Archive for the 'Security' Category

BUG: Joomla 1.5.5 Remote Admin Change Password Vulnerability

Cari lettori che utilizzate il famoso CMS Joomla, mettetevi in guardia dall’ultimo pericolosissimo bug.

Gli sviluppatori del noto CMS Joomla hanno fatto sapere che è già in circolazione un pericoloso exploit che sfrutta una vulnerabilità presente nelle versioni del software dalla 1.5.x alla 1.5.5.

Il bug riguarda la funzionalità di password reset, può consentire ad un utente di ottenere l’accesso amministrativo al CMS.

L’exploit è stato reso noto il 12/08/08, il giorno successivo il team Jommla ha pubblicato le patch, quindi si consiglia caldamente di aggiornare il proprio sito alla versione 1.5.6 per evitare che qualsiasi lamer o script kiddies vi distrugga tutto.

Se non volete aggiornare tutto il Core, è possibile patchare solamente il file buggato /components/com_user/models/reset.php con questo codice:


if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

Anonymous Remailer, inviare e-mail anonime.

Gli Anonymous Remailer o Remailer Anonimi, sono dei server di posta che consentono di scambiare messaggi e-mail senza che si possa scoprire il mittente originale, permettendo così di comunicare liberamente senza ritorsione alcuna, purtroppo ci sono ancora paesi che non consentono la libertà di espressione, un esempio la Cina.

Questi server non tengono log di nessun genere, non memorizzano IP e permettono di cambiare l’header del messaggio con un altro header falso.

Molti remailer prendono carico solo le mail criptate in PGP, quindi per poterli utilizzare bisogna avere la chiave pubblica del remailer, di solito è possibile reperirla scrivendo una mail vuota con oggetto “remailer-key”.

Se vogliamo inviare una mail a tizio@provider.it, usando un remailer, dobbiamo far precedere il tutto da un’intestazione come questa:

****************************************************

::
Anon-To: tizio@provider.it

Il messaggio… bla bla bla…

*****************************************************
Ricordatevi una riga vuota e i due punti all’inizio, la riga Anon-To contiene il destinatario finale del messaggio e-mail, adesso si deve criptare il tutto con la remailer-key.

Il messaggio crittato deve a sua volta avere un intestazione come questa:

***************************************************************

From: linus@tolvalds.com
To: anon@remailer.org
::
Encrypted: PGP

****************************************************************

La prima riga è il falso mittente della mail, la seconda è l’indirizzo del remailer anonimo, ricordatevi i due punti e la digitura Encrypted: PGP.

Il risultato finale dovrebbe essere simile a questo:

****************************************************************

From: linus@tolvalds.com
To: anon@remailer.org
::
Encrypted: PGP

-----BEGIN PGP MESSAGE-----
Version: 3.0.1i

cSHT4zCbQmtlbzGFM9T0jSD7QVvEzaPcUlBSSWHQclbnR9YWJNp5BFSLdR9s
owE1jMsNwjAUBH3gZMk9PClnUoBPUANpwElW2OBPZD8H0gd1UCP2gduuNDNfj
-----END PGP MESSAGE-----

****************************************************************

Non appena il remailer riceverà la vostra mail la decritterà e la invierà a destinazione, oppure è possibile inviare la mail ad un altro remailer, ricordando di crittarla con la sua chiave pubblica, concatenando più remailer si ha una maggiore sicurezza.

Tuttavia i remailer non sono affidabili al 100%, è possibile che un messaggio venga perso, quindi è consigliabile spedirne più copie.

Vi segnalo portale italiano, www.autistici.org, che oltre al remailer anonimo, offre tanti servizi, utilissimi per la privacy:

  • Account e-mail anonimi tipo tuonome@autistici.org ecc…( non analizzano la posta ai fini di pubblicità, diversamente da gmail.com)
  • Mailing-list anonime
  • Spazio Web e Piattaforme Blog

Il tutto gratuitamente, senza fini di lucro, il progetto vive di sole donazioni da parte degli utenti, quindi una donazione conviene sempre farla!

Policy del Network Autistici – Inventati

GPG, e-mail al sicuro con la crittografia militare Open Source

GnuPG (Gnu Privacy Guard) o anche GPG è un software Open Source, compatibile con il famoso sistema di crittografia PGP, è sviluppato dalla Free Software Foundation.

Compatibile con tutti i sistemi operativi e con molti programmi OpenSource, il livello di robustezza raggiunto è tale, che nemmeno i “potenti” servizi segreti Americani sono riusciti a decrifrarlo.

