Ajax è davvero una bella tecnologia. La capacità  di riportare le interazioni fra web server e l'interfaccia in modalità  asincrona conferisce più fluidità  di utilizzo e una migliore, come si dice, "user experience". Ma, nel campo delle applicazioni software, aggiungendo complessità  spesso si aggiunge anche minor controllo.Un tale Samy, qualche giorno fa, ha "bucato" Myspace.com, una delle più grandi comunità  di relazioni sul Web, utilizzando le potenzialità  di Ajax. Il giovane, che ha 19 anni e si definisce un "playboy/software developer", ha semplicemente aggiunto al proprio profilo del codice JavaScript che non solo, anche grazie alla complicità  del browser, ha eluso i diversi controlli dell'applicazione Web, ma è riuscito a rendersi praticamente invisibile all'esecuzione utilizzando l'oggetto XMLHTTPRequest. (more...)

Continua a leggere Samy is my hero: Ajax o della sicurezza

Categoria: Sicurezza

Patchare un software per correggerne bug o vulnerabilità  o semplici errori comporta sempre alcuni problemi di compatibilità  con i sistemi reali installati dall'utente. Patchare pezzi di sistema operativo Windows ne comporta decine di altri e la complessità  aumenta a dismisura.La patch distribuita nel bollettino di sicurezza MS05-051 potrebbe creare diversi problemi in alcune configurazioni di Windows. Stando ad un articolo della Knowledge Base potrebbe: Interrompere il servizio Windows Installer Smettere di far funzionare il Firewall Manomettere la cartella Connessioni di rete Impedire l'aggiornamento tramite Windows Update Bloccare l'interpretazione delle pagine ASP Bloccare alcuni servizi di interconnessione (come COM+) Insomma, ce n'è per tutti i gusti. Chi avesse registrato, dopo l'installazione delle patch di Ottobre, alcuni dei problemi di cui sopra, può fare riferimento alle istruzioni di risoluzione contenute nella già  citata pagina di Microsoft. In attesa di una patch della patch.

Continua a leggere Patchare una patch di Microsoft

Categoria: Sicurezza

Tags: ,

Dopo poche ore dalla diffusione delle recenti vulnerabilità  di Windows ed Explorer sono già  stati preparati due exploit in grado di sfruttare i bug descritti nel bollettino MS05-046 e nel bollettino MS05-051. Gli exploit, un Proof Of Concept e un "trigger", sono stati rilasciati alla comunità  dei clienti e partner di Canvas di Immunity, un prodotto di penetration test in grado di scovare vulnerabilità  presenti su reti e sistemi.Gli exploit sono stati sviluppati dal laboratorio della Immunity e dovrebbero essere utilizzati solamente per testare le proprie macchine. I partner e i clienti di Canvas sono legati anche alla confidenzialità  delle informazioni.Delle due vulnerabilità , Microsoft considera critica solamente quella del servizio Microsoft Distributed Transaction Coordinator (MSDTC) divulgata nel bollettino MS05-51 che coinvolge Windows 2000 (non sono affetti Windows XP Service Pack 2 e Windows Server 2003). L'altra coinvolge solamente quesi sistemi Windows in cui è installato un client Netware, non attivo di default e del tutto assente in sistemi Windows XP Home.Come già  capitato in passato, aspettiamoci nelle prossime ore la distribuzione online di malware che si propagano sfruttando questa vulnerabilità . Update: Eccone altri tre, questa volta disponibili per tutti. Li ha pubblicati FrSIRT: Microsoft Collaboration Data Objects Buffer Overflow PoC Exploit (MS05-048), Microsoft Windows Network Connection Manager Local DoS Exploit (MS05-045) e Microsoft Windows FTP Client File Location Tampering Exploit (MS05-044).

Continua a leggere Pronti gli exploit per i nuovi Bug di MS

Categoria: Sicurezza

Una delle novità  più utili, in termini di sicurezza, del prossimo Explorer 7 sarà  la possibilità  di far girare il programma nel cosiddetto Protected Mode. Attraverso questa tecnologia attorno al browser viene costruita una sorta di barriera che impedisce agli script e ai programmi caricati ed eseguiti nel navigatore di intaccare risorse di sistema. Il Protected Mode funzionerà  solo con Windows Vista poiché solo questo sistema operativo supporta la tecnologia UAP (User Account Protection).Anche su Explorer 6 si può però utilizzare un sistema simile. Vediamo come. (more...)

Continua a leggere Modalità  protetta anche per Explorer 6

Categoria: Sicurezza

Il worm Zotob, quello che, per intenderci, è in grado di bucare Windows XP attraverso il bug del plug and play, viene chiamato Bozori da F-Secure. Kaspersky chiama la versione B IRCBot, che è anche il nome che Symantec dà  a Esbot, il quale per Sophos è Hwbot e per McAfee Sdbot. Potremmo continuare all'infinito. Le denominazioni dei virus sono un carosello, una girandola di nomi in cui ogni casa produttrice ci mette del suo, per differenziarsi e confondere l'utente.Lo US-Cert, United States Computer Emergency Readiness Team, e la MITRE Corporation hanno da poco lanciato ufficialmente un servizio che potrebbe portare ordine nella confusione. L'iniziativa CME (Common Malware Enumeration) assegna ad ogni pericolo apparso in rete sotto forma di virus o malware un nome (CME identifier) che identifica univocamente quel pericolo, basandosi sui suoi effetti. Del Board fanno parte i grandi nomi della sicurezza: Computer Associates, F-Secure, Kaspersky, McAfee, Symantec ecc.Nella lista dei malware non finiscono tutti i programmi nocivi, ma solamente quelli che rappresentano un vero pericolo per la sicurezza dell'utente o quelli che hanno avuto un'alta copertura mediatica o un interesse pubblico.La lista online contiene sinora poco più di 20 pericoli. Il numero identificativo di ognuno (sotto la forma CME-N, dove N è un numero fra 1 e 999) viene generato casualmente per evitare che qualcuno possa appropriarsi dell'identificazione basandosi sulla sua successione numerica.

