Re: [ml] Re: Parere su login home banking
Tra l'altro il fatto di cifrare solo il passaggio delle credenziali in HTTPS in ragione di una presunta maggiore velocità, oggi con i certificati extended è doppiamente colpevole. Alla fine il certificato nella URL con il suo colore verde (e qui sfido chiunque a dirmi che si capisce poco), dà un senso di sicurezza a tutta la navigazione. Che di fatto è il significato di HTTPS. Poi se uno ci clicca sopra vede anche il rassicurante nome di Paypal, Microsoft, o altri Big. Insomma Twitter, Facebook, Google oramai viaggiano (con il loro traffico) sempre in HTTPS e volete dirmi che un portale del cavolo di una banca anche grossa non può reggere un HTTPS? Di tecnologia ce ne è anche troppa, ma di formazione dell'utenza poca. E mi viene il dubbio anche di qualche tecnico troppo geekoso e poco realista. Tutt dalla zia pina ottantenne per capire i problemi veri quali sono eh! Organizzo un Bus? :-) I miei 1,5 cents http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] dati possibilita di recupero
Guarda che se lo formatti un paio di volte con una sovrascrittura di zeri va più che bene! http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Security Conference (gratuite) di spessore
Il 12 gennaio 2012 23:24, Dario Lombardo dario.lomba...@libero.it ha scritto: 2012/1/11 Roberto Scaccia roberto.scac...@gmail.com Dopo essermi sorbito per l'ennesima volta l'ennesima conferenza di sicurezza in cui presunti security expert vendevano le solite scatole, eccomi a voi con la fatidica domanda: Esistono ad oggi convegni o conferenze gratuite in campo Security che siano di un certo spessore e non solo per manager/dirigenti annoiati (e anche ignoranti)? Non ho capito se intendi solo nel panorama italiano o internazionale. Del primo francamente non so dirti molto, mentre nel secondo posso citarti quelle che ritengo le principali: - blackhat - cansecwest affini - defcon - hitb - CCC Ma la lista e' certamente incompleta. Intendevo italiane e gratuite. Blackhat da quanto mi risulta non lo è...e comunque, purtroppo non è in Italia! Sarebbe carino se qualcuno potesse fornire un servizio di agenda sempre aggiornata sui diversi eventi, assegnando anche le stellette all'evento. http://www.itsecurityevents.com/ Non è molto aggiornato! Da gennaio in poi non ne segnala una! Ok grazie, ma forse cercavo qualche cosa di più professionale :-) Ma niente stellette :). http://www.sikurezza.org - Italian Security Mailing List http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] trojan distribuito da kataweb.it
... vallo a spiegare ai vertici societari (dal Q in su) che se non hanno (e vanno in giro) con il portatile supercompatto / smartphone stra-figo / tablet ultimo arrivato non sono .. megavertici. Ah, non posso che essere d'accordo con te. Approccio poco serio alla sicurezza. Ci si pensa solo quando i buoi sono fuori dal recinto! http://www.sikurezza.org - Italian Security Mailing List
[ml] Security Conference (gratuite) di spessore
Dopo essermi sorbito per l'ennesima volta l'ennesima conferenza di sicurezza in cui presunti security expert vendevano le solite scatole, eccomi a voi con la fatidica domanda: Esistono ad oggi convegni o conferenze gratuite in campo Security che siano di un certo spessore e non solo per manager/dirigenti annoiati (e anche ignoranti)? Sarebbe carino se qualcuno potesse fornire un servizio di agenda sempre aggiornata sui diversi eventi, assegnando anche le stellette all'evento. grazie a tutti http://www.sikurezza.org - Italian Security Mailing List
Re: Re[2]: [ml] trojan distribuito da kataweb.it
Il 30 dicembre 2011 00:28, Marco X ms.securitybulle...@gmail.com ha scritto: No, ma si spera che una sicurezza aziendale ben precisa imponga un livello minimo di sicurezza su tutti i portatili dei dipendenti. Ovviamente questo non ? possibile farlo sui portatili dei consulenti. Questo ? il punto. Altrimenti si fa come in ambienti pi? seri: non si ammettono portatili di esterni, e al massimo ti porti una chiavetta che viene scansionata da personale interno. Poi ti installi quello che ti serve su PC aziendali! Ecco, il concetto di oggetto esterno non controllabile riporta tutto nell'ottica corretta: anche molti portatili aziendali vengono portati a casa e svolgono funzioni che possiamo definire promiscue. Poi per? questi stessi portatili tornano felici e contenti nella rete aziendale. Quindi, il concetto non ? consulenti vs dipendenti ma semplicemente gestione del rischio aziendale (anche minima) vs nessuna gestione. Non conosco i retroscena della vicenda kataweb.it, ma serebbe interessante sapere qual'? stato il reale vettore. Certo, quello che dici è più che corretto. Ovviamente nella mia idea i portatili dei dipendenti non escono dal confine di sicurezza, altrimenti sono in territorio nemico e diventano equivalenti ai portatili dei consulenti. E' anche vero che se lavori in una struttura in pianta stabile e la struttura ti mette a disposizione un desktop (e non un portatile) probabilmente non sarai tentato di portartelo a casa! Insomma, il portatile, secondo me, induce all'attraversamento del confine di sicurezza, sia da parte degli interni che degli esterni. Quindi o lo vieti, oppure devi gestire il flusso in entrata e controllarli ogni volta che entrano. Di solito li vietano e basta... http://www.sikurezza.org - Italian Security Mailing List
Re: Re[2]: [ml] trojan distribuito da kataweb.it
M... e un portatile compromesso in uso ad uno dei tantissimi dipendenti menefreghisti no? Ah gi?... dimenticavo! I dipendenti sono tutti bravi :-) No, ma si spera che una sicurezza aziendale ben precisa imponga un livello minimo di sicurezza su tutti i portatili dei dipendenti. Ovviamente questo non è possibile farlo sui portatili dei consulenti. Questo è il punto. Altrimenti si fa come in ambienti più seri: non si ammettono portatili di esterni, e al massimo ti porti una chiavetta che viene scansionata da personale interno. Poi ti installi quello che ti serve su PC aziendali! http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] sicurezza applicazione.
