hanicker + sicurezza   29

Password Booster Screen Lock, bloccare e sbloccare lo schermo del computer utilizzando una chiavetta USB
Se spesso, per una qualsiasi ragione, vi ritrovate a dover lasciare incustodito il vostro PC per qualche tempo e siete alla ricerca di un valido sistema mediante cui evitare di attirare l’attenzione di eventuali utenti indiscreti allora potreste trovare particolarmente utile Password Booster Screen Lock, il software che, quest’oggi, vogliamo proporre a tutti voi lettori di Geekissimo.
Questo programmino, completamente gratuito ed utilizzabile senza alcun problema su tutti i sistemi operativi Windows, una volta in uso permette di bloccare lo schermo del PC semplicemente servendosi della propria chiavetta USB.
Il software, per essere più precisi, richiede la registrazione della propria chiavetta USB in modo tale da riconoscerla ogni qual volta inserita rendendo quindi utilizzabile il PC qualora collegata e bloccandone invece automaticamente lo schermo quando rimossa.
Da notare che lo schermo potrà anche essere sbloccato digitando la password relativa all’account utente in uso.
(...)Continua a leggere Password Booster Screen Lock, bloccare e sbloccare lo schermo del computer utilizzando una chiavetta USB, su Geekissimo
Password Booster Screen Lock, bloccare e sbloccare lo schermo del computer utilizzando una chiavetta USB, pubblicato su Geekissimo il 17/10/2011
© Martina Oliva (Bugeisha) per Geekissimo, 2011. | Permalink | Commenta! | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Freeware, Sicurezza, Software, Windows. Post tags: bloccare pc, chiavetta USB, sbloccare, schermo del computer, software freeware, Windows
chiavetta_USB  Windows  Sicurezza  schermo_del_computer  Freeware  bloccare_pc  software_freeware  sbloccare  Software  from google
october 2011 by hanicker
Aumentare la sicurezza di Gmail con la verifica in due passaggi
La sicurezza della maggior parte dei nostri account dipende da un solo fattore di autenticazione, il che è abbastanza rozzo e non particolarmente sicuro; questo fattore è la password: un oggetto che può essere indovinato, forzato, smarrito, trovato in un cassetto e così via. In pratica, per accedere a un sistema, oltre al nome utente mi basta “qualcosa che so”.

Aggiungere un fattore aumenta drasticamente la sicurezza, oltre a “qualcosa che so”, mi serve “qualcosa che ho”. Un esempio noto a tutti è il bancomat: il PIN (che “so”) non serve senza la tessera (che “ho”). Un caso simile sono i token forniti dalle banche per i servizi online, ma in quel caso la sicurezza è ulteriormente incrementata perché si aggiunge il fattore tempo: le password che il token mi aiuta a generare non sono riutilizzabili (one-time password) e funzionano solo in un determinato arco di tempo.

Qualcuno potrebbe obbiettare che anche “qualcosa che ho” può essere rubato, e infatti il terzo strato di sicurezza è quello biometrico: “qualcosa che sono”. Impronte digitali o della retina o vocali, o altre forme di identificazione personale possono essere utilizzate per raggiungere un livello di sicurezza molto elevato, se combinate con i fattori visti prima. (Se poi vi picchiano per estorcervi la password, vi rubano il portafoglio per la tessera magnetica e vi cavano un occhio perché serve la vostra retina, avete un problema più grosso).

La password del vostro account Google vi fa accedere  alla vostra casella Gmail e a tutta la serie dei servizi forniti da Big G; inoltre serve per autenticarsi su tutti quei siti di terze parti che avete autorizzato nel tempo. E’ evidente che si tratta di qualcosa che deve essere custodito con la massima cura e deve essere ragionevolmente complesso.

Google stessa ha tutto l’interesse perché  il bouquet della sua offerta sia il più possibile sicuro, in modo da tranquillizzare gli utenti che vi si sono affidati. Per questo ha introdotto la possibilità di attivare su tutti gli account la verifica in due passaggi. Il processo è spiegato in dettaglio nella pagina dedicata. Vediamo di chiarire alcuni dubbi che potrebbero sorgere.

