to talk about software security, how to improve the code quality, what solutions we might have to fight spam successfully, the principle of least privilege, and the philosophy behind the design of Postfix. Venema is currently a researcher at IBM's T.J. Watson Research Center.

Le novita` di Flash 10

Thu, 04 Sep 2008 13:15:06 +0200

Quali sono le novita` di flash 10 in tema di sicurezza

TrueCrypt - Free opensource on the fly Disk Encryption tool

Fri, 08 Aug 2008 00:43:07 +0200

TrueCrypt is a free opensource software system for establishing and maintaining an on-the-fly-encrypted volume (data storage device). On-the-fly encryption means that data are automatically encrypted or decrypted right before they are loaded or saved, without any user intervention. No data stored on an encrypted volume can be read (decrypted) without using the correct password/keyfile(s) or correct encryption keys. Entire file system is encrypted (e.g., file names, folder names, contents of every file, free space, meta data, etc).

nUbuntu 8.04 alpha: la distro per la sicutrezza basata su Ubuntu

koo23 — Mon, 28 Jul 2008 14:55:44 +0200

Ricordo di aver scoperto nUbuntu circa sei mesi fa, all'epoca però il progetto era in fase di stallo e sembrava destinato all'abbandono totale. Rinunciai quindi a provarlo, amareggiato di non averlo trovato prima. In questi giorni, ad un anno di distanza dall'ultima release, è stata finalmente rilasciata l'alpha di nUbuntu 8.04.

GOOGLE CALENDAR E PRIVACY

Mon, 21 Jul 2008 09:42:20 +0200

Che sia una falla piuttosto che una tecnica per rendere più performante il servizio offerto dalla casa di Mountian View non è dato saperlo. E’ certo comunque che chi della privacy “a tutti i costi” non ne può proprio fare a meno sobbalzerà sulla poltrona quando si renderà conto che l’utility “Calendar” messa a disposizione da Google permette a chiunque di conoscere le generalità fornite in sede di registrazione di un indirizzo di posta elettronica “@gmail.com”. A cura di Davide Mancini, ispettore della Guardia di Finanza, responsabile dell’Unità Computer Forensic del GAT Nucleo Speciale Frodi Telematiche

La sicurezza di Firefox è "made in Sicilia"

Wed, 16 Jul 2008 11:26:14 +0200

Con le sue estensioni, il browser Mozilla diventa una piattaforma sempre più applicativa. Ma è minacciato da un malware in grado di assumere “identità” non sue. Giorgio Maone, sviluppatore italiano invitato al Firefox Summit 2008, parla delle contromisure. Alcune componenti per la sicurezza vengono sviluppate in Sicilia da InformAction Nei giorni precedenti il lancio della terza versione del browser Firefox, Mike Schroepfer, responsabile dell’ingegnerizzazione della piattaforma Mozilla, ha fatto tappa a Milano in occasione di un breve tour Europeo. E’ stata una serata molto interessante, perché il progetto Mozilla è davvero un formidabile esempio del successo del modello open source, anche se da solo non può rispondere agli interrogativi sulla sostenibilità economica del modello stesso. Ma non è di questa fabbrica del software popolata da 800 sviluppatori volontari e migliaia di betatester sparsi per tutto il pianeta che voglio parlarvi oggi. Tra questi volontari, mi ha spiegato Giuliano Masseron, il coordinatore dei collaboratori Mozilla in Italia, c’è anche un programmatore siciliano, Giorgio Maone, il cui nome compare in effetti tra quelli visualizzati da Firefox digitando la Url “about:credits”. L’ho chiamato al telefono il giorno dopo...

DNS PIU’ SICURI

Mon, 14 Jul 2008 16:46:05 +0200

Che sia stato il primo a scoprire la terrificante falla nel sistema di progettazione del Domain Name System di certo non lo si può dire, ma Dan Kaminsky, un esperto di sicurezza della IO Active, è stato sicuramente il primo che ha avuto la capacità di riuscire a mobilitare 16 tra le maggiori compagnie che si occupano di sviluppare gli applicativi gestionali dei DNS - Microsoft, Sun Microsystem e Cisco sono solo alcune delle aziende coinvolte – per porre rimedio a quella che può essere considerata senza ombra di dubbio la vulnerabilità tra le vulnerabilità.A cura di Davide Mancini, ispettore della Guardia di Finanza, responsabile dell’Unità Computer Forensic del GAT Nucleo Speciale Frodi Telematiche

Fail2ban security tool

mm-barabba — Wed, 02 Jul 2008 15:10:43 +0200

Fail2banOttimo tool per la sicurezza.Come riporta il sito ufficiale :Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address.Ovvero controlla alcuni file di loge secondo alcune regole è in grado di bannare l'IPper un tempo prestabilito.

[OT]DOT QUELLOCHEVUOI

Mon, 30 Jun 2008 10:31:42 +0200

A Parigi, l’ICANN – l’ente internazionale non-profit che ha l’incarico di gestire il sistema dei nomi a dominio di primo livello – ha approvato una apertura indiscriminata nelle opportunità di scelta dei TLD. Come se non bastasse questo a complicare le cose, è stata accolta, sempre all’unanimità, la richiesta avanzata da quei Paesi che non utilizzano l’alfabeto latino di poter registrare e quindi digitare un indirizzo web sfruttando i propri caratteri o i propri ideogrammi. Qualcuno vocifera che già la Colombia sta predisponendo una mozione nei confronti della Coca Cola per accaparrarsi il suffisso “.coke”.A parte i possibili contenziosi che potranno instaurarsi per accampare un diritto, qualcuno avrà da gioire di queste innovazioni: i titolari dei portali a luci rosse potranno probabilmente, dopo anni di rifiuti, targarli con il tanto contestato “.xxx”. Truffatori e spammer, che sicuramente troveranno qualcosa di interessante da poter sfruttare a proprio vantaggio, avranno un periodo piuttosto florido in questa che si prospetta essere davvero una Babele del Terzo Millennio… A cura di Davide Mancini, ispettore della Guardia di Finanza, responsabile dell’Unità Computer Forensic del GAT Nucleo Speciale Frodi Telematiche