E’ possibile utilizzarlo per crittare le nostre mail utilizzando il comunissimo client Thunderbird, tramite un plug-in scritto ad hoc, dal nome EnigMail.

Tutto questo è dovuto per il crescente bisogno di comunicare in modo sicuro e semplice, senza che terzi, possano reperire le nostre informazioni confidenziali scambiate.

GnuPG permette di nascondere, dietro a una serie di simboli e caratteri stampabili, delle informazioni o messaggi decodificabili solo dal destinatario finale e dal suo mittente, quindi anche se il messaggio viene intercettato, non sarà possibile carpirne il contenuto.

Ciò è possibile poichè si usa una cifratura a chiave asimmetrica, cioè mittente e destinatario dispongono di una identica chiave di codifica e un’altra per la decodifica.

Ogni utente dispone di una chiave pubblica e di una chiave privata, la prima può essere diffusa senza alcun problema, serve appunto alla codifica del messaggio; la seconda chiave privata, è protetta da una passphrase (un intera frase), questa chiave viene usata per la decodifica e garantisce dunque che sia solamente il destinatario a leggere le informazioni contenute nel messaggio.

La chiave pubblica può essere inviata tramite posta elettronica oppure può essere inviata a dei KeyServer, dei server “magazzino” usati per scambiarsi la chiave pubblica, senza bisogno di inviarla ogni volta.

Tutto ciò può sembrare astruso e complicato da realizzare, ma è tutto svolto autonomamente dai programmi.

Due consigli: quando generate le chiavi, usate una passphrase abbastanza complicata e scegliete una chiave di grosse dimensioni 4096 bit.

Evilsentinel 1.0.2, il sistema di sicurezza Anti-Hacker per piattaforme PHP.

Circa tre mesi fa è partito il progetto Evilsentinel, un sistema di sicurezza universale per applicazioni web in php, sviluppato dal programmatore Evilsocket.

Essendo un progetto universale può essere installato su tutti i CMS: Joomla, Php-Nuke, PHP-Fusion, Wordress ecc…

Nella sua release attuale la 1.0.2 Public è in grado di filtrare, bloccare e notificare all’ amministratore del sito molti tipi di attacchi:

  • Scanning/crawling di software come Acunetix o simili, utilizzati per velocizzare la rilevazione di falle di sicurezza.
  • Remote file inclusions o RFI.
  • Local file inclusions o LFI.
  • Admin privileges escalations.

E’ stata sviluppata la tecnologia AIT,(adaptive ip tracking) che permette all’admin di seguire le mosse dell’attaccante sul suo sito in tempo reale o di guardarsi i log ordinati per ip, data, ora e pagina con comodità in un secondo momento.

Scarica Evilsentinel 1.0.2 -> QUI!

Sito Ufficiale Progetto -> QUI!

Steganografia – Nascondere informazioni riservate o interi file in un’immagine. (S-TOOLS)

Negli ultimi tempi la nostra privacy non viene più rispettata ed è sempre più soggetta ad invasioni, se siamo oggetto di intercettazioni come far circolare delle informazioni strettamente riservate online senza farsi scoprire?

Viene in nostro soccorso la Steganografia, altro non è che la pratica di nascondere informazioni sensibili o interi file “top secret” in una comunissima immagine.

Le immagini contenenti le informazioni “pericolose” possono liberamente circolare sulla rete in chiaro, via email, pubblicate su un sito web, senza la paura di una possibile intercettazione perchè il file è nascosto nell’immagine e non può essere visto se non analizzando la stessa.

Vi chiederete, “come può avvenire questo processo?” Ebbene il concetto è semplicissimo, mettiamo il caso di avere un immagine GIF come successione di codici binari del tipo: I0010III II00I00I 0I0III0I I0III0I0 000III0I II0I0I0I I00000I0 000III00 00II0I0I ecc…

Ogni codice corrisponde ad un punto determinato dell’immagine, alterando la parte più a destra del codice binario si ha un cambiamendo minimo della colorazione, avendo un messaggio da nascondere, si andrà a sostituire il suo codice binario in modo parziale ad ogni codice dell’immagine, questo altererà si il colore ma in modo impercettibile dall’occhio dell’uomo, rendendo così possibile l’incorporamento dell’informazione al suo interno.

Questo metodo come tale ha un grosso problema, le informazioni che viaggiano nell’immagine sono in chiaro, quindi con una scansione della stessa è possibile risalire all’informazione contenuta, quindi una possibile soluzione è quella di criptare l’informazione con un robusto algoritmo di cifratura, in questo modo anche se l’immagine viene ispezionata non è possibile risalire al messaggio perchè criptato.