Intanto: come funziona? Una volta attivata, per accedere al vostro account Google (il caso più frequente è la posta), dovrete inserire come sempre la vostra password, dopodiché vi verrà richiesto un codice numerico che verrà immediatamente mandato via SMS. Al momento dell’inserimento, potete decidere se mantenere “registrato” il computer che state usando per un periodo di 30 giorni. Cosa significa? Se decidete di non registrare il computer, il codice verrà richiesto anche agli accessi successivi, mentre nel caso opposto passerà un mese; potete quindi discriminare tra un computer “temporaneo” ed il vostro.

Anche se la password viene rubata o intercettata, un malintenzionato non potrà accedere alla casella perché sprovvisto di PIN, e quello che avete usato sul computer non sicuro è scaduto pochi secondi dopo l’utilizzo. In pratica, il PIN rende la password ogni volta nuova, unica, utilizzabile una sola volta e in un arco ristretto di tempo. Non male.

Analogamente alla spiegazione precedente, adesso i fattori sono due: qualcosa che “sapete” (password) con qualcosa che “avete” (il cellulare). Inoltre, la sicurezza è ulteriormente aumentata dalla password one-time che scade dopo pochi secondi. Naturalmente in questo caso la vostra password originale non cambia, è l’unione con il PIN che la rende unica ogni volta. Anche se qualcuno viene a conoscenza, indovina o ruba la password, essa è inutile senza il vostro cellulare.

Per attivare la verifica in due passaggi (2 step authentication) è necessario collegare un telefono cellulare al vostro account Google. Il numero verrà utilizzato solo per l’invio dei PIN necessari all’autenticazione. Se possedete uno smartphone, potete anche utilizzare in alternativa un’apposita applicazione gratuita fornita da Google. Il dispositivo va autorizzato tramite un codice o un QR code, e da quel momento in poi il PIN sarà fornito da Google Authenticator, che in pratica trasforma il vostro smartphone in un token software concettualmente analogo ai token forniti dalle banche o dalle aziende per l’accesso VPN. Authenticator esiste per Android, iCoso e BlackBerry.

Ma non tutte le applicazioni supportano la 2 step authentication: il caso più comune sono i client di posta e le applicazioni desktop che accedono ai servizi Google. In questo caso vanno create delle password “dedicate” per ciascuna applicazione. La spiegazione di Google è un po’ fumosa, al riguardo. In realtà il concetto è semplice: per le applicazioni che non supportano il PIN (G. lo chiama “codice di verifica”) è necessario far creare dal sistema una nuova password. Benché sia possibile utilizzare la stessa per diverse cose, è più flessibile fare in modo che ciascun programma abbia la sua, in modo da poter in qualunque istante revocare la validità delle credenziali di una singola applicazione. E’ per questo che al momento della creazione viene chiesta un’etichetta: in modo da poter distinguere. Esempio (brutto): vi rubano il portatile ma voi potrete disattivare le credenziali di Mail o di Outlook senza che la posta e la sincronizzazione sul vostro Android/iPhone/BlackBerry smetta di funzionare. Fate attenzione che la password generata viene mostrata una sola volta, se la dimenticate, dovete cancellarla e ricrearla, quindi nella applicazione in cui la userete assicuratevi di selezionare “ricorda password”, a meno che non vogliate usarne una nuova di zecca ogni volta.

“Ma ho lasciato il cellulare (o lo smartphone) a casa, come faccio a ricevere il PIN?” C’è una soluzione: durante il processo di attivazione potrete stampare una tabella analoga a quella che vedete nell’immagine a lato, con una serie di PIN utilizzabili una sola volta in caso non disponiate temporaneamente del dispositivo di autenticazione che avete registrato. E’ una soluzione meno “robusta” perché i codici non scadono, ma è ugualmente “una cosa che avete” e non è riutilizzabile. Naturalmente dovete tenere questi codici al sicuro, nel vostro portafoglio, oppure online su un altro servizio. Potete generare nuovi “pin pad” accedendo alle impostazioni della 2-step-authentication nel vostro account Google.

L’autenticazione in due fattori aumenta drasticamente la sicurezza del vostro account e lo protegge da intercettazioni, furti e altre pratiche illecite. Utilizzando questo processo si possono tagliare fuori gran parte degli attacchi più banali e alla portata di molti, rendendo il vostro account meno “appetibile” di altri più vulnerabili. Un plauso a Google che in questo caso dimostra attenzione per la sicurezza dei suoi utenti.

