RE: [ml] mailing lists
Piermaria Maraziti scrive: Giusto in questi momenti ho una diatriba in corso su una ML di un'associazione di categoria relativamente al confronto mailing list- forum... sinceramente trovo scomodi i forum: se sono iscritto a venti mailing list ricevo tutto assieme ma ben diviso e catalogato e a colpo d'occhio so dove ci sono news. Con i forum dovrei girarmi venti siti. Forse sono io strano a seguire venti cose mentre altri (anche nell'ambito della sicurezza) si fissano su 1-2 fonti quindi si adattano a forum (o gruppi linkedin/facebook)? Forse è questo quello che sta succedendo? Siamo al limite della filosofia sociale qui. E i forum sono già una cosa antica! Quelli che interessano a me ormai sono agli sgoccioli: morti o moribondi. Tutti su feisbuc. -- M. http://www.sikurezza.org - Italian Security Mailing List
[ml] Sender address rejected: unverified address?
Salve, io sono fuori dal giro dei sistemi antispam da un pezzo ma mi dicono che sta aumentando il numero di mail rifiutate per unverified address. In pratica, il server di destinazione, prima di accettare un messaggio, apre un dialogo SMTP 'inverso' per verificare che il mittente sia un indirizzo realmente esistente. Domanda forse banale: ma dove sta scritto che il mittente di una email deve corrispondere ad una casella realmente esistente? Mi sono perso qualcosa? Tra l'altro, il server del mittente potrebbe essere un relay ed accettare qualsiasi indirizzo (cosa non bella per il bouncing ma possibile). Se non si è riusciti ad imporre uno standard per l'annuncio dei server deputati all'invio per un dato dominio, com'è possibile che si 'pretenda' di verificare addirittura l'intero indirizzo? Grazie -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Adozione thin client in azienda
Alberto Furia wrote: riprendo questo post solo per dire che alla fine la scelta e' caduta su thinstation. A parte alcuni minor fix e personalizzazioni che si sono rese necessarie si sta dimostrando una buona scelta per le esigenze di cui parlavo. Il client Remote Desktop utilizzato supporta RDP v.7 o superiore? Grazie mille -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Sicurezza di MPLS...
Marco Gaiarin wrote: Tutti i vendor ovviamente dicono che la loro rete è sicurissima, ma a quanto vedo, a meno di non cifrare ulteriormente il traffico sopra, mi devo fidare totalmenet del vendor. E sono, se non sospettoso, perlomeno curioso. Avete qualche ''paper'' di introduzione sulla sicurezza di MPLS, rischi, attack vectors, … da consigliare? Ricordo personalmente un fenomeno abbastanza paranormale :-), segnalato anche su questa lista: http://www.mail-archive.com/ml@sikurezza.org/msg01019.html In pratica, il traffico Internet veniva dirottato su un proxy di un'azienda sconosciuta e per di più non accessibile dall'esterno! -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Parere su login home banking
Matteo Cicuttin: La mia banca mi ha comunicato che avrebbe dismesso il corrente applicativo di home banking in favore di uno nuovo e dunque ... Quello che vi chiedo quindi ?: * cosa ne pensate voi? sono troppo paranoico? Mi pare strano che ci siano ancora istituti bancari senza OTP :( -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] 1password+dropbox: opinioni
Riccardo Ghiglianovich wrote: Sono un felice utilizzatore di 1password, applicazione per la gestione delle password. ... Dovendo sincronizzare tra due o più computer, i ragazzi di 1password (vista la loro estrema fiducia nei loro algoritmi di crittografia) consigliano l'uso di dropbox. Ma usare dropbox significa mettere all'aperto il nostro file con le password . Potrebbe capitare, quindi prima o poi, che venga trafugato. Stesso problema con KeePass. Il mio db è su Dropbox. -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] trojan distribuito da kataweb.it
Daniele Franceschi wrote: aprendo una gallery di repubblica (http://www.kataweb.it/tvzap/foto/bellezze-naturali-le-celebrita-senza- trucco/) [le cose che si fanno il lunedi` mattina] mi si e` aperta in automatico una applet java (presa da saboka.in) e immediatamente dopo explorer.exe ha provato a collegarsi in russia (91.228.134.2:443) Nella temp di XP mi sono anche trovato un file .exe (sha1: be79ddce3f53a29e2366f94c63bf23a81bc76b82) dal nome casuale che AVG non ha intercettato. Tale exe, sottoposto ad analisi online, risulta un win32/katusha. L'homepage di Kataweb dava un errore HTTP (che non ricordo) fino a poco fa, adesso sembra a posto. Possibile siano stati bucati ed usati per veicolare il malware? -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] certificati digitali e windows