Diversi consigli che posso darvi sono quelli di non usare password brevi o legati alla persona per la codifica, non utilizzare immagini presenti del web in più copie, perchè analizzando l’immagine originale con la vostra il messaggio in essa contenuto si evidenzia da solo e per ultimo ma non per importanza, le informazioni contenute in un immagine possono essere solo 1/8 della dimensione dell’immagine altrimenti si avrebbe un alterazione dei colori molto evidente rendendo vano il nostro camuffamento.

Un software FREEWARE che ci permette di fare steganografia con immagini e anche file audio è S-TOOLS, questo software utilizza il metodo del trascinamento dei file e dei robusti algoritmi per la cifratura delle informazioni.

Scarica la versione 4 da QUI!

Caso Phishing: e-mail “Banca di Roma”

Il tema di oggi doveva essere un altro, ma l’arrivo di una e-mail truffaldina mi ha spinto a trattare l’argomento Phishing ovvero le truffe online.

Oggi ho ricevuto un mail con mittente: Banca Di Roma e con oggetto: Banca Roma: Assistenza Banca via internet Privati.

La mail in questione l’ho riportata sotto:

portando il cursore del mouse sul link, noteremo che il link porta a http://ibiz.hau.ac.kr/mgyoon/profile/39.html e non al sito della Banca di Roma, così abbiamo scoperto che l’email è un specchietto per le allodole.

Successivamente ho provveduto a segnalare l’email alla Polizia Postale sul sito: http://www.commissariatodips.it

Email ricevuta alle 8,40 del 27/06/07

—————————————————————–

 

Caro membro Banca Di Roma,

Una nuova gamma completa di servizi online e adesso disponibile !Per poter usufruire dei nuovi servizi online Banca Di Roma occorre prima diventare UTENTE VERIFICATO.

https://www.bancaroma.it/verifica_profilo/index.htm

L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicita, provvedera immediatamente ad attivare il suo ” Nome Utente Verificato “.

Verrai informato telefonicamente di tale attivazione.Francamente, Reparto Di Rassegna Di Conti Di Banca Di Roma

Non risponda prego a questo E-mail.

Copyright © 2000 / 2007 Banca di Roma |

—————————————————————-

 

Cosa è il Phishing?

Con il termine Phishing si indicano tutte le tecniche che hanno per obiettivo il furto di dati personali, in particolare i dati di autenticazione come username e password, per procedere successivamente all’accesso delle risorse informatiche a disposizione dell’utente coinvolto.

Si realizza mediante tecniche di “ingegneria sociale”, ovvero raggiri dalle modalità più fantasiose per trarre in inganno l’utente e portarlo a rivelare spontaneamente i propri dati personali.

Il phishing si manifesta nella sua recrudescenza con lo spamming, quando migliaia di email vengono inviate alla ricerca di utenti dei servizi di homebanking da raggirare.

Riportando logo e indicazioni di una banca , la email invita a collegarsi attraverso un link per verificare i propri dati personali.

Spesso scritta in un cattivo italiano, la email contiene un link verso un sito clone di quello originario.

Nelle pagine replica si viene indotti a immettere i propri codici per un presunto controllo.

In realtà i dati vengono copiati e trasmessi ad un indirizzo di posta elettronica del malfattore che sarà così in grado di usarli al nostro posto.

Cosa fare per difendersi?

Come prima cosa è molto utile configurare il proprio client di posta elettronica in modo da ricevere mail in formato solo testo non in formato html, così si vedono meglio eventuali link nascosti e fraudolenti.

E’ opportuno disattivare l’anteprima per le mail ricevute e scaricare le immagini incluse nelle mail solo quando si è certi del destinatario.


Non visitare mai siti dove vi vengono chiesti user e password usando i link presenti nelle mail, ma digitarli a mano nel browser o usare i propri “preferiti”.

Diffidare sempre delle richieste via mail di user e password: le siti web “seri” non lo fanno quasi mai, e se lo fanno includono sempre delle “prove” che si tratta del sito autentico e non di un sito truffa, come ad esempio: la propria data di nascita, le ultime cifre della carta di credito e altre vostre credenziali.

 

10 Regole d’oro per essere sicuri sul web

I. Non aprire file con estensione .exe non sicuri.

E’ la regola fondamentale, quando si fa partire un programma, si consente a chi l’ha creato di fare ciò che si vuole con il computer su cui il programma viene lanciato.

Facendo un’analogia è come dare le chiavi di casa propria a un estraneo incontrato per la strada.