Tags: account, autenticazione, gmail, google, password, sicurezza, Tecnica
Generali  account  autenticazione  gmail  google  password  sicurezza  Tecnica  from google
october 2011 by hanicker
BufferZone Pro, proteggere il PC dalle minacce esterne creando un ambiente isolato
Qui su Geekissimo lo abbiamo affermato diverse altre volte e non ci stancheremo mai di ripeterlo: quando si opera al PC la sicurezza non è mai troppa per cui onde evitare di incappare in spiacevoli inconvenienti occorre adottare tutta una serie di giusti ed appositi accorgimenti, compreso l’utilizzo di un buon software adibito alla protezione della postazione multimediale in uso e, ovviamente, dei dati dello stesso utente.
A tal proposito, anche se, sicuramente, la maggior parte di voi appassionati lettori disporrà di un buon software antivirus installato sul PC in uso, quest’oggi andiamo comunque a dare uno sguardo a BufferZone Pro, una risorsa rientrante a pieno nella sopracitata categoria.
BufferZone Pro, che a discapito del nome è scaricabile ed utilizzabile in modo totalmente gratuito, è un software specifico per sistemi operativi Windows (solo ed esclusivamente per le versioni a 32-bit) che si serve di un’efficace tecnologia di virutalizzazione per proteggere il computer in uso da qualsiasi tipo di minaccia esterna andando ad isolare i nuovi file ed i nuovi programmi dal resto dell’OS.
(...)Continua a leggere BufferZone Pro, proteggere il PC dalle minacce esterne creando un ambiente isolato, su Geekissimo
BufferZone Pro, proteggere il PC dalle minacce esterne creando un ambiente isolato, pubblicato su Geekissimo il 28/09/2011
© Martina Oliva (Bugeisha) per Geekissimo, 2011. | Permalink | 2 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Freeware, Internet, Sicurezza, Software, Windows. Post tags: Ambiente isolato, minacce informatiche, proteggere PC, sicurezza pc, software freeware, Windows
Windows  proteggere_PC  Sicurezza  Ambiente_isolato  minacce_informatiche  Freeware  software_freeware  Internet  sicurezza_pc  Software  from google
september 2011 by hanicker
USB Disk Security, proteggere il PC dagli attacchi malware mediante chiavette USB
Il fatto che le chiavette USB vadano a configurarsi come uno tra i principali mezzi di diffusione di virus non è certo un mistero ma, invece, per alcuni utenti potrebbero esserlo le risorse adibite alla prevenzione ed alla risoluzione della problematica in questione.
Girovagando per il web è infatti possibile incappare in appositi ed utili software che, qualora impiegati, permettono all’utente di evitare di andare incontro a spiacevoli e fastidiose sorprese in grado di interferire con il corretto utilizzo del proprio PC.
È questo il caso di USB Disk Security, un software freeware e tutto dedicato ai sistemi operativi Windows che, una volta in uso, entrerà in azione fornendo un buon grado di protezione da tutti i malware che tentano di attaccare il PC mediante USB agendo sia in tempo reale sia eseguendo la scansione manuale dei singoli supporti collegati.
(...)Continua a leggere USB Disk Security, proteggere il PC dagli attacchi malware mediante chiavette USB, su Geekissimo
USB Disk Security, proteggere il PC dagli attacchi malware mediante chiavette USB, pubblicato su Geekissimo il 21/09/2011
© Martina Oliva (Bugeisha) per Geekissimo, 2011. | Permalink | 3 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Freeware, Sicurezza, Software, Windows. Post tags: Chiavette USB, malware, proteggere penna usb, software freeware, Windows
Windows  Sicurezza  Chiavette_USB  Freeware  software_freeware  proteggere_penna_usb  malware  Software  from google
september 2011 by hanicker
Anonymous Italia, si sa chi è il “capo”
“Decapitazione” di Anonymous Italia: forse è il caso di ridimensionare il trionfo
Intanto che pare rinviata, se non del tutto sgonfiata, la bufera del presunto bavaglio italiano a Internet imposto dall'Agcom (Geekissimo; La Stampa; Tom's Hardware; Agcom), con tanto di improbabili adunanze, torno brevemente sulla vicenda di Anonymous Italia per notare che i toni drammatici usati da alcune testate e l'enfasi data a quest'operazione di polizia sembrano sempre più fuori luogo. Parrebbe quasi che abbiano acciuffato l'Osama bin Laden del ciberspazio, ma non è così, almeno a giudicare da quello che è emerso fin qui.