Marco Ermini wrote: sebastiano rossi wrote: devo accedere ai certificati digitali presenti in un dato pc con windows. Sapete dove si trovano fisicamente? Dipende da quale store vuoi accedere. In genere sono nel registry ma alcuni non sono esportabili - quelli del machine store per esempio Mi spieghi meglio quest'ultima cosa? Equivalgono ad una smartcard? Grazie -- DV http://www.sikurezza.org - Italian Security Mailing List
[ml] Cimice software
Secondo voi, di che si tratta? http://www.repubblica.it/politica/2011/06/22/news/mail_spia_hacker-18041273/ ?ref=HRER1-1 E come viene installato sul PC designato? -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] criticità delle infrasrutture virtualizzate
mar...@hush.ai wrote: Personalmente non sono un grande estimatore della virtualizzazione spinta in ambienti di produzione, e le difficoltà che l'amministratore del server ha avuto ad individuare il problema sembrano confortare questa mia posizione, ma mi chiedo se la tanto decantata virtualizzazione oltre a incantare gli amministratori dei server tiene in giusto peso le esigenze degli utenti e quindi del business? Si può parlare per queste soluzioni di reale security e governance? Ci puoi dire che di tipo di problema si trattava? Quanto era legato al fatto che la piattaforma fosse virtuale e quanto al fatto che fosse blade? Comunque, è un problema molto sentito. Cisco UCS nasce per andare incontro a questa esigenza ma non ti so dire quanto centri l'obiettivo. La virtualizzazione (ancora per poco) va usata con oculatezza, certi ambiti restano fuori ma sono marginali (non come importanza ma come quantità). M. http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Prestazione dei tunnel IPSEC e consumo di banda
* Daniele Di Mattia: dato un ufficio con una connessione VPN e 10 client che si collegano contemporaneamente con altrettanti tunnel VPN per delle sessioni di Desktop Remoto, qualcuno sa dire (indicativamente) quanto dovrà essere la banda per avere delle buone prestazioni? Basterà una ADSL simmetrica 2 Mb + 2 Mb, oppure è meglio andare su tagli più alti? Quanto potrà essere la banda minima garantita? Dalla mia esperienza e dal documento: http://goo.gl/cz3jp credo che 64/128 kb/s per connessione siano sufficienti. -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Cloud computing e privacy
* krav...@inwind.it wrote: Stiamo valutando nuove alternative al sistema di posta aziendale. é stato proposto Gmail, ed i costi ed i livelli di servizi sembrano interessanti. Sono stati sollevati problemi per la privacy visto che non si sa esattamente dove sono conservati i dati ... e addirittura sulla sicurezza ... A parer mio si fa sempre un pò di confusione tra cloud computing e i vari facebook e compagnia per quel che riguarda la privacy e per la sicurezza, voi che ne pensate? Nessuna confusione, per me. Solo che, a quanto pare, sta bene a tutti perdere un po' della propria privacy in cambio di servizi comodi su ambienti apparentemente delimitati e protetti. Sinceramente, a me sembra che stiamo andando verso una direzione assurda, consegnandoci mani e piedi a pochissime multinazionali onnipotenti, per di più in un mondo dove il conflitto latente sembra promettere veramente poco per il futuro. Ma, ripeto, tranne a pochi pazzi con i capelli ormai grigi (come dice Cassandra/Marco Calamari), non interessa veramente a nessuno. Io a Google non consegnerei neanche la storia dei miei rapporti personali, riassunti nelle mie email e nei miei contatti, figuriamoci la posta aziendale, con relativi segreti, know-how, liste clienti più o meno importanti. Neanche di fronte a contratti e clausole di riservatezza blindatissimi. Poi, fate voi... ma mi sa che, se le aziende si stanno sbarazzando dell'IT, prossimamente dovrò cercare lavoro in qualche cloud... -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Sistemi in HA