Oltre a tutte le soluzioni di network security che ti sono state date (tutte valide si intende), io se fossi in te con un DB privato acceduto da una webapp in DMZ, farei anche una bel controllo di Software Security. Controlla il tuo codice per essere sicuro che non sia possibile effettuare degli attacchi di SQL Injection o di XSS. In generale un controllo degli input basati su una white list di caratteri ammissibili e una limitazione della lunghezza massima degli input potrebbero già migliorare la situazione. Però c'è un mondo attorno alla Software Security. Fatti un giro su Google e poi magari posta quesiti mirati in questa ML :-) ciao http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] 1password+dropbox: opinioni
Io uso KeePass su Dropbox. Sinceramente, se qualcuno ha interesse nel craccarti un AES256 o più, vuol dire che sei talmente importante da poterti permettere soluzioni più avanzate che Dropbox! Quindi per me (e penso anche per te) è un rischio accettabile. Il vero problema è se escono versioni di KeePass o 1Password con implementazioni bacate. Inutile pensare alla decifratura di AES256 se poi lasciano (dico per dire eh) un file temporaneo con i dati in chiaro. Spero che ciò non avvenga mai! roberto http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] libro hackers 6.0 e wep
Io se fossi in te non lo comprerei in italiano. Le traduzioni di solito (tranne qualche raro caso) di libri tecnici sono pessime. Se non ricordo male una volta ho comprato uno di questi hacker x e mi sono fatto risarcire dalla casa editrice (con tante scuse da parte loro). Per il resto WEP sarà anche vecchio ma fa parte della storia e come tale va conosciuto e studiato. Secondo me questo libro è come il sussidiario delle scuole elementari. Fa bene anche per qualche ripasso ogni tanto eh :-) http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Password extraAscii
Concordo con le vostre osservazioni. Per un cinese sono più normali caratteri extraASCII che ASCII :-) Però riferendomi a popolazioni che usano come base l'ASCII, e immaginando che la decisione di adottare alcuni caratteri piuttosto che altri riguardi una platea di utenti e non il singolo, direi che uniformarsi alla media (anzi un po' di meno) aiuta ad evitare il famigerato fogliettino. Tipicamente l'uso di caratteri extraASCII in Italia (così ristringo il campo), comporta: a) ricordarsi il particolare carattere (non scontato per u-tonti) b) capire come fare quel determinato carattere sulla tastiera (non scontato anche per normali utenti) Ovviamente i miei 2 cent P.S. le persone si segnano il PIN del Bancomat, figuriamoci! http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Password extraAscii
Ma che senso ha? Posso capire i segni di interpunzione, ma più si complica la password per la memorizzazione umana, più c'è il rischio che l'utente se la scriva sul fogliettino. A questo punto meglio le passphrase derivate da libri, o altro. Magari con qualche variante lettera/numero. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Re: DDoS del 13 febbraio, nessun commento?
Certo che bisogna essere proprio fe@@i per fare degli attacchi dal proprio IP di casa. C'è gente che fa queste cose e non sa nemmeno la differenza tra UDP e TCP! mmm...e come fai a dire che (cosa sicuramente vera) c'è gente che ha fatto attacchi da casa?!? Presumo abbiamo spoofato IP da tutto il mondo... In ogni Presumi male :-) Bastava andare sulle IRC e osservare i commenti di quelli che partecipavano. C'erano commenti del tipo ma che differenza c'è tra TCP e UDP? Oppure ma devo usare qualche accorgimento o posso farlo partire da casa? E l'altro che gli suggeriva ma no ti conviene usare una VPN e la risposta che cos'è una VPN? :-D caso il bello di LOIC (se bello si può definire) è che si tratta di un tool idiot-proof in perfetto stile script-kiddies...ergo nada conoscenze...premi due bottoni ed il gioco è fatto... :) Il bello e il brutto. Se non lo fai in modo opportuno sei rintracciabile e, almeno in linea teorica, perseguibile. Comunque è decisamente un nuovo fenomeno... http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] DDOS contro i siti anti-wikileaks
Interessante il link per l'analisi. I sorgenti che indichi però non sono la versione analizzata, ma una più vecchia (o diversa). Su SF non ci sono i sorgenti più recenti ;-) Se fai partire la versione 1.0.4 nella form iniziale non c'è nemmeno la possibilità di settare il server IRC. Ma potrei sbagliarmi... http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Re: DDOS contro i siti anti-wikileaks
La versione più alta con i sorgenti su SF è la 1.0.9, mentre dal sito linkato nel post precedente si vede che la versione è la 1.1.1.9. Nei sorgenti infatti non vi è traccia di connessioni a server IRC per il CC. E comunque non mi fido dei sorgenti su SF, meglio il reverse engineering del binario ;-) http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] DDOS contro i siti anti-wikileaks
E' sviluppato in .NET. Basta scaricarlo e fare un po' di reverse engineering con i numerosi tool per .NET. E guardare attentamente cosa faoltre a quello dichiarato. Ma l'avranno anche offuscatocredo! http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Un'altro standard, un'altro algoritmo: 4G - ZUC
Suvvia, non vi accapigliate su questioni meramente tecnologiche. A chi giova realizzare un protocollo/algoritmo supersicuro? Al povero utente? Ma chi se ne frega del povero utente Avete idea di quanto faccia comodo un protocollo con qualche bella backdoor che magari è solo una debolezza intrinseca dell'algoritmo messa lì ad arte? Certo che lo sapete... 4 mesi sono un infinitesimo per un processo serio di review. Evidentemente ci sono interessi ben diversi che mirano ad avere un algoritmo gestibile. Che poi nei centri di ricerca ci si gingilli è notorioSono tutti dei bambinoni che non hanno nulla da fare tutto il giorno. Vuoi mettere qualche bel programmatorone in C+++ che ti scrive codice dalla mattina alla sera? Per cortesia, siamo seri, e cerchiamo di capire bene i ruoli. Le review degli algoritmi non si fanno guardando il codice. Ci sono dimostrazione, anche formali, e background matematici che non sono alla portata dell'informatico qualunque. Tutto questo IMHO :-) http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Agosto=Ferie ma a nessuno stanno a cuore le DLL?