Il nome anagrafico del presunto “capo” residente in Canton Ticino, in arte phre, è ormai pubblico: l'articolo del Corriere è stato aggiornato per includerlo, rendendo inutile la discrezione della stampa locale, e in lingua inglese ne parla Softpedia.

Non si tratta certo di un maestro della dissimulazione: trovarne numero di telefono, indirizzo di casa e di e-mail, profilo Facebook, whois dell'azienda di famiglia (il cui sito è ora vuoto ma è ancora visibile nella cache di Google) e molto altro è semplice (ringrazio Rodri e un po' di social engineering). Le foto personali, comprese quelle d'infanzia, sono nella Wayback Machine. Non pubblico i dettagli per ovvie ragioni. Siete pregati di fare altrettanto.

Il resto del “gruppo” non sembra messo meglio in quanto a risorse e competenze. La versione originale del comunicato in inglese di Anonymous Italia era un vero disastro. Lo so perché gliel'ho sistemata io, visto che non si faceva avanti nessuno (le parti in rosa qui accanto sono mie).

Quindi adesso tecnicamente faccio anch'io parte di Anonymous, a dimostrazione del fatto che chiunque può entrarvi o fregiarsi di quest'etichetta. Sì, ho aiutato Anonymous: invoco l'attenuante della legittima difesa della lingua inglese.

Invoco anche l'attenuante della reiterazione del crimine contro la grammatica d'Albione, perché prima di pubblicare il comunicato qualcuno ha pensato bene di correggerlo. Si fa per dire. I commenti parlano da soli. Questi sarebbero i pericolosissimi black block digitali?

Mah. Con tutti i criminali informatici veri che ci sono in giro, quelli che rubano soldi reali e truffano le persone, far spendere tempo alla polizia per inseguire questi dilettanti pare un po' uno spreco.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
sicurezza  from google
july 2011 by hanicker
Le password delle Poste Italiane [UPD 11:25]
Lavorate alle Poste? La vostra password di default è...
... la vostra data di nascita. E il nome utente è nome punto cognome.

Sicurezza, questa sconosciuta.

Se lavorate per le Poste Italiane e avete un account su Poste.it, cambiate la password, se avete ancora quella di default. Subito.

11:25. Sto ricevendo indiscrezioni che circoscriverebbero il problema ai casi nei quali l'utente chiede il reset: in tal caso (e solo in tal caso) gli verrebbe assegnata come password di default la data di nascita. Ma questo non corrisponde a quello che ho visto personalmente. Ora sono in diretta alla radio, appena ho finito approfondisco e verifico. Il consiglio di cambiare password scegliendone una decisamente meno ovvia resta comunque valido.

2011/06/25 1:25. Confermo: la persona che mi ha segnalato l'uso della data di nascita come password ha ricevuto quella password da Poste.it quando gli è stato attivato l'account, che serve per visualizzare la documentazione dei suoi stipendi. Non gli è stata data in conseguenza di un reset.Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
sicurezza  from google
june 2011 by hanicker
Un altro problema di sicurezza per WordPress
E direi che è abbastanza grave questa volta, anche se è passato quasi inosservato:

Earlier today the WordPress team noticed suspicious commits to several popular plugins (AddThis, WPtouch, and W3 Total Cache) containing cleverly disguised backdoors. We determined the commits were not from the authors, rolled them back, pushed updates to the plugins, and shut down access to the plugin repository while we looked for anything else unsavory.

In poche parole: qualcuno ha fatto dei commit inserendo del codice malevolo in alcuni dei plugin più utilizzati e gli utenti che hanno effettuato aggiornamenti potrebbero aver installato codice "pericoloso" tramite l'update automatico dei plugin di WordPress.

Second, if you use AddThis, WPtouch, or W3 Total Cache and there’s a possibility you could have updated in the past day, make sure to visit your updates page and upgrade each to the latest version.

Direi che WordPress ha bisogno di prendere sul serio la sicurezza dei propri prodotti e dei propri utenti, cosa che sembra non stia facendo in maniera eccellente ultimamente, visti i problemi occorsi a WordPress.com e WordPress.org.