Continua a leggere Una lista (una) per i malware pericolosi

Categoria: Sicurezza

Dopo il phishing potrebbe essere la volta dello spear phishing. Ne parla in questo post Paolo Attivissimo riprendendo un articolo di IBM:La nuova forma di attacco, denominata spear phishing (letteralmente, "pesca con la fiocina" o "phishing con la fiocina"), è invece calibrata specificamente sulla vittima. [...]Lo spear phishing consente di confezionare e-mail-trappola molto più convincenti. Nel phishing tradizionale, i messaggi iniziano con un vago "caro correntista" e simili. I messaggi di spear phishing, invece, indicano nome, cognome e altri dati personali dei loro bersagli. La reazione istintiva è di fidarsi di chi dimostra di sapere già  tutte queste informazioni personali.Occhio, insomma, come al solito.

Continua a leggere Spear Phishing

Categoria: Sicurezza

Le reti Wireless sono sempre più utilizzate, a casa o al lavoro. Alla loro maggiore diffusione corrisponde anche una maggiore esposizione ai pericoli. Sono oramai molto diffusi i software di scansione delle reti in grado di intercettare le connessioni e i dati in esse trasportati e diffusi sono anche i tool che consentono di craccare anche le reti basate su controllo più accurati, come quello degli accessi attraverso l'indirizzo MAC.ZDNet ha stilato per questo motivo un decalogo della sicurezza del Wi-Fi. Sono suggerimenti pratici, da applicare subito attraverso le impostazione del PC o del proprio Router.1. Utilizzare le criptazione dei dati Il livello minimo di sicurezza è garantito dal WEP (Wired Equivalent Privacy). Sebbene poco sicuro, è meglio di niente. (more...)

Continua a leggere 10 suggerimenti per la sicurezza del Wi-Fi

Categoria: Sicurezza

Tags:
di

Salvatore Aranzulla (ancora lui) ha scoperto e prontamente segnalato a Google la scoperta di una piccola vulnerabilità  (già  ampiamente descritta e dimostrata con MSN Messenger) che colpisce l'instant messenger Google Talk. Con un semplice proof-of-concept Salvatore mi ha dimostrato che è possibile bloccare con una certa facilità  il programmino Google sfruttando le emoticon e una delle conseguenze indirette è il portare vicino al 100% l'uso della CPU: insomma, qualche pericolo c'è. Se qualcuno notasse qualcosa di strano, insomma, si lanci prontamente su un CTRL+ALT+CANC.

Continua a leggere Google Talk cade sulle emoticon

Categoria: Sicurezza

Tags:

I virus, a quanto sembra, non sono più il primo problema per la sicurezza di un PC. Il server di posta di HTML.it nell'ultimo anno ha gestito, in entrata e in uscita, circa 6 milioni e mezzo di messaggi di posta elettronica. Di questi 1 milione contenevano virus e altri 200 mila erano spam.Dalle statistiche del server, riportate nella figura in basso, si evidenzia comunque una tendenza che forse avrete già  sperimentato sulla vostra pelle: il numero di virus giornalieri è costantemente, ad esclusione di alcuni picchi, diminuito. Su HTML.it siamo passati dai quasi 4 virus al minuto registrati alla fine dell'anno scorso, ad 1,5 virus al minuto registrati durante il mese di ottobre 2005. Un calo consistente, di oltre il 250 per cento.Lo conferma anche una ricerca veloce su Symantec: nel 2005 i virus che hanno ottenuto un livello di pericolo pari o superiore a 3 (su una scala di 5) si possono contare sulle dita di una mano. E gli ultimi due (Zotob ed Esbot) non hanno avuto particolare eco in Italia perché comparsi a ferragosto.Cià non vuol dire che siamo più sicuri. Sicuramente conta, in questa débà¢cle, la maggiore consapevolezza dell'utente nel gestire la posta elettronica e i suoi allegati; sicuramente gli antivirus, fino a poco tempo fa installati solo sui computer dei più attenti, sono più diffusi; ma è altrettanto vero che i "produttori" di virus stanno cercando altri strumenti con cui fare soldi: phishing per primo.

Continua a leggere C’erano una volta i virus…

Categoria: Sicurezza

Tags: , ,

Falla per IE6

27 Sep
di

Arriva da Secunia la segnalazione di una nuova falla per Internet Explorer 6. Qui i dettagli della vulnerabilità , peraltro simile ad un'altra pregressa. Pericolosità  moderata. Siccome mancano ancora circa 2 settimane al nuovo aggiornamento di sicurezza Microsoft, è consigliabile seguire il consiglio di elevare a livello "Alto" il livello di sicurezza durante la navigazione. Oppure, come si suol suggerire in queste circostanze, si può cogliere l'occasione per provare browser alternativi quali Firefox o Opera

Continua a leggere Falla per IE6

Categoria: Sicurezza