Ho scritto un post (http://geekinfosecurity.blogspot.com/2010/08/dll-hell-come-back-share-di-rete-in.html) in merito a questo nuovo (mica tanto) vettore di attacco. Io credo che una buona strategia per limitare il fenomeno possa essere quella riassunta dai passi qui di seguito: 1) assicurarsi che il SafeDllSearch sia abilitato su tutti gli host della rete; 2) utilizzare la KB (http://support.microsoft.com/kb/2264107) Microsoft per disabilitare il caricamento delle DLL su share di rete; 3) identificare le applicazioni che non sono di Microsoft; 4) nell'insieme precedente identificare le applicazioni aziendalmente più utilizzate; 5) analizzare il caricamento delle suddette applicazioni mediante ProcMon e identificare le applicazioni vulnerabili; 6) di tali applicazioni contattare gli sviluppatori per delle eventuali patch; 7) attendere che siano disponibili anche gli aggiornamenti dei diversi produttori (come Microsoft) che implementano il caricamento delle DLL in modo Safe Ovviamente è solo una proposta e anzi mi piacerebbe migliorarla anche con i vostri commenti. Di seguito al post c'è anche il link per una lista non ufficiale delle applicazioni che sono vulnerabili a questo vettore. Eccolo: http://www.corelan.be:8800/index.php/2010/08/25/dll-hijacking-kb-2269637-the-unofficial-list/ Roberto http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Agosto=Ferie ma a nessuno stanno a cuore le DLL?
Aggiungo che sanare le applicazioni affinché usino solo DLL in path trusted è un bagno di sangue. Bisogna enumerare tutte le applicazioni nei sistemi, capire quali DLL utilizzano e testarle dopo aver disabilitato il caricamento della DLL dalla directory corrente. Insomma una vera tragedia! Devo dire che l'attacco però è ingegnoso ed essendoci già tutto il necessario su Metasploit, immagino che nelle realtà aziendali qualcuno starà già facendo una bella incetta di materiale interessante :-) http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Cloud computing e privacy
Ma il foro competente in caso di problemi legali qual'è? New York? Qui non si tratta di aspetti tecnologici, ma di come poter gestire eventuali contestazioni sul piano legale. Con un vendor estero e con sede legale all'estero (HQ), la vedo difficile e complicata. E sicuramente quando la cosa scalerà agli uffici legali, qualcuno si domanderà Ma non potevamo scegliere qualche azienda italiana?. Continuo ad essere perplesso, e forse lo scarcagnato sistemista in house ha ancora un suo perché. Almeno se le cose vanno male, sapete con chi prendervela... Sarò cinico (e magari anche baro) ma la penso così :-) http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] openssl per sign/verify di file da 4GB
Ma firmare uno SHA1 della ISO e metterla nel p7m? Non è più semplice? Ti risparmi anche il diff di due file di 4 Gbyte A quel punto ti basta solo confrontare lo SHA1 calcolato sul file, con quello ottenuto (previa verificare della firma) dentro il p7m. Ma magari non ho capito... ciao r. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Defacement da Kam_06
Per prima cosa metterei una pagina di cortesia del tipo Stiamo aggiornando il sito In questo modo limiti il danno di immagine. Poi analizzi quello che è successo (magari su una copia) e ripristini il tutto. Chiaramente esiste un intervallo di tempo in cui il tuo sito continuerà ad essere vulnerabile e quindi riattaccabile. Ma non credo che qualcuno si azzardi a rifare un defacementsarebbe come se l'omicida tornasse sul luogo del delitto. Poco saggio! La risposta è ovviamente generica. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Re: [BUG] Vodafone.it - Passaggio in chiaro di username e password tramite metodo GET
Scusami evidentemente mi sfugge il punto ma Il 30 maggio 2010 19.43, Alessandro Romani alessandro.rom...@vivanet.it ha scritto: Marco, hanno chiarificato ampiamente Stefano e Marcello ciò che io ritengo un bug in senso allargato o, per essere più precisi, una pessima scelta implementativa. Dal mio punto di vista paranoico avrei preferito una scelta molto più restrittiva: 1) Form inviato in POST (come, d'altronde, si insegna sulla guida base di HTML). E questo mi sembra più che sensato. 2) Hash della password sempre e comunque, a prescindere dalla presenza di un certificato SSL. Scusa ma l'hash dove lo calcoli? Puoi fare un Javascript che si calcola l'hash dei campi prima di inviare la GET/POST con l'hash appunto. A quel punto fai un match dell'hash che ti è arrivato dal client e l'hash memorizzatoMa a questo punto la tua credenziale diventa l'hash e non più la password. E allora basta sniffare l'hash! Del resto se qualcuno può sniffare sulla tua macchina il traffico vuol dire che con buona probabilità è un amministratore e allora sei già nelle mani del nemico ;-) Questo per il semplice motivo che preferisco avere più livelli di protezione piuttosto che un unico point of failure. D'altra parte sono già noti, in the wild, attacchi man in the middle in cui colui che sta nel mezzo può dichiarsi Vodafone.it, sniffare il contenuto e reinoltrare la richiesta al sito leggittimo comportandosi, di fatto, da proxy. Esistono gli Extended Certificate che sono ben visibili dagli utenti. Se poi l'utente è talmente tonto da cascare in siti di phishing oppure la rete è talmente bucata che piazzano sniffer ovunque o peggio fare MTM, non è che lo puoi imputare al GET/POST :-) Ma mi viene il dubbio che forse mi sono perso qualche cosa http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Re: [BUG] Vodafone.it - Passaggio in chiaro di username e password tramite metodo GET