* Gelpi Andrea wrote: Mi sono però posto questa domanda: se mi si guasta lo storage ho tutto fermo. Ovviamente con l'hardware disponibile oggi basta ridondare dischi, alimentatori, ecc... ma si resta su un single point of failure. storage con doppio alimentatore e doppio controller. se i collegamenti con lo storage sono ridondati (verso i 2 controller) non hai SPOF. Così riduci il problema, ma rimane sempre un solo sistema, rimangono parti che potrebbero fare problemi e che non hanno ridondanza Uno storage di livello enterprise non è considerato comunemente un Single Point Of Failure e viene ridondato solo per esigenze di business continuity e disaster/recovery. E' chiaro che se ti si apre una voragine proprio sotto il disk-array, non sei cautelato ma, per il resto, in 12 anni di lavoro su apparati HP, EMC e Netapp, avrò visto fermarsi tutto non più di un paio di volte. E, con le 4 ore on-site garantite in genere da tutte le marche più blasonate, te la dovresti cavare in ogni situazione. Se non ti basta, esistono funzionalità di IP replication tra array che, visti i costi, si applicano in genere solo per repliche inter-site a scopo di D/R. Insomma, io eviterei di inventarmi soluzioni ad hoc e per di più basate su software (per quanto carini come DRBD o similari). Ciao -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Programma spia x windows xp
* Alessandro Aldrovandi: Ciao, stò cercando un programmino per windows xp che mi tenga traccia del salvataggio di file su dispositivi esterni (tipo chiavette usb, dischi esterni ) Lo so che per la privacy è un casino ma lo voglio comunque Qualcuno mi sa aiutare? anche prodotti commerciali A questo punto, non è meglio inibire proprio l'utilizzo di dispositivi esterni, attraverso software specifici: ne esistono diversi, anche molto evoluti. -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Hotspot Wifi in una biblioteca
* Roberto Resoli: ... c) adottare le misure di cui all'art. 2, occorrenti per il monitoraggio delle attivita'; ... e) rendere disponibili, a richiesta, anche per via telematica, i dati acquisiti a norma delle lettere b) e c), esclusi comunque i contenuti delle comunicazioni ... 2. L'accesso del servizio polizia postale e delle comunicazioni di cui al comma 1, lettera e), può comprendere i dati del traffico telematico solo se effettuato previa autorizzazione dell'autorita' giudiziaria in conformita' alla legge in vigore. Quindi, (comma 2) se l'autorità giudiziaria lo richiede, il Servizio polizia postale e delle comunicazioni può accedere ai dati relativi al traffico. Quindi i dati devono essere disponibili a richiesta. Mi pare che ci risiamo ... In effetti... E allargo ancora il campo della discussione: in azienda, con proxy e NAT uscente, come ci si regola? Sicuramente valgono le leggi vigenti su privacy e diritti dei lavoratori. Se viene la PS, con o senza autorizzazione del giudice, e chiede i nominativi e i dati di traffico di chi ha fatto traffico illecito, che gli do? Quelli delle 5/50/500/5000 persone nascoste dietro la NAT? -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] log amministratori di sistema
* Stefano Fenati: Per le macchine windows, ho installato un agent free che invia gli eventi al syslog server. Problema: windows genera una montagna di informazion (inutili) che non sono ancora riuscito a filtrare, creando un problema di dimensione dei file di log (che vanno conservati per almeno sei mesi). In un giorno mi hanno generato 32Mbytes di log. In ultimo l'AS400. Da giorni mi sto perdendo su vari forum per capire come posso passare al syslog server le info di login, senza nessun risultato concreto. Ho pensato anche ad un programmino che trasmette il log da eseguire alla login/logaut dell'amministratore. DOMANDE: 1. Qualcuno ha in mente qualcosa per ridurre la dimensione dei log di windows, filtrando solo quelli effettivamente necessari?. Vedo che hai scelto la strada più semplice, come ho fatto io. Il concetto di autenticazione del dominio Windows, in effetti, è un po' allargato :-) e ci sono moltissime entry per qualsiasi cosa venga effettuata ma, se ci pensi, è giusto così: un accesso non deve per forza essere interattivo (terminal server o console) ma ci sono anche quelli a condivisioni file, stampanti, semplici accessi in rete delle macchine del dominio, etc. Mi sa che dobbiamo conservarci tutto e trovare pure un modo di interpretarlo all'occorrenza ;-) -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] log amministratori di sistema