Se siete sicuri che il programma viene da una fonte sicura ad esempio: un programmatore conosciuto, un gruppo di sviluppo Open Source, un’azienda rinomata, allora potete dormire sonni tranquilli.

Ma se il software lo avete ricevuto via e-mail e anche se è un nostro carissimo amico di cui ci fidiamo, o scaricato da qualche portale pirata o con software p2p tipo Emule, può essere stato cambiato per contenere anche virus, trojan o altro codice malevolo.

Non possiamo fare sempre affidamento al nostro amato Antivirus, quindi fate molta attenzione a cosa avviate sulla vostra macchina!

II. Usiamo un browser alternativo.

Dovremmo affidarci ad un browser alternativo a Internet Explorer che troviamo già installato sul nostro Windows, perché dato che Explorer è il browser più diffuso e anche il più attaccato!

Ricordiamo anche che Explorer non vanta pregi per quanto riguarda la sua programmazione.

Del Malware (codice malevolo) può essere eseguito dal vostro IE senza che voi ve ne accorgiate: potrebbe capitare quindi che un “dialer”, cambi il vostro numero di connessione del provider con uno a pagamento da 3 euro al minuto + iva (gli 899 per capirci) facendovi bestemmiare a fine mese davanti alla bolletta del telefono!

Sul web potrete trovare un’infinità di browser più robusti e gratuiti, uno dei tanti, il browser Opera che trovate su www.opera.com, io uso e consiglio Mozilla Firefox lo trovate su http://www.mozillaitalia.it/firefox/, è un browser gratuito e open-source, è leggero, veloce, facile da usare e offre numerosi vantaggi rispetto agli altri browser, come la possibilità di bloccare le finestre popup e di cancellare tutti i dati sensibili ad ogni chiusura del software.

III. Affidati ai software giusti.

Se purtroppo non avete ancora Linux sulla vostra macchina, mi dispiace dirlo, ma se volete collegarvi a internet con un Windows, dovrete fornirvi di una sfilza di software di protezione.

Quello più ovvio è l’antivirus, ma non basta, bisogna aggiornalo spessissimo, altrimenti è come non averlo installato.

Possiamo affidarci ad antivirus a pagamento come il famoso: Norton Antivirus o se non vogliamo alleggerire il portafogli possiamo optare per qualcosa free ad esempio Avast Antivirus Home Edition, è leggero ha un’ottima protezione live e riconosce il 94% dei virus.

Poi dovremmo munirci di un firewall, un software che monitora il traffico in entrata e in uscita del vostro PC, bloccando gli attacchi e le connessioni indesiderate, non possiamo fare affidamento sul firewall di Windows, dobbiamo rivolgerci a software di terze parti.

VI consiglio il famosissimo ultra collaudato e semplicissimo Zone Alarm che trovate su www.zonealarm.com.

Ancora non abbiamo finito, installate un anti-dialer, che non vi farà bestemmiare davanti alla bolletta del telefono e oltre a questo dovreste chiedere anche il blocco selettivo delle chiamate al vostro provider, così da non permettere chiamate inutili a numeri ultra costosi.

Date un’occhiata su www.socket2000.com, qui troverete un anti-dialer gratuito.

Poi per ultimo, ma non per importanza, un antispyware che rimuove tutti quei programmi che raccolgono informazioni su di noi e li spediscono ai produttori, per “spammarci” fino allo stremo, o a qualcuno che ci vuole male.

Sempre rimanendo sul Free Software, perché come si dice: “perché pagare qualcosa, se posso avere la stessa cosa gratis!”

Un ottimo antispyware lo potete trovare su http://www.safer-networking.org, Spybot Serch & Destroy è completamente gratuito, però dopo averlo provato, una piccola donazione agli sviluppatori per coprire i costi non guasta.

IV. Usa connessioni protette e la crittografia.

I nostri hard-disk contengono informazioni delicate, personali, importanti e preziose come: password di ogni tipologia, codici di accesso per l’home-banking, contatti, lavori personali ecc…

E con un PC collegato a internet ,queste informazioni sono sempre a rischio.

Se per voi, il fatto che qualcuno possa appropriarsi di questi dati è molto importante, dovreste abituarvi a usare dei sistemi crittografici, come il GPG e il PGP, che forniscono una “robusta” protezione sia per le e-mail che per i dati in locale.

Quando è possibile cercate di usare le connessioni protette.

Come vi accorgete se siete su una connessione protetta? Semplice, guardando il protocollo ci accorgiamo che non è http:// ma https://, se siete su una LAN è facilissimo intercettare i dati di autenticazione, per usarli a sproposito.