Scusami evidentemente mi sfugge il punto ma Il 30 maggio 2010 19.43, Alessandro Romani alessandro.rom...@vivanet.it ha scritto: Marco, hanno chiarificato ampiamente Stefano e Marcello ciò che io ritengo un bug in senso allargato o, per essere più precisi, una pessima scelta implementativa. Dal mio punto di vista paranoico avrei preferito una scelta molto più restrittiva: 1) Form inviato in POST (come, d'altronde, si insegna sulla guida base di HTML). E questo mi sembra più che sensato. 2) Hash della password sempre e comunque, a prescindere dalla presenza di un certificato SSL. Scusa ma l'hash dove lo calcoli? Puoi fare un Javascript che si calcola l'hash dei campi prima di inviare la GET/POST con l'hash appunto. A quel punto fai un match dell'hash che ti è arrivato dal client e l'hash memorizzatoMa a questo punto la tua credenziale diventa l'hash e non più la password. E allora basta sniffare l'hash! Del resto se qualcuno può sniffare sulla tua macchina il traffico vuol dire che con buona probabilità è un amministratore e allora sei già nelle mani del nemico ;-) Questo per il semplice motivo che preferisco avere più livelli di protezione piuttosto che un unico point of failure. D'altra parte sono già noti, in the wild, attacchi man in the middle in cui colui che sta nel mezzo può dichiarsi Vodafone.it, sniffare il contenuto e reinoltrare la richiesta al sito leggittimo comportandosi, di fatto, da proxy. Esistono gli Extended Certificate che sono ben visibili dagli utenti. Se poi l'utente è talmente tonto da cascare in siti di phishing oppure la rete è talmente bucata che piazzano sniffer ovunque o peggio fare MTM, non è che lo puoi imputare al GET/POST :-) Ma mi viene il dubbio che forse mi sono perso qualche cosa http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] criptazione dati in db e relativa lettura
Forse non è molto chiaro quello che intendo. Il problema dei self-signed è che non sono firmati dalla mia CA. Non basta distribuire la chiave pubblioca della mia (root o intermediate o entrambe, dipende dalle applicazioni) CA, i certificati devono anche essere firmati da essa. Se sono self-signed non mi serve la CA tout court :-) Rispondo solo per ulteriore chiarezza (non vorrei intasare la ML) L'unico problema con i Self signed è che possono essere generati da chiunque abbia accesso amministrativo ai sistemi. Certificati generati con una CA implicano che le firme debbano essere apposte dai detentori delle chiavi private della CA o SubCA. Solo questo. Per il resto ovviamente sono equivalenti. Forse è proprio questa maggiore strutturazione spesso a dimenticare le revoche ciao roberto http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] criptazione dati in db e relativa lettura
Dipende come gestisci l'aggiornamento e la distribuzione della CRL. Se lo fai in modo trasparente e automatico non hai problemi, altrimenti sì. Probabilmente da te sono più furbi :-) Per quello che riguarda i self-signed, non sono d'accordo. Anche in assenza di CRL, una CA ti permette un trust basato su catene di fiducia e quindi basta distribuire i root (o il root) certificate. Con i self signed, in alcuni casi, rischi di dover trustare esplicitamente il certificato. Su VISTA per esempio un self-signed non viene più inserito nelle autorità di certificazione radice, ma in quelle intermedie. Insomma non è proprio la stesa cosa. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] criptazione dati in db e relativa lettura
Ti rispondo nei vari punti all'interno della tua mail Il 29 aprile 2010 04.00, Elettrico elettr...@diciannove.net ha scritto: grazie a tutti quelli che hanno risposto. chiarisco meglio cosa intendevo nella mia precedente mail: - vi sono N medici - ogni medico ha una serie di dati che vengono memorizzati su di un server - alcuni di questi dati devono essere criptati in maniera che siano decriptabili solo dal medico fin qui non ci vedo grossi problemi, anche se ancora non sono arrivato a decidere l'implementazione la (de)criptazione in questo caso è semplice poichè parliamo di un attore una chiave. il complicato - almeno per me - arriva ora: Generi una chiave simmetrica per ogni sottoinsieme di dati che devono essere acceduti da diversi medici: Sk. Questa chiave simmetrica sarà cifrata N volte, tanti quanti sono i medici/supervisori/etc. che vi devono accedere. Tale cifratura verrà fatta con la chiave pubblica dell'utente che vi dovrà accedere. - ogni N medici vi è un supervisore - tale supervisore deve poter vedere tutti i dati dei medici sotto di lui, eventualmente anche decriptare la parte criptata Come detto sopra. Ammettiamo che Sk sia la chiave simmetrica, avrai Epk1, Epk2,..., Epkn chiavi pubbliche dei medici, poi EEpk1 per il supervisore e EWorldpk per l'organismo centrale. La cifratura del dato dovrà essere fatta con Sk ed Sk dovrà essere cifrato con il set di chiavi pubbliche sopra esposto. Quindi se M è il dato da cifrare il tuo pacchetto di dati cifrato M1 sarà: M1 = Sk(M)+Epk1(Sk)+Epk2(Sk)+...+Epkn(Sk)+EEpk1(Sk)+ EWorldpk(Sk) (dove + è la concatenazione) Per la decifratura: Supponiamo di avere un header del messaggio che ti dica dove finisce il dato cifrato e dove iniziano le cifrature della chiave simmetrica, ti conviene anche aggiungere un prefisso alla chiave simmetrica Sk noto tipo hello, in questo modo quando dovrai decifrare il dato per capire se la chiave privata (corrispondente alla chiave pubblica con cui è stato in precedenza cifrata Sk) che stai utilizzando è valida o meno, dovrai solo vedere se esiste una cifratura di Sk tale che il prefisso è hello. Se esiste estrai Sk e decifri M. Oppure puoi aggiungere il Fingerprint della chiave privata e fare un match (ti conviene perché è meno costosa di una decifratura asimmetrica)...oppure valuta tu quello meno costoso e più sicuro :-) L'idea è questa. Però ti conviene vedere lo schema che usa PGP o GPG per la