C#, .NET, Java, Php, Python, Wordpress, Windows, Linux…

Da qualche ora appare sulla vostra bacheca di WordPress l’aggiornamento alla versione 3.3.1. E’ una versione di manutenzione che corregge 15 problemi di WordPress 3.3 ma sopratutto corregge una vulnerabilità di sicurezza relativa al cross-site scripting (XSS) riguardante la versione 3.3. E’ stato il team di sicurezza dell’hosting Go Daddy ha segnalare il problema al security team di WordPress.

Come ogni release di sicurezza la sua installazione è fortemente consigliata anche negli ambienti di produzione italiani, non essendovi modifiche alle stringhe di traduzione WordPress rimarrà completamente in italiano.

E’ consigliabile come SEMPRE effettuare un backup completo sia del proprio spazio web che del database prima di procedere a qualsiasi aggiornamento.

Incredibile pare che dopo anni la Telecom si sia accorta della importanza della sicurezza delle reti internet senza fili Wi-Fi, l’immagine che vedete sotto me l’ha mandata via mail la Telecom in questi giorni.

Io lo dico da anni che appena arrivato il router di alice a casa bisogna cambiare il codice di sicurezza della rete Wi-Fi, se non sai come fare leggi la guida della telecom.

Richiede pochi secondi che potrebbero salvarti da tante grane che potrebbero arrivare da navigazioni pericolose fatta da persone senza scrupoli, per generare un codice nuovo potete usare questo software che potete scaricare tranquillamente perchè è gratuito.

Vi consiglio di generare un codice di sicurezza Wi-Fi lungo almeno 30 caratteri.

Un ricercatore italiano sulla sicurezza Luigi Auriemma ha rivelato una lista di vulnerabilità non risolte che permetterebbe ad un hacker di compromettere i maggiori sistemi di controllo industriale.

Questi attacchi sono rivolti contro 6 sistemi SCADA incluso un prodotto del gigante U.S. Rockwell Automation.

Il ricercatore pubblica le istruzioni passo passo che permetterebbero di eseguire un controllo remoto completo del sistema e comprometterlo con un Denial of Service.

Naturalmente la colpa dell’esistenza di un bug o errore in un software non è colpa di chi lo scopre che fa solo un opera di conoscenza ma dei progettisti e sviluppatori che hanno realizzato il software.

Delle vulnerabilità simili sono state usate per creare il virus Stuxnet per colpire i sistemi automatizzati delle centrali nucleari dell’Iran. I ben informati dicono che sia stato creato dagli USA e che è stato l’ennesimo episodio di CyberWar strisciante che si combatte in silenzio tutti i giorni tra i vari paesi del pianeta.

Ci sono delle vulnerabilità facilmente sfruttabili nel BlackBerry Enterprise Server che potrebbe consentire a un utente malintenzionato di ottenere l’accesso al server, semplicemente inviando un file immagine maligno dal dispositivo BlackBerry dell’utente.

Le vulnerabilità sono presenti in varie versione BlackBerry Enterprise Server per Exchange, Lotus Domino e Novell GroupWise e Research in Motion che ha detto che un attaccante che è in grado di sfruttare uno dei bug potrebbe anche essere in grado di passare dal server compromesso BES ad altre parti del rete.

Una vulnerabilità di sicurezza nei sistemi di PayPal consente di avere pieno accesso illimitato a qualsiasi account in 30 secondi, lo ha detto Matt Langley di Computer Integrated Enterprises Limited.

La vulnerabilità risiede nella funzionalità di PayPal per il recupero della password dimenticata.

Dice Langley:

PayPal invia la procedura di Cambio Password a indirizzi e-mail non autorizzati al posto dell’indirizzo di posta elettronica autorizzato. Una volta cliccato sul link mandato via e-mail, si cambia la password, e potrete avere accesso totale a tale account. Non è necessario usare artifici e hacking sofisticati. Si tratta di un bug nel loro sistema di posta che corrompe gli indirizzi e-mail.

Una volta che l’attaccante ha accesso, non c’è niente che limita la loro capacità di rubare denaro dal conto. L’exploit è, ovviamente, una diretta violazione della privacy di PayPal e una lunga lista di leggi, quindi non provateci a casa.

Dopo una serie di attacchi di alto profilo di quest’anno come quello del Sony PlayStation Network questa grave vulnerabilità di PayPal rischia di scalare la vetta perchè è utilizzato da milioni di utenti Internet per il trasferimento di denaro nei siti di e-commerce.

Fonte: thenextweb.com

Un ricercatore di sicurezza ha detto che ci sono alcune vulnerabilità nel modo in cui i cookie sono stati gestiti dai profili LinkedIn e mette a rischio di manomissione i profili utente.

Rishi Narang, un anziano ex consulente finanziario ha detto che intercettando i cookie che le sessioni dell’utente creano, il profilo potrebbe essere dirottato. Un utente malintenzionato potrebbe mantenere l’accesso ad un account sul sito, nonostante la reimpostazione della password perché i cookies saranno ancora validi dopo la modifica.