* Piero Cavina: Pensandoci meglio.. disabilitando gli admin locali (che in certe situazioni può essere una rottura..) gli eventi di login dei domain admins sono comunque registrati dai domain controller.. quindi sul PC non devo loggare nulla. Potrebbe passare? Noi ci stiamo regolando così. Ciao -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Hardware per un firewall basato su pfSense
* Giacomo Antolini wrote: i prezzi su questo sito mi sembrano ottimi. Farò qualche esperimento con una Alix LX800 + CF da 4GB prima di proporre qualcosa al cliente... male che vada me la tengo io :-) Ho 3 installazioni siffatte, su siti medio-piccoli. No problem at all! -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] log amministratori di sistema
Massimo Giaimo wrote: come sapete entro il 15 dicembre ogni azienda dovrà adeguarsi al provvedimento del Garante della privacy relativo al controllo delle attività degli amministratori di sistema. Ho notato che si parla esclusivamente di collezionamento ed archiviazione dei log. In realtà, il provvedimento del Garante è più ampio e riguarda il controllo degli accessi degli amministratori di sistema. Se dieci amministratori adoperano tutti root per l'accesso ai sistemi, non è che collezionando i log si ottempera al provvedimento :-) Io, per prima cosa, sto configurando su tutte le macchine Linux l'autenticazione centralizzata sul dominio Active Directory (tramite Kerberos+LDAP), disabilitando, nel contempo, l'accesso da remoto attraverso utenze generiche (es. utenze applicative ed ovviamente root). Tutti possono quindi accedere attraverso l'account personale di dominio Windows ed eventualmente impersonare l'utenza applicativa o amministrativa desiderata con su. Mi rimane scoperto l'accesso da console (c'è la sicurezza fisica del Data Center ma, spesso, le console sono accessibili da remoto e quindi siamo punto e daccapo). Segue logging centralizzato da qualche parte, ma lo considero un aspetto secondario (non come importanza ma come ordine temporale). -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] domanda su alcuni provider di posta.
* nicola mondinelli: Soluzione: spiegare ai sistemisti dall'altra parte che implementare blacklist a caso non è una grande soluzione, oppure noi ci affidiamo ai relay del nostro isp ... In pratica devi impostare lo smarthost sul tuo server di posta Credo sia la cosa più semplice (o più corretta). Il principio che ci sta dietro è: l'email è una cosa seria; se sta spedendo un pinco pallino che non può/sa manco mettere a posto un PTR, c'è qualcosa che non va. Non so se sia giusto o meno ma, in tempo di spam, è questo l'andazzo. Forse Marco D'Itri è in ferie, altrimenti avrebbe già risposto ;-) -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
[ml] RE: domanda su alcuni provider di posta.
* Dimitri Giardina C.D. Trade S.r.l.: se qualche malaugurato utente/cliente, prova ad inviare da tali classi ip, un messaggio.. gli ritorna indietro un bel messaggio di mail not accepted from blacklisted IP address. Che io sappia, se l'IP è pubblico e *statico*, anche se ADSL, non c'è problema con nessuna blacklist. E, comunque, tutti gli indirizzi assegnati hanno qualche forma di reverse (tipo host73-116-dynamic.47-79-r.retail.telecomitalia.it), non so quanto compliant with reverse hostname naming convention di Spamrats! -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Parere su bridge firewall
* Marco Ermini wrote: Al giorno d'oggi si parla molto di clean pipe ed è molto più efficente avere reti flat e usare filtraggi trasparenti. In questo senso ovviamente la modalità bridge viene incontro Mi spieghi meglio? Mi interessa e io sono rimasto all'antica... -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: R: [ml] Bloccare modem UMTS
Kinkie wrote: Dipende dalla soluzione di NAC. Alcune agiscono installando un agente sul sistema (o appoggiandosi a uno specifico agente preistallato), a quel punto the sky's the limit. Non ci sono che io sappia group policy che possono andare cosi` nel dettaglio (immagino sia possibile disabilitare una classe di dispositivi tout court, ma anche se e` cosi` e` davvero molto grossolano) commercial Esistono soluzioni commerciali che ti consentono di controllare in maniera centralizzata e molto poco eludibile tutti i device esterni. Es. Lumension Device Control™ – (formerly Sanctuary) /commercial http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Snort e DLS