cifratura multipla con chiavi asimmetriche. Questo che ti ho appena scritto è in linea generale l'approccio. - vi è un organismo centrale che deve poter vedere tutti i dati, eventualmente anche decriptare la parte criptata ne consegue che ogni dato criptato lo deve essere usando non solo la chiave del medico ma anche quella del supervisore e dell'organismo centrale. qui mi perdo, poichè l'idea di usare una chiave random si perde nel momento in cui i dati sono divisi in sottoinsiemi, e soprattutto questi sottoinsiemi variano, ovvero il supervisore 1 potrebbe accedere ai dati dei medici 1, 2 e 3 oggi, ma domani potrebbero assegnargli anche il medico 4. Nei casi in cui i sottoinsieme varino ti basta unicamente aggiungere al dato cifrato un nuovo Epkm(Sk). Per tutti i dati ovviamente. Non è una ricifratura. Devi solo estrarre Sk e appendere un nuovo pacchetto. la costruzione del tutto probabilmente si appoggerà a vari componenti, ma la maggior parte sarà scritta in php/mysql, e non mi pare di trovare grandi soluzioni rispetto ai miei bisogni. Non mi sembra che MySQL abbia API native per la cifratura. Se MySQL è un MUST allora sei nei guai :-) oppure ti divertirai molto. Implementare queste cose è molto gustosopoi quando dovrai fare i test e andrai in produzione un po' meno perché se qualche cosa non funziona son dolori. Mi raccomando dotati di qualche strumento di Unit Testingfondamentali in questi casi per gestire i cambiamenti. ciao e spero che queste mie considerazioni ti siano utili. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] criptazione dati in db e relativa lettura
Il 23 aprile 2010 16.58, Giuseppe Gippa Paterno' gpate...@gpaterno.com ha scritto: Ciao! Premesso che non sono un programmatore (leggo e scrivo accozzaglia di codice :) e che non sono un DBA, mi permetto di dire la mia. Io sviluppicchio abbastanza ma non sono un DBA... Anche se in teoria usare API sul DB per permettere la crittografia potrebbe risultare simpatico, questo IMHO porta due problemi. Da un lato la possibilita' di non avere un vendor lock-in sui dati del DB, ovvero se si usano le API del DB sara' piu' difficile poter astrarre codice e dati da quel determinato vendor di RDBMS. L'altro che l'uso di un Vero, ma se ti affidi ad un DBMS blasonato, nessuno ti obietterà sulla soluzione di cifratura. Altrimenti dovrai spiegare riga per riga il tuo codice e allora sì che son dolorie ti devi augurare che tutto funzioni! Intendiamoci: mica devi per forza affidarti a Oracle. Magari Postgres, ma reinventare la ruota no. eventuale ORM, ad esempio hibernate (Java) o ActiveRecord (Ruby), ci permette di astrarre il codice dalla implementazione del DB, ma penso che ci introduca non poche difficolta' se vogliamo usare query SQL sepcifiche. Da quello che sto vedendo ultimamente, basandomi solo sulla Non sono query specifiche, sono colonne di tabelle o tabelle cifrate dallo stesso DBMS e in modo trasparente. Certo che se l'ORM non mappa però alcune API la vedo difficile. Ma se non ricordo male anche con Hibernate avevi la possibilità di eseguire classiche SQL! esperienza personale, c'e' un certo proliferarsi di webapp che usino hibernate (o altri ORM) e personalmente lo trovo alquanto utile. Appoggio in pieno quello che dice Alor, cioe' l'uso di un sistema pgp-like per criptare la chiave simmetrica (K). La chiave K pero' deve essere ricodificata in caso l'utente cambi password, ma introduce nuove problematiche con eventuali sistemi di Web-SSO (es: Sitemider, Yale CAS). La cosa ideale IMHO e' quello che dice Fausto, cioe' l'uso del device crittografico che ha un utente (smartcard). Al momento pero' non mi risultano che esista nessun modo per decodificare in remoto, ovvero il fatto che via web posso demandare l'utente finale a decriptarmi un dato temporaneo via X.509. In realta' sto lavorando anche in questo senso, ma non penso ci siano implementazioni commerciali o OSS (ben felice di essere smentito pero'! :). La cifratura la puoi fare sia con una chiave pubblica PGP che con una chiave pubblica RSA su Smartcard o USB o dove vuoinon cambia molto. Certamente la chiave privata è più al sicuro in una smartcard che in un file. Puoi disaccoppiare le credenziali di autenticazione da quelle per la cifratura, etc.. L'importante è che il dato cifrato dalla chiave pubblica (PGP o RSA) non sia il dato nel DB ma la chiave simmetrica di cifratura. Questo permette a diversi utenti di decifrare lo stesso dato. Poi se vogliamo dirla tutta puoi anche utilizzare dispositivi PKCS#11 per lo store di chiavi di cfratura, come HSM e robe simili. Ritornando con i piedi per terra penso che dovresti criptare i risultati dei dati sensibili con una chiave simmetrica random, che sia essa unlockata per ogni utente (cosa migliore, see Alor), oppure run-time in qualche maniera sicura dall'applicativo in maniera simile a quanto avviene per la crittografia dei dischi (es: truecrypt o luks). Per le implementazioni Java IMHO e' molto interessante Bouncy Castle [1], che implementa anche OpenPGP in Java senza bisogno di appoggiarsi a GPG/PGP command line (come fanno in python/ruby tramite GPGME). Yes molto interessanti. Comunque rimango della mia. Per la cifratura, evita di farla tu applicativamente: i motivi per cui può fallire sono tanti ed il software che realizzi deve essere a prova di bomba. Affidati alle API del DBMS. Tanto poi il vero lavoro è costruire il layer sopra! Non ti scordare che ci sono pur sempre le macchine fotografiche per rubare un dato sensibile dal video, o le solite stampe che all'inizio l'utente non vuole, poi non si sa perché cambia idea e magari anche con il dato sensibile stampato sopra. E quindi cominci a stampare il nome dell'utente con il time-stamp, e via dicendo. Ovviamente IMHO :) Ciao ciao, Gippa [1] http://www.bouncycastle.org/ http://www.sikurezza.org - Italian Security Mailing List http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Monitoraggio I/O
