Category Archives: Tech

601px-CBC_decryption

#poodle Come navigare sicuri

14 Ottobre, Bodo Möller ricercatore Google rende pubblica la falla presente nel protocollo SSLV3 (This POODLE Bites: Exploiting The SSL 3.0 Fallback – Bodo Möller, Thai Duong, Krzysztof Kotowicz – Google). In pratica il bug rende possibile l’intercettazione di dati sensibili (es. password) attraverso la tecnica del man-in-the-middle attack.

The exploit first allows attackers to initiate a “downgrade dance” that tells the client that the server doesn’t support the more secure TLS (Transport Layer Security) protocol and forces it to connect via SSL 3.0. From there a man-in-the-middle attack can decrypt secure HTTP cookies. Google calls this the POODLE (Padding Oracle On Downgraded Legacy Encryption) attack.
(A Web encryption vulnerability opens ‘encrypted’ data to hackers – The Next Web)

Dimensione del problema

In base ai dati riportati da una ricerca fatta da Mozilla e l’Università del Michigan, circa lo 0,42% dei siti fa uso del protocollo SSLv3.

According to measurements conducted by Mozilla and the University of Michigan, approximately 0.42% of the Alexa top million domains have some reliance on SSLv3 (usually due to a subdomain requiring SSLv3).
(The POODLE Attack and the End of SSL 3.0 – Mozilla Blog)

Per testare la vulnerabilità del vostro browser basta andare al sito www.poodletest.com

POODLE-TEST-Vulnerable

Vulnerable

Come Navigare sicuri?

Continue reading

heartbleed markloman status

#heartbleed quali password devo cambiare?

UPDATE: la vicenda sta assumendo risvolti sempre più inquietanti

“That would give the NSA access to as many as two-thirds of the encrypted servers on the web. The report also indicates that Heartbleed is far from an anomaly. One source estimates that the NSA has thousands of similar vulnerabilities on file, and the agency has persistently defended their importance in intelligence gathering.”
(The NSA has exploited Heartbleed bug for years, Bloomberg reports – the Verge)

Il 7 aprile è stato reso pubblico il BUG heartbleed e, come riportato nell’articolo, si tratta di un serio problema di sicurezza

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library
(heartbleed.com)

Bene, vi domanderete, ne sono coinvolto? Vi riporto alcuni dati necessari al fine di inquadrare l’entità del problema.

Il bug è nella libreria OpenSSL, ovvero il codice che implementa il protocollo SSL utilizzato per crittografare il traffico tra il server e il vs browser; ogni qualvolta voi accedete ad un servizio erogato tramite https (es. https://mail.google.com) il protocollo sottostante è SSL e nella stragrande maggioranza dei casi viene utilizzata la libreria OpenSSL.

Una stima approssimata in difetto, indica in circa 500.000 siti affetti dal bug heartbleed.

Our most recent SSL Survey found that the heartbeat extension was enabled on 17.5% of SSL sites, accounting for around half a million certificates issued by trusted certificate authorities
(NetCraft: Half a million widely trusted websites vulnerable to Heartbleed bug )

Bene, ma cosa accade? Qual’è il rischio inerente il bug Heartbleed?
Attraverso questo bug è possibile accedere a blocchi di memoria del server, senza lasciar alcuna traccia nei log.
In pratica con tentativi successivi e senza che ve ne sia evidenza, è possibile recuperare le password in chiaro… si avete letto bene, si riesce ad aver accesso alle vs password da remoto.

Update: un’interessante ed esplicativa vignetta

 

Chiarita l’entità del problema, cosa fare?

Se gestite dei servizi online, è bene che verifichiate con i vs fornitori di servizio le azioni intraprese al fine di minimizzare il rischio Heartbleed. Vi segnalo un buon tool per verificare se il vs servizio online è affetto o meno dal bug: Heartbleed test – di Filippo Valsorda

Se siete solo degli utenti, è NECESSARIO cambiare le vs password di accesso ai servizi online.
Si, ma quali? Questi sono i principali servizi, estratti dall’elenco prodotto da Mashable – The Heartbleed Hit List:

  • Facebook
  • GMail
  • Yahoo
  • Soundcloud
  • Dropbox
  • Tumblr
  • Amazon Web Services

Ultima considerazione: già che ci siete, visto che state cambiando le password… non dimenticate una regola “aurea”

una password univoca per servizio

Avevate un’unica password per accedere ad ogni servizio?… bene è giunto il momento per cambiarle e diversificarle.

Ultimo consiglio, per gestire al meglio la selva di password necessaria per accedere ai vari servizi online, è comodo ed utile appoggiarsi ad un software ad hoc, come ad esempio KeePassx.

P.S.
– non mi risulta sia nota, ad oggi 10 aprile, una lista dei servizi online italiani affetti da tale bug; se ne avete evidenza, segnalatela nei commenti, grazie!

P.S. 2:
 – Attenzione, c’è una lista dei servizi affetti – musalba heartbleed-masstes, ma è datata 8 aprile; vi rammento che il bug è stato scoperto il 7 aprile, quindi ci sono servizi che risultato esenti alla data dell’8 aprile… ma non che non lo siano stati affetti precedentemente

Internet of Everything italian forum 2014

#IoEForumIta – lo storify dell’evento Internet of Everything 31-01-2014

Il 31 gennaio 2014 si è svolto Internet of Everything Italian forum 2014 promosso da Cisco.
In questo storify ho raccolto i tweets più rilevanti, buona visione.
Business Insider: How Location Data Is Being Collected And Transforming The Mobile Industry

WiFi free nei negozi: un costo o un’opportunità? Geo Loyalty e le opportunità di business

Aprire o non aprire il proprio router WiFi? Consentire o meno l’accesso di sconosciuti alla propria rete?

L’accesso alla propria rete WiFi può diventare un’opportunità per veicolare pubblicità, attrarre nuovi clienti e fidelizzarli tramite promozioni e/o buoni sconto.

“is why many retailers are rolling out free public Wi-Fi to enable in-store mobile ads.”
Business InsiderHow Location Data Is Being Collected And Transforming The Mobile Industry )

Opportunità che sta aprendo un mercato molto vasto e che vede già dei player interessanti, LoyalBlocks e Shopkick, solo per citarne alcuni. Continue reading