* Giuseppe Paternò (Gippa): Qualcuno ha esperienza di uso di Snort come strumento di data loss prevention? Esperienza con altri tools? In mancanza di strumenti giusti, io sono stato costretto a monitorare tramite sFlow/Netflow TUTTO il traffico di rete, alla ricerca di flussi di dati significativi. La mia però era un'esigenza *quantitativa*. Ciao -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
[ml] Nuovi criteri del Garante per gli amministratori di sistema
Qui: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 http://www.garanteprivacy.it/garante/doc.jsp?ID=1580831 si legge dei nuovi criteri del Garante per gli amministratori di sistema. Innanzitutto, sono molto interessato a conoscere cosa ne pensate. Ci sono degli appigli per evitare tutto ciò? Come ci si uniforma a questi criteri? Poi, purtroppo, l'interpretazione che ne è stata fatta in azienda mi costringe a valutare i metodi tecnici per la Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Per sistemi Linux/Unix, mni sto orientando ad impedire l'accesso remoto con user locali (generiche e applicative) e consentirlo solo attraverso autenticazione centralizzata sul dominio Windows AD. Ogni passaggio a root tramite su sarebbe, a quel punto, legato ad un utente specifico. Rimarrebbe l'accesso a root da console, che non saprei come regolare. E per l'auditing di tutte le attività, qual'è la strada migliore? Per i sistemi Windows? Grazie -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Re: R: controllo accesso LAN
* Marco Gaiarin: L'unico problema, e non è da poco: siccome l'autenticazione è user-based, la cosa confligge abbastanza brutalmente con i roaming profile, visto che l'autenticazione avviene *dopo* che è iniziata la fase di caricamento del roaming profile e la deautenticazione avviene prima che questo venga salvato. E' possibile attivare la machine authentication con o senza successiva user authentication. Bisogna cercare su Google, ho perso i riferimenti ma l'ho realizzato io quindi è certo. -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] controllo accesso LAN
* Emanuele Pucciarelli wrote: Il giorno 14/dic/08, alle ore 01:49, caio ha scritto: volendo consentire l'accesso alla rete solo a determinati client, ed avendo a disposizione un HP procurve 2600 che gestisce il traffico interno di rete proveniente da client collegati direttamente ad esso, quale potrebbe essere la soluzione migliore? 802.1x È chiaro che se hai uno switch unmanaged Il 2600 è managed Potresti usare 802.1x per tutte le porte ... ma non con il 2600. Vd. sopra. e configurare un server Radius per accettare certi MAC address Meglio credenziali (user/pwd o certificato) Non so se si possa anche evitare, su certi SO, la comparsa di una interfaccia utente che chieda le credenziali, o se si debba comunque accettarla (e dire agli utenti che lascino vuota la maschera e vadano avanti). Si può evitare con Windows, impostando le cose in un certo modo... Ciao -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Martellamenti sulla 22...
Ecco l'articolo slash-dotted ieri: http://it.slashdot.org/article.pl?sid=08/12/02/2124244 http://bsdly.blogspot.com/2008/12/low-intensity-distributed-bruteforce.html -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Martellamenti sulla 22...
* Marco Gaiarin: É una settimana e passa che c'è un bellissimo attacco a dizionario distribuito su ssh verso i firewall che gestisco. ... Telecom dorme o mi sfugge qualcosa? Non è questione di Telecom. L'ho verificato anche io, e non solo io ma non riesco a trovare l'articolo di ieri... E' un attacco bruteforce a lenta intensità (relativamente) in partenza da una botnet. -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
[ml] Capita anche nelle migliori famiglie...
Ieri, su http://www.beijing2008.it: http://farm4.static.flickr.com/3294/2752863840_6a6cb2e99d_o.png Un po' troppe info? -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Liste RBL
From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of /fox/ Sent: Wednesday, May 14, 2008 4:12 PM Secondo me una RBL è una scelta piuttosto avventata sopratutto se utilizzata in un azienda dove le cose *devono* funzionare. Sarebbe più intelligente IMHO applicare un filtro anti-spam classico Nell'azienda dove lavoro, su 36000 mail giornaliere, 2 sono rifiutate da una RBL (zen.spamhouse.org), 12000 sono UserUnknown. Non penso di poterci rinunciare! -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Proxy sconosciuto?