FileMon è incluso da parecchio tempo in ProcessMonitor di sysinternals. http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx Ti consiglio, come già hanno fatto gli altri, di installare (basta copiarlo in realtà) questo piccolo programma ed effettuare un trace di tutto quello che succede sulla macchina. Un avvertimento: ProcessMonitor in alcuni casi fa l'hooking delle syscall del sistema, quindi potresti avere delle situazioni spiacevoli Se lo fai partire, cerca di farlo partire con il tracing disabilitato (/Noconnect). Poi inserisci i filtri necessari, in modo da ridurre il carico e attiva il tracing. Altrimenti potresti avere un server con il 100% di CPU. In quel caso difficilmente riuscirai a killare il processo e ti toccherà riavviare il tutto. Che su un server di produzione non è il massimo Ovviamente tutto questo su Windows. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Tool per il vulnerability assessment di siti Web
Il 23 novembre 2009 00.33, Luca Carettoni luca.carett...@ikkisoft.com ha scritto: On Saturday 21 November 2009, Roberto Scaccia wrote: Ai tempi avevo provato Nikto (non ricordo se fosse però la versione 2.0) ed era un po' troppo invasivo con troppi falsi positivi. Magari però nella versione 2.0 hanno migliorato qualche cosa. Nikto è un web server scanner e non un web application scanner. Non ha nemmeno senso considerarlo, visto il tipo di vulnerabilità a cui sei interessato. Mah...guardando tra i test che Nikto effettua c'è anche l'XSS, il ché sembrerebbe contraddire in parte quello che dici. Comunque sicuramente Acunetix è più Application, sono d'accordo con te. Grazie comunque delle info. Penso che mi orienterò su Acunetix. Mi sembra un buono strumento anche abbastanza usabile da persone non particolarmente esperte di Application Security. Roberto http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Tool per il vulnerability assessment di siti Web
2009/11/19 IT SICUREZZA itsicure...@yahoo.it: Prova nikto2 [1] e w3af [2] [1] http://cirt.net/nikto2 [2] http://w3af.sourceforge.net # Alberto Fontanella - itsicurezza0x40yahoo.it # http://klaatu.dia.unisa.it # http://klaatuproject.wordpress.com Ai tempi avevo provato Nikto (non ricordo se fosse però la versione 2.0) ed era un po' troppo invasivo con troppi falsi positivi. Magari però nella versione 2.0 hanno migliorato qualche cosa. Tu hai esperienza con Nikto in ambienti di produzione? No perché va bene che debbo fare un VA ma non voglio indurre dei DoS! W3af lo dovrò provare. Anche qui però non vorrei che fosse troppo invasivo. Grazie comunque per le info. Roberto http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Carte di credito (unicredit)
Spesso le banche bloccano, senza tanti perché, Carte di Credito e Bancomat solo perché sono state utilizzate in ATM con i quali sono state clonate altre carte. Ti chiamano e ti dicono che devi cambiare la carta. Un approccio difensivo che gli permette di evitarsi noieLORO. Sulla trasversalità, IMHO, credo sia una politica abbastanza diffusa. E' più costoso per loro indagare sulle cause di una clonazione che risarcire il cliente clonato e cambiare le carte a tutti gli altri... Comunque se qualcuno ha notizie in senso diverso http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Cancellazione definitiva dati da HD
A meno che tu non sia una spia con segreti incredibili: Distro linux live + terminale + dd if=/dev/zero of=/dev/sdx ovviamente l'ultima istruzione quante volte vuoi. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Re: www.poste.it
Gerardo dovevi andare tu in TV e leggere questa stessa mail (tranne ovviamente alcuni distinguo). Ma purtroppo non sempre si ha l'uomo giusto nel posto giusto al momento giustoe con il ruolo giusto. Ti stai facendo onore, dimostrando grande onestà intellettuale. Resta la domanda!...ma chi è così folle da fare un defacement sul sito di Poste Italiane e scrivere un messaggio in perfetto italiano, sapendo che vi ronzano attorno praticamente tutte le forze di polizia? Un pazzo? Ovvio che la risposta non ci sarà e lo scopriremo, forse, più avanti nella storia. Roberto http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] www.poste.it
Certo che scrivere una rivendicazione in perfetto italiano non mi sembra una mossa strategica valida. Almeno qualche erroruccio per simulare il solito hackerone dell'EST ;-) Comunque la strategia di minimizzare l'accaduto paga solo con l'uomo qualunque, con i tecnici no. Credo che Poste.it la figuraccia l'abbia fatta soprattutto per i servizi professionali di sicurezza che offre. Costabile è galantuomo e penso che al momento sia un po' sotto pressione. Aspettiamo il momento in cui esibiranno la testa dell'hacker al pubblico ludibrio. E comunque 1000 defacement al mese è una cifra irrealistica. Ma chi glielo ha preparato il comunicato al responsabile maximo della security poste? Ma dei modelli Word con delle lettere precompilate per ogni evento no? Scherzo ovviamente. Speriamo che l'accaduto serva un po' a tutti per migliorare i livelli di sicurezza. Pongo invece agli amici della lista un quesito. Per evitare accadimenti del genere, si potrebbe ipotizzare di sviluppare una piccola applicazione schedulata ogni tot minuti (con intervallo piccolo a piacere) che controlli la consistenza degli hash della web root del sito? Nel caso in cui questa venisse a mancare, sostituirebbe il tutto con una pagina di cortesia? Che ne pensate? Tipo tripwire (per chi se lo ricorda)... http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Dati su chiavetta usb.