Cercate di informarvi se il vostro provider, servizio di ftp, posta elettronica, o altro utilizzano questi collegamenti sicuri.

V. Un client di posta alternativo

Ebbene si, oltre ad Explorer dobbiamo anche abbandonare il famoso Outlook.

Outlook è il client che troviamo integrato nel nostro “caro” Windows, purtroppo è stato il software che ha permesso la diffusione a catena, di virus e worm a bizzeffe.

Il dramma principale di Outlook è quello di permettere l’esecuzione di programmi e script senza che l’utente ne faccia richiesta, è sufficiente aprire un messaggio di posta in anteprima per consentire a qualche script malevolo di accedere alla rubrica e di mandare il virus a tutti i contatti, che a loro volta utilizzando Outlook, propagheranno a loro insaputa il Virus, una vera e propria reazione a catena che senza Outlook non sarebbe avvenuta.

Le alternative: ezPop http://ezpop.hoverdesk.net/, MailBell http://www.emtec.com/mailbell/index.html e tante altre, vi basta fare una semplice ricerca sul famoso Google.

VI. Mantieni aggiornato il tuo sistema

Basta eseguire di tanto in tanto Windows Update per l’aggiornamento del sistema operativo, aggiorna la versione del tuo antivirus, firewall, anti-dialer, antispyware, browser e client di posta.

Non scordarti ti tenere aggiornate anche le tue conoscenze… 😉

VII. Non divulgare i tuoi dati personali.

Se proprio dovete pubblicare il vostro indirizzo e-mail, potete tenervi alla larga dallo spam in due modi: con SpamBotPoison(vedi precedente articolo) o adottando qualche trucchetto come ad esempio scrivere la mail in modo tale che sia comprensibile ad un essere umano, ma non a un bot che registra le e-mail per lo spam , esempio: tuonome(AT)tuoprovider.com oppure tuonome.TOGLIMI@tuoprovider.it.

Evitate inoltre di fornire dati personali: telefono, indirizzo di casa propria, c’è sempre qualcuno che vuole portare i diverbi virtuali in realtà, quindi attenzione.

VIII. Blocca tutti i servizi che non usi.

Ogni software o servizio sulla tua macchina, collegata a internet, lascia delle porte aperte e quindi questo potrebbe essere una minaccia alla tua sicurezza, quindi perché lasciare attivi dei servizi che non utilizziamo a discapito della sicurezza del nostro PC!?

Un utile accorgimento oltre a configurare bene il firewall è chiudere la condivisione di file e stampanti.

IX. Non fare il fesso.

Non credere a qualunque cosa ti venga detta. Ad esempio se ti arriva una mail dicendoti che ti sono stati accreditati 1000 euro sul tuo conto x sulla banca y, insospettisciti, attento alla mail può trattarsi di un caso di Phishing, in parole povere una truffa, puoi venire indirizzato ad una pagina identica alla tua banca online, ma che in realtà non è, ma serve solo a fregarti i dati di accesso al tuo conto.

Devi sempre stare attento agli indirizzi sulla barra del browser, se non è quello della tua banca online, fai una segnalazione alla polizia postale, che si occuperà del caso.

X. Non sentirti super protetto.

Anche se sei un mago del PC, dietro l’angolo ci sta sempre qualcuno molto più bravo di te, non puoi semplicemente affidarti ai software per laprotezione, che promettono miracoli, stare sul “chi va la!?” non può fare altre che aumentare le tue difese.


Feeds RSS web, e-mail e mobile.

Creative Commons License
UnderGround0 World è pubblicato sotto una Licenza Creative Commons.
La riproduzione di tutto o parte dei contenuti di questo sito potranno avvenire solo senza alcun scopo di lucro e dovranno riportare la fonte originaria ed un link a UnderGround0 World o quella degli autori orginari. I trasgressori saranno perseguiti secondo le norme:Art. 173ter e Art. 174ter



Il Gioco Della Vita



DISCLAIMER
Le informazioni da me divulgate sono da ritenersi a puro scopo informativo e di studio. Non mi assumo nessuna responsabilità riguardante l'uso improprio o illecito e di tutti i danni o perdite di guadagni che ne possano derivare.

Contatore Visite

  • 1,052,919 visite




















My blog is worth $923,387.24.
How much is your blog worth?



Berluscounter!

NoCocozza!

giugno: 2017
L M M G V S D
« Ago    
 1234
567891011
12131415161718
19202122232425
2627282930