From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Andrea Bongianni Sent: Thursday, April 03, 2008 11:05 AM Domenico Viggiani wrote: un mio utente navigando su Yahoo, si è imbattuto in una pagina di errore, una classica Access Denied di Squid, che fa riferimento ad un'azienda sconosciuta: http://www.flickr.com/photos/[EMAIL PROTECTED]/2381858603/sizes/o/ C'è qualcosa che mi sfugge... Ad occhio direi che il provider di connettività del cliente è questa Ovam (www.ovam.it) e che probabilmente utilizza uno squid come cache proxy per limitare l'uso della banda e probabilmente ha dato questo messaggio per un errore di configurazione..purtroppo i proxy veramente trasparenti non sono facili da configurare e qualche problema a volte si verifica. Usciamo su Internet attraverso provider quali Telecom e Albacom, tramite connettività di livello enterprise e ci gestiamo da soli anche il BGP. Non credo che dovremmo passare da questa sconosciuta Ovam a meno che in Telecom o Albacom qualcuno abbia riutilizzato per un transparent-proxy un file di configurazione di Squid senza manco cambiare i riferimenti dell'admin (tutto è possibile)! E' capitato di nuovo per un sito diverso da Yahoo. From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Raffaele Cosi' a prima vista mi sembra che il tuo utente abbia configurato il browser per utilizzare il proxy.mi.ovam.it... Impossibile, sono utenti aziendali e non mi avrebbero comunicato l'inconveniente, se fossero stati loro a cambiarsi le impostazioni del browser. -- DV http://www.sikurezza.org - Italian Security Mailing List
[ml] Proxy sconosciuto?
Riprovo a mandare il msg eliminando l'attachment... So che può sembrare assurdo ma un mio utente mi assicura che, navigando su Yahoo, si è imbattuto in una pagina di errore, una classica Access Denied di Squid, che fa riferimento ad un'azienda sconosciuta: http://www.flickr.com/photos/[EMAIL PROTECTED]/2381858603/sizes/o/ C'è qualcosa che mi sfugge... -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Wifi, freeradius e metodi di autenticazione...
-Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Marco Gaiarin Sent: Thursday, March 13, 2008 6:24 PM Al lavoro ho cercato di tenermene il più possibile distante, ma i tempi felici sono finiti. ;) A chi lo dici! Ho cercato di spiegare che un conto è sostituire un cavo di rete ed un altro capire che perché il wireless va e viene. A lavoro ovviamente vorrei qualcosa di un pelo più gestibile, e visto che ho già un bel dominio con Samba e LDAP mi è sembrato corretto orientarmi verso radius (freeradius). Io ho un dominio Windows regolare... 2) ma sei io volessi semplicemente autenticare le *macchine* e non gli utenti che le usano? O meglio, se volessi autenticare gli utenti solo se accedono da determinate macchine? Client certificate host-based e password di 'dominio'? [insomma, non mi interessa che il mio utente Y con il portatile personale acceda, ma che i miei utenti possano accedere dai miei 4 portati aziendali] Se usi EAP-PEAP, si può fare ma io ho usato Microsoft IAS come Radius server, con Freeradius non so. Inoltre, tieni presente che, con XP, per implementare l'autenticazione machine-based in esclusiva (cioè senza quella user-based), devi settare la chiave di registro: HKLM\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode a 2 (DWORD). Con Vista, forse c'è direttamente una checkbox tra le impostazioni della rete e inoltre, puoi impostarla in maniera centralizzata tramite le GPO, previa estensione di Active Directory: http://technet.microsoft.com/en-us/library/bb727029.aspx (ma tu hai Samba e non ti interessa). Ah, dimenticavo la chicca: se il nome host contiene un trattino - (come tutti i miei portatili e quelli della casa madre...), EAP-PEAP di XP ha un bug e non va! http://support.microsoft.com/kb/931855/en-us Probabilmente sono domande di una stpidità allucinante, ma veramente brancolo nel buio... O sono stupido anche io o ci siamo posti le stesse questioni... Fammi sapere cosa riesci ad ottenere. Ciao -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Comandi via mail