Guarda questa chiave USB: https://www.ironkey.com/basic Secondo me fa al caso tuo. Se non ricordo male non installa nulla sul PC dell'utente e comunque anche se lo fa è trasparente. Inoltre è anche certificata FIPS che non guasta. IronKey devices do not require any software or drivers to be installed, and even work on Windows XP and Vista without administrator privileges. They deliver drag-and-drop encryption, plug and play simplicity, and intuitive encrypted backup, which help to minimize the total cost of ownership. Onboard security software cannot be tampered with or removed. Each IronKey device has a unique, easy-to-read serial number, making it simple to track and inventory drives. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Hardware firewall vs software firewall
Il giorno 26 luglio 2009 23.14, Luca Berrabl...@comedia.it ha scritto: On Sun, Jul 26, 2009 at 03:11:03PM +0200, Samuele wrote: Buongiorno a tutti, scrivo per chiedere un vostro parere obiettivo riguardo alla sicurezza delle soluzioni di firewall fatte tramite software comparate alle appliance tipo sonicwall, checkpoint ecc. hai veramente gia' detto tutto tu. :P Mhhh. Effettivamente hai detto tutto tu. Ma aggiungerei che spesso la sicurezza percepita è fattore importante tanto quanto la sicurezza effettiva. Mi spiego: nel caso di firewall software ogni minimo problema sarà imputato dal cliente a te, mentre in quello hardware potrà succedere la stessa cosa ma tu potrai elegantemente ridistribuire la responsabilità sul pezzo di ferro. Purtroppo i clienti non hanno le basi di sicurezza informatica per discernere e capire che una soluzione software è forse migliore e si lasciano incantare dalle lavatrici filtratutto. Comunque anche la soddisfazione del cliente e la sicurezza percepita è un aspetto che va tenuto in considerazione. Quando dietro ad un pezzo di ferro c'è un nome altisonante dal punto di vista delle responsabilità di sta tutti più tranquilli. Sbagliato ma vero. Altrimenti perché tutti si comprerebbero l'Open Source RedHat, IBM e altre menate del genere? ciao http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Inizio nella sicurezza e skill lavorative
Il giorno 22 luglio 2009 11.21, Marco Erminimarco.erm...@gmail.com ha scritto: 2009/7/21 Roberto Scaccia: [...] Ti faccio un esempio: per essere un network security expert devi prima essere un esperto di reti; analogamente per la sicurezza applicativa; per fare l'auditor non devi essere esperto di nulla :-) basta imparare un tomo allucinante a memoria e molto vaporware da somministrare alle aziende! Intuisco l'allusione sarcastica :-) comunque a parte le battute, gli auditing possono essere estremamente utili, e in molte circostanze sono il modo in cui viene introdotta un po' di security in posti dove non ce n'era per nulla. Sì certo, ovviamente era sarcasmo gratutio. Un buon auditor serve, eccome! Peccato che diverse volte ho visto persone scarsamente qualificate, ma questo vale un po' per tutti i campi. Ci sono molti modi di fare il network security expert, ed ho conosciuto venditori di vapore anche in questo mondo - così come ho conosciuto auditor con i piedi per terra che sapevano non solo fare il loro lavoro, ma avevano un'occhio alla sicurezza reale. Tutto dipende dal background e dalla persona che lo fa. Certo tutto è relativo. Però le miriadi di certificazioni (di qualità, ISO 27001, etc) pongono gli auditor in un contesto più procedurale/organizzativo che tecnico e questo scatena spesso delle politiche di selezione del personale non proprio ottimali e obiettive. Diverso è il caso di un tecnico che è oggettivamente meglio valutabile per le sue competenze. Il lavoro di auditor può essere molto interessante, utile, e spesso è indispensabile, soprattutto se devi essere compliant con un sacco di cose, tra PCI, SOX, HIIPAA, cippe e lippe varie. E di volumi ce ne sono più di uno da conoscere ;-) Se si vuole fare al meglio il proprio mestiere c'è sempre un altro libro da leggere. Diverso è se vuoi fare il White/Black-Hat. Lì effettivamente sei un po' in ritardo...tipicamente sono professioni che richiedono tempo e che quindi iniziano nella tenera età dei 15 :-) E comunque un conto è essere White Hat, un altro è essere un esperto di sicurezza. Sono due approcci diversi. Qulcuno diceva Hacker vs Engineer. Per darti un idea nel campo della security di va dall' Hacking, campo estremamente tecnico, fino all'auditing, estremamente procedurale. In mezzo c'è di tutto. Anche questa mi sembra un'idea molto romantica dell'hacker. Forse non sono molto informato ma non assumerei mai un quindicenne, legislazione del lavoro a parte :-) Veramente io ho detto che iniziano a 15 anni ;-) Anche io non lo assumerei a 15...ma a 18 sì ;-) Poi si fidanzano, o peggio si sposano, e non hanno più tempo per disassemblare, exploitare durante la notte :-) Infine, riguardo la certificazione, mi consigliate di prenderla durante l'uni? Credo poco alle certificazioni. Secondo me servono solo per fare mercato. Prenditi piuttosto la Laurea in Informatica e poi semmai qualche mastere una buona dose di esperienza. La security è troppo vasta per essere imbrigliata in una certificazione... Beh, non che la laurea o un master, o pure un dottorato, o 10 anni di ricerca su Marte, di per sé qualifichino qualcuno ;-) Esattamente come 10 