I cookies sono vulnerabili ad un tipo di attacco man-in-the-middle perché il sito viene ripristinato dopo essersi collegati con https con il protocollo http.

LinkedIn non ha trovato alterazioni alle informazioni nei cookies creati da sessioni valide, Narang ha scritto sul suo blog: “In soli 15 minuti, sono stato in grado di accedere con successo a più account attivi appartenenti a persone provenienti da diverse località del pianeta, molte volte in questi mesi sono entrato nei loro account, ed il loro cookies erano sempre validi.

Un aggressore può annusare i cookies da una sessione di testo in chiaro e quindi utilizzarli per autenticare le loro sessioni. Egli può quindi compromettere e modificare le informazioni disponibili alla pagina del profilo utente. Anche se il dominio che ha rilasciato il cookie non ospita alcun contenuto a cui si accede su HTTP, un aggressore potrebbe essere in grado di utilizzare i collegamenti della forma https://www.linkedin.com ed eseguire lo stesso attacco”

LinkedIn ha detto che sta valutando la realizzazione di opt-in cioè parti di pagine web con il supporto HTTPS per evitare questi problemi.

“Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere per collegarsi reti WiFi criptate o [reti private virtuali], ogni qualvolta sia possibile,” ha detto la società in un comunicato.

“LinkedIn prende la privacy e la sicurezza dei nostri membri sul serio, come il [secure sockets layer] per i login e le altre pagine web riservate. Inoltre, stiamo valutando opt-in con supporto SSL per le altre parti del sito che saranno disponibili nei prossimi mesi per evitare questi problemi di sicurezza in futuro”.

16/04/2011 – The Hacker’s Corner

Open data e informazione: il mondo sta per essere sommerso di dati, i giornalisti sapranno dargli un senso?

il movimento per gli Open data, trainato dall’amministrazione Obama e dal governo inglese, sta rendendo disponibili sul web una mole di dati grezzi di proporzioni del tutto inedite. In Italia le istituzioni vanno a rilento, mentre nascono alcuni progetti per iniziativa dal basso (vedi Open Camera e Open Parlamento). Si tratta di dati in possesso dell’amministrazione pubblica che vanno dai bilanci alle statistiche, dai contratti agli appalti, e che grazie alla loro pubblicazione in formato aperto possono essere rielaborati e ripubblicati. Questa mole di dati richiede qualcuno che sappia interpretargli e dargli senso. Lo scandalo dei rimborsi ai parlamentari inglesi emerso grazie a dati resi pubblici su internet e rielaborati dal Guardian con il contributo dei suoi lettori online è solo uno dei tanti esempi recenti. Ai giornalisti sarà sempre più richiesto di fornire i dati alla base delle loro inchieste, di saperli integrare all’interno della narrazione giornalistica, di saperli visualizzare con infografiche intuitive, e di renderli riutilizzabili da altri. Cosa possono fare i giornalisti per arricchire la mole di dati pubblici? Come possiamo integrare gli strumenti per rielaborare i dati nel lavoro giornalistico? Quali competenze sono necessarie per entrare in questo campo?

1. Ernesto Belisario presidente Associazione italiana per l’Open Government
2. Diego Galli Radio Radicale
3. Jonathan Gray Open Knowledge Foundation
4. Sergio Maistrello giornalista esperto di new media
5. Simon Rogers direttore Guardian Datablog e Datastore

In collaborazione con Radio Radicale

Visualizing a cyber attack on a VOIP server from Ben Reardon, Dataviz Australia on Vimeo.

L’ australiano Honeypot Project è un gruppo di volontari che ha come obiettivo vigilare sugli attacchi dei cyber criminali. Con un attento monitoraggio di quei honeypot , il gruppo può raccogliere i dati delle tattiche criminali utilizzate dai cracker per attaccare siti reali e server. In questo video mostrano i dati in immagini per mostrare quello che succede durante le fasi iniziali di un attacco a un server VOIP.

Fonte: boingboing.net

Uno studente di 19 anni dell’University of Nevada è stato accusato di aver manomesso la rete dei computer dell’università per il miglioramento dei voti dei compagni di classe per soldi.

La polizia locale dice che Tyler Coyner ha guidato un gruppo di 13 studenti (la maggior parte dei quali minorenni) che sono stati tutti accusati di cospirazione, furto e intrusione informatica. “L’anno scorso, Coyner in qualche modo ha ottenuto una password per il sistema qualità Pahrump Valley High School e, nel corso di due semestri, si offrì di cambiare voti in cambio di pagamenti in contanti”.

Coyner è stato scoperto perchè aveva portato i suoi voti così in alto che tutti si sono accorti che qualcosa non andava, l’ingordigia gli è stata nemica. Nella sua stanza la polizia ha anche trovato un televisore LCD rubato, e gli attrezzi per la stampa di patenti di guida false. Non è così intelligente, dopo tutto.

Fonte: boingboing.net