From: Behalf Of Mauro Morichi - Nonsolocomputer s.r.l. Sent: Friday, February 29, 2008 5:26 PM Il giorno ven, 29/02/2008 alle 09.50 +0100, Alessio Cecchi ha scritto: Aggiungo che potresti anche valutare l'uso di maildrop (in alternativa a procmail) e dei file .qmail (se il server è qmail ovviamente) suggerisco una soluzione alternativa che salta la tipologia del server: se anziche' utilizzare un meccanismo lato server, quindi i file .qmail se con qmail, procmail, sgrunt si usasse un meccanismo diverso ovvero interrogando il server pop con uno script tempororizzato (non so' se esiste qualcosa di gia' fatto) il quale preleverebbe il messaggio e procederebbe nei passaggi successivi. Non uso né procmail né qmail ma sendmail ma ho avuto problemi con i meccanismi nativi di questo MTA proprio in accoppiata a virtual domains. La soluzione di un cronjob che scarichi periodicamente via pop potrebbe non essere ottima in questo mondo sempre di fretta... -- DV http://www.sikurezza.org - Italian Security Mailing List
[ml] Comandi via mail
Mi servirebbe un gateway (chiamiamolo così), per eseguire dei comandi di vario genere via mail in maniera controllata. Avete dei suggerimenti? Grazie -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] 802.1x ristretta
-Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of marco misitano Sent: Saturday, February 02, 2008 11:00 AM Domenico Viggiani wrote: io vorrei restringere l'accesso a PC facenti effettivamente parte del dominio aziendale. secondo me si tratta di machine authentication. non conosco IAS, ma alla fine é esattamente un controllo piu o meno sofisticato della identitá della macchina (indipendente dall'utente) che vai a fare contro un AD. So che Cisco ACS permette di farlo, quindi tendo pensare che lo faccia almeno anche IAS. E' proprio così, grazie. Ricapitolo, a beneficio mio e degli archivi. Io uso EAP-PEAP/MS-CHAPv2, non EAP-TLS, in modo da non deployare certificati (si, lo so, ci sarebbe l'autoenrollment...). Con EAP-PEAP/MS-CHAPv2, ho bisogno solo di un certificato per il server (fatto in casa con Openssl modificato, non ricordo dove ho trovato la patch) e di disabilitare la sua verifica sui client (lo so che non si dovrebbe fare...) Per la machine-authentication, con XP, si può impostare la chiave di registro: HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMo de a 2 (e funziona anche con le reti wired). In alternativa, si può fare tramite una GPO ma forse solo per le reti wireless. Con Vista, non so di preciso. Poi, bisogna impostare IAS in modo che accetti solo un gruppo Windows che contiene esclusivamente le macchine a cui vogliamo dare connettività; è un po' una scocciatura perché deve essere proprio un gruppo e non una OU e quindi va gestito a parte. Ecco un documento che descrive tutto per bene, partendo dalla creazione del mondo (!): https://thesource.ofallevil.com/technet/network/wifi/ed80211.mspx Saluti -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
[ml] 802.1x ristretta
Salve, sto implementando una soluzione di sicurezza WiFi tramite WPA/WPA2 802.1x, cioè con autenticazione su un server Radius. Il server Radius è IAS di Microsoft e il tutto ha funzionato al primo colpo: se un utente configura WPA/TKIP o WPA2/AES con EAP/PEAP e MS-CHAP2, usa le password di dominio, va in rete altrimenti no. Il punto è che il tutto funziona anche se l'utente usa il suo portatile personale, anche con Linux o MacOS: basta immettere le credenziali corrette mentre io vorrei restringere l'accesso a PC facenti effettivamente parte del dominio aziendale. E' possibile? Devo ricorrere a versioni di IAS più recenti (ho sentito dire che fanno parecchie cose sul fronte del Network Admission Control)? Grazie -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: R: [ml] incredibile buco di fideuramonline.it
Il problema del One-Time Password e' un altro...ci si deve sempre portare dietro la chiavetta (o, come qui in Olanda, una specie di calcolatrice) in ogni movimento...e magari partendo di fretta ci si dimentica...o peggio la si perde in qualche borsa... A me Banca Intesa ha fornito OTP del tipo gratta-e-vinci (!): 40 chiavi one-time, da usare ad usaurimento. in formato carta di credito. Quando si approssima la fine, te ne mandano un'altra. Un'OTP dei poveri... -- Domenico Viggiani http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Liste RBL
-Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gelpi Andrea Sent: Thursday, November 29, 2007 12:17 PM Attualmente sto usando le seguenti liste con risultati più che soddisfacenti. sbl-xbl.spamhaus.org dul.dnsbl.sorbs.net list.dsbl.org korea.service.net Prossimanente dovrò togliere sbl-xbl.spamhaus.org in quanto a pagamento per uso commerciale. Cavolo! E' la lista di gran lunga più efficace, queste sono le statistiche di un giorno tipico sul mio mailserver: 5425 zen.spamhaus.org 4180 UserUnknown 2306 Clean 724 SpamAssassin 274 Virus 31 dul.dnsbl.sorbs.net 27 DomainDoesNotResolve 7korea.services.net 2list.dsbl.org 2combined.njabl.org --- 6218 (20.88)Total SPAM (Avg SpamAssassin score) 274 Total Virus 12978 Total Piacerebbe anche a me se ci sono alternative efficaci. -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Firewall virtualizzato
-Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Gabriele Scolaro Sent: Sunday, November 25, 2007 5:06 PM Segnalo questo articolo comparativo: http://linuxcult.blogspot.com/2007/11/seven-different-linuxbsd-firewalls.htm Io segnalo quest'altro: http://www.fsckin.com/2007/11/14/7-different-linuxbsd-firewalls-reviewed/ Saluti -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Smart Card, GnuPg e Linux
-Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Stefano Zanero Sent: Sunday, November 04, 2007 4:51 PM Una smart card non e', in genere, un supporto su cui tu salvi la chiave che hai gia': la sicurezza della smart card e' data dal fatto che la coppia di chiavi viene generata a bordo della chiave, e che la chiave privata non abbandona mai la carta. Questo significa che non ha senso trasferire sulla carta la chiave che gia' usi. Puoi spiegarti meglio? Ho appena acquistato delle SMartCard eToken Aladdin e li uso per memorizzare i certificati generati dalla CA integrata di Checkpoint, come sistema di autenticazione per SecurClient (VPN). Allo stesso modo, penso di usarli per i certificati della CA di Microsoft, per autenticazione al dominio/firma digitale/crittografia. Forse la differenza è questa: nel primo caso, il certificato nasce fuori dalla SmartCard e lo importo su di essa, tramite l'applicazione di gestione, poi distruggo l'originale; nel secondo caso, il certificato viene generato direttamente sulla SmartCard tramite le API CSP. E' giusto? Se si, dove sbaglio nel primo caso? Grazie Domenico Viggiani (CS) http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Comunicazione Ministero Interno
From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Sanata Sent: Tuesday, September 25, 2007 11:15 AM Domenico Viggiani ha scritto: la società in cui lavoro ha appena ricevuto una comunicazione del Ministero degli Interni, con le specifiche per la implementazione di un sistema di mascheramento di alcuni siti, a scopo di prevenzione di reati pedopornografici. Maaa... mascheramento a livello di IP/nome di dominio? No perche' nel caso ci sarebbe seriamente da chiedersi se i nostri beneamati legiferatori sanno di cosa parlano. Purtroppo non posso postare il contenuto del documento ricevuto perché si tratta di un fax (una TIF). Comunque, riassumendo, è richiesto di implementare un sistema per bloccare l'accesso a siti, specificati tramite filtro su un elenco di URL (con FQDN o IP) e di indirizzi IP, da scaricare in formato CSV tramite un webservice messo a disposizione dal centro, via HTTPS autenticato tramite certificato. Per favore, se qualcuno mi può dare una mano circa l'effettivo obbligo o semplicemente per sapere se qualcuno che lavora presso ISP ha già ricevuto comunicazioni simili, sarei molto contento! -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: R: [ml] Mail server question
-Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of riccardo diago Sent: Monday, September 17, 2007 8:57 PM Se ad ora dovessi implementare un mail server penso che userei una mutua autenticazione e consentirei solo alla macchina interna di prelevare le emails dal relay. Il mio dubbio è ora quale può essere la strategia migliore per implementare questo tipo di struttura?o per essere più chiari cosa fareste per realizzare una struttare del genere? E soprattutto mi chiederei: come si realizza con Exchange? Chi vuol capire, capisca... ;-) -- DV http://www.sikurezza.org - Italian Security Mailing List
RE: [ml] Mail server question
Sencondo la teoria il relay fa tutto il lavoro sporco e poi inoltra le emails al server primario. Tutti i testi che ho consultato dicono la stessa cosa. Domanda1 : Ma se è il relay ad aprire la connessione dalla DMZ alla LAN non è concettualmente sbagliato?. Cioè, non è errato che si stabilisca una connessione da una sottorete Untrusted and un Trusted? Si ma si fa abitualmente così! Del resto, oggidì, sono talmente tante le necessità di connessione da Internet verso risorse interne che si discute se abolire il concetto di DMZ. Domanda2: Non è + corretto fare in modo che sia il mail server primario ad aprire la connessione sul relay e scaricarsi tutta la posta? Sarebbe bello ma... vd sopra! -- Domenico Viggiani CS http://www.sikurezza.org - Italian Security Mailing List