certificazioni. Detto questo, alcune certificazioni servono ad introdurti in un giro che è quello che serve per lavorare, spesso, quindi hanno una utilità smaccatamente pratica nel senso di lobbying come lo intendono nel mondo anglo-sassone. Quindi la stessa certificazione potrebbe non avere un senso in altri paesi come in Italia, dove questo lobbying si fa in altri modi (associazioni professionali, o mailing lists ;-)) IMHO: le certificazioni servono per il body rental. La laurea per cultura personale e dopo i 40 anni per rivendersi. Il resto per farsi conoscere. Affermazione ovviamente sintetica. Non credo che esistano consigli universali validi per tutti. Come sempre, dipende dalle persone. Ciascuno deve essere in grado di scegliere la strada che ritiene più interessante ed utile per sé stesso. [...] Naviga al sicuro, usa Windows Live Messenger! http://messenger.it/home_sicurezza.aspx Spero sia uno scherzo! Ironia della sorte Dio non gioca a dadi --- Ma il diavolo sì Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini Jesus saves... but Buddha makes incremental back-ups! http://www.sikurezza.org - Italian Security Mailing List http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Inizio nella sicurezza e skill lavorative
Il giorno 16 luglio 2009 11.04, marco marcellijingl...@live.it ha scritto: Salve a tutti, questo ? il mio primo messaggio nella ml. Ho fatto qualche ricerca negli archivi per evitare di dire sempre le stesse cose, ma non ho trovato tutto quello che cercavo e oltretutto la maggior parte dei messaggi sono vecchi e le cose da allora probabilmente, almeno un p?, sono cambiate. Ma veniamo a noi, ho 21 anni e in ritardo, purtroppo, andr? all'uni tra qualche mese, facolt? di Informatica. Amo l'informatica e nello specifico la sicurezza e la programmazione. Per?, per molti motivi, non ho iniziato prima di qualche mese fa. Con la programmazione non ? stato tanto un problema, ho studiato le basi, un linguaggio e ho iniziato, con la sicurezza invece mi sono sbattuto solo per scegliere qualche libro (che ancora non ho iniziato a studiare), che scriver? alla fine del messaggio. Facendo un giro nei motori di ricerca lavorativi ho visto che le persone che cercano nel settore security devono avere tutti esperienza e almeno una certificazione. Oltretutto ho anche visto ragazzi quasi miei coetanei che gi? lavorano e fanno esperienza nel settore, partecipano a conferenza e pubblicano anche articoli, alcuni interessanti come quelli di Vincenzo Iozzo che sicuramente conoscete. Questo, ad essere sincero, mi preoccupa un p? visto che io sono quasi loro coetaneo, ma ancora si pu? dire che non ho nemmeno messo piede nel settore sicurezza. Secondo voi ? tardi per iniziare? Bisogna essere dei geni per fare quello che hanno fatto sti ragazzi? E se nessuno mi fa fare esperienza, come faccio ad iniziare? La security è un campo mlto vasto. Potrai impiegarti come Auditor di qualche sperduta certificazione, o come Security Network Expert, oppure ancora come esperto di crittografia, etc. E ti assicuro che solo alcuni di questi settori richiedono delle profonde conoscenze di informatica (la base) e sicurezza. Ti faccio un esempio: per essere un network security expert devi prima essere un esperto di reti; analogamente per la sicurezza applicativa; per fare l'auditor non devi essere esperto di nulla :-) basta imparare un tomo allucinante a memoria e molto vaporware da somministrare alle aziende! Diverso è se vuoi fare il White/Black-Hat. Lì effettivamente sei un po' in ritardo...tipicamente sono professioni che richiedono tempo e che quindi iniziano nella tenera età dei 15 :-) E comunque un conto è essere White Hat, un altro è essere un esperto di sicurezza. Sono due approcci diversi. Qulcuno diceva Hacker vs Engineer. Per darti un idea nel campo della security di va dall' Hacking, campo estremamente tecnico, fino all'auditing, estremamente procedurale. In mezzo c'è di tutto. Infine, riguardo la certificazione, mi consigliate di prenderla durante l'uni? Credo poco alle certificazioni. Secondo me servono solo per fare mercato. Prenditi piuttosto la Laurea in Informatica e poi semmai qualche mastere una buona dose di esperienza. La security è troppo vasta per essere imbrigliata in una certificazione... Grazie per l'attenzione, vi scrivo ora i libri che leggendo in giro sembra siano i migliori (anche se non mi sembra che ce ne sia qualcuno per un newbie come me). Foundations of security Gray Hat Hacking Hacker 6.0 Introduction to network security Network security assessment Penetration testers open source toolkit Security power tools Pratical unix e internet security The shellcoder's handbook L'arte dell'hacking. Dalla tua selezione mi sembra che tu sia orientato più all'Hacking. E lì ci vuole MOOLTA esperienza. Preparati a non dormire. Comunque se posso permettermi ti consiglio di abbonarti all'ottimo Security privacy. L'unico magazine serio di sicurezza che secondo me merita di essere letto. Per l'hacking vai in giro su Internet e trova delle fonti affidabili. In attesa di risposta di ringrazio anticipatamente. Ciao. _ Naviga al sicuro, usa Windows Live Messenger! http://messenger.it/home_sicurezza.aspx Spero sia uno scherzo! http://www.sikurezza.org - Italian Security Mailing List http://www.sikurezza.org - Italian Security Mailing List