Leggendo packetstormsecurity stamattina ho visto il rilascio della versione 1.5.1 . L’ho scaricata sul mio nuovo rootserver e ho fatto alcune prove…
Effettivamente fa bene tutto sommato il suo lavoro generando anche una reportistica molto chiara. Ho condotto questo assessment su libero.it (e magari dovrei dirlo a chi si occupa di security da quelle parti…) e in effetti qualche vulnerabilità è ovviamente presente!
Il report è visibile all’url www.stefanocislaghi.it/download/ratproxy/libero/ratproxy.html .
Non mi è andata l’autenticazione in SSL alla webmail. Ero curioso perchè sicuramente in quel form, come in tutti i form, qualche bel bugs lo trovi… vedremo appena ho tempo…….
You are currently browsing articles tagged security.
Tags: general, ratproxy, security, Sicurezza, vuln, web, xss
In effetti GMail, comodo per molti, me compreso, non sembra essere il più sicur sistema di webmail. Le sue sessioni possono essere facilemente manipolate e quindi si può avere accesso alla posta di altri. Di più su http://blogs.zdnet.com/security/?p=842
“Even with SSL enabled, Gmail sessions can still be hijacked by
Graham’s Hamster and Ferret (or less easily with Wireshark and
Mozilla’s cookie editor).”
[...]
“Gmail in SSL https mode was thought to be safe because it encrypted
everything, but it turns out that Gmail’s JavaScript code will fall
back to non-encrypted http mode if https isn’t available. This is
actually a very common scenario anytime a laptop connects to a hotspot
before the user signs in where the laptop will attempt to connect to
Gmail if the application is opened but it won’t be able to connect to
anything. At that point in time Gmail’s JavaScripts will attempt to
communicate via unencrypted http mode and it’s game over if someone is
capturing the data.”
Quindi attenzione a dove e come usate GMail.
Reputo che questo breve whitepaper sia molto interessante: http://www.gpaterno.com/publications/virtualizzazione_e_sicurezza.pdf.
La virtualizzazione è ormai una tecnologia che sta prendendo molto piede nelle grandi come nelle piccole aziende ed è quindi necessario e doveroso analizzare il piano della sicurezza. Questo whitepaper è uno spunto per approfondire quindi i concetti della security nelle virtual machine.
Tags: general, security, Sicurezza, virtualizazion
Da tempo c’è attiva la categoria sicurezza sul mio blog e io in effetti mi scontro col problema della security (sia essa di un sistema, un server, un applicazione) quasi quotidianamento. Ammetto che ormai tutti parlano di sicurezza, o security che fa più scena, ma in realtà ben poche persone sanno a cosa si riferisco, e il problema della security è tutt’altro che sentito all’interno delle imprese. Di sicurezza infatti si sarebbe dovuto parlare da sempre, o almeno da diversi anni, ma in realtà in molte aziende, anche grandi, ci si sta avvicinando lentamente adesso. Ma cosa significa sicurezza?
Wikipedia, alla voce Sicurezza Informatica scrive:
La Sicurezza informatica è quella branca dell’informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati. I principali aspetti di protezione del dato sono la confidenzialità, l’integrità e la disponibilità.
E poi prosegue:
La protezione dagli attacchi informatici viene ottenuta agendo su più livelli: innanzitutto a livello fisico e materiale, ponendo i server in luoghi il più possibile sicuri, dotati di sorveglianza e/o di controllo degli accessi; anche se questo accorgimento fa parte della sicurezza normale e non della “sicurezza informatica” è sempre il caso di far notare come spesso il fatto di adottare le tecniche più sofisticate generi un falso senso di sicurezza che può portare a trascurare quelle semplici. Il secondo livello è normalmente quello logico che prevede l’autenticazione e l’autorizzazione di un entità che rappresenta l’utente nel sistema. Successivamente al processo di autenticazione, le operazioni effettuate dall’utente sono tracciate in file di log. Questo processo di monitoraggio delle attività è detto audit o accountability.
Sul proseguimento sono d’accordo, ma ci si pone una domanda: esiste la sicurezza?
Penso di no. La sicurezza è una forma alla quale si può tendere, alla quale si può aspirare, ma che non è di fatto raggiungibile. La perfezione, a parte quelle della natura, è un’aspirazione (qui entriamo nel campo filosofico). Chi definisce le proprie macchine sicure è un pazzo. Diciamo che possono essere sicure al 99,999%, un po’ come si definisce la garanzia della banda in uno SLA di connettività, ma non definiamo niente sicuro. A mio avviso, una qualsiasi macchina accesa è di fatto insicura. Se poi è collegata in internet ancora di più. Casomai, la sicurezza, o perlomeno la tutela dalle invasioni esterne, la si acquista con i dati contenuti su un sistema. Un sistema che non interessa a nessuno è di fatto più sicuro, poichè non c’è nessuno che ha intenzione di violarlo; come il principio di domanda – offerta. Se non c’è domanda, l’offerta non serve a niente.
Tags: general, livello_fisico, processo_di_autenticazione, security, Sicurezza, sicurezza_informatica
My Google Stats
0 | Unique Visitors |
Powered By 
Recent Comments