CC BY-NC-SA 2006 - 2011 · Un altro problema di sicurezza per WordPress
Wordpress  sicurezza  from google
june 2011 by hanicker
Dropbox, un problema di sicurezza ha consentito l’accesso a tutti senza password per 4 ore
Quella di questa mattina è una storia veramente brutta, una storia che fa paura. Se fosse una tragedia greca, sarebbe la “Medea” di Euripide. Se fosse un libro horror, sarebbe “IT” di Stephen King. Paura, eh? Siamo sul web, sono le 13:54 di domenica 19 giugno 2011 (fuso orario del Pacifico) e il team di Dropbox aggiorna il codice del proprio, apprezzatissimo, servizio. Tutto sembra essere andato per il verso giusto… ma non è così.
Quattro ore dopo, alle 17:41, il team si accorge che quell’aggiornamento è stato fatale. Ha lasciato le porte di Dropbox aperte a tutti i potenziali malintenzionati che, armati dell’indirizzo e-mail di un utente del servizio e inserendo una password qualsiasi per l’autenticazione (qualsiasi vale a dire anche nessuna password), avrebbero potuto infiltrarsi nelle cartelle Dropbox di chiunque.
(...)Continua a leggere Dropbox, un problema di sicurezza ha consentito l’accesso a tutti senza password per 4 ore, su Geekissimo
Dropbox, un problema di sicurezza ha consentito l’accesso a tutti senza password per 4 ore, pubblicato su Geekissimo il 21/06/2011
© naqern per Geekissimo, 2011. | Permalink | 11 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Internet, Sicurezza. Post tags: dropbox, falla, password, sicurezza password, spazio gratis, storage online
dropbox  Sicurezza  password  falla  storage_online  spazio_gratis  Internet  sicurezza_password  from google
june 2011 by hanicker
Website Security Monitor, monitorare la sicurezza ed i contenuti del proprio sito web agendo dal desktop
Chi gestisce un proprio spazio online sicuramente saprà quanto possa essere importante proteggere da eventuali attacchi di hacker il sito web oggetto dell’attenzione oltre a monitorarne link, contenuti e quant’altro in maniera costante.
Per eseguire al meglio tale tipo d’operazione e, sopratutto, in maniera estremamente pratica agendo direttamente e comodamente dal proprio desktop è possibile appellarsi all’impiego di Website Security Monitor.
La risorsa in questione altro non è che un software freeware e tutto dedicato agli OS Windows che, presentando una pratica interfaccia utente, tra l’altro visionabile dando uno sguardo allo screenshot, permette di controllare in maniera precisa e costante il proprio sito internet verificando quindi che, tra le varie pagine web che lo compongono, non vi siano errori, link non autorizzati, script, contenuti inappropriati ed annunci di Google dirottati.
(...)Continua a leggere Website Security Monitor, monitorare la sicurezza ed i contenuti del proprio sito web agendo dal desktop, su Geekissimo
Website Security Monitor, monitorare la sicurezza ed i contenuti del proprio sito web agendo dal desktop, pubblicato su Geekissimo il 17/06/2011
© Martina Oliva (Bugeisha) per Geekissimo, 2011. | Permalink | Commenta! | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Freeware, Sicurezza, Siti Web, Software, Windows. Post tags: controllare sito, hacking, monitorare siti web, sicurezza siti web, software freeware, Windows
Windows  Siti_Web  sicurezza_siti_web  Sicurezza  monitorare_siti_web  Freeware  software_freeware  hacking  controllare_sito  Software  from google
june 2011 by hanicker
26.000 indirizzi e-mail e password spiattellati in Rete: ecco cosa significa usare gli stessi dati di accesso ovunque
Il famigerato gruppo di hacker (o cracker) Lulz Security, balzato già agli onori della cronaca per aver rubato i dati di un milione di utenti del PlayStation Network e aver hackerato la home page di PBS.org, ha spiattellato in Rete 26.000 indirizzi e-mail e password di altrettanti ignari utenti provenienti da ogni parte del mondo. Fra questi, pare, ci siano anche molti indirizzi militari (.mil) e governativi (.gov).
La lista è ormai di pubblico dominio ed è stata realizzata rubando i dati di accesso di diversi siti a carattere pornografico. Se non visitate “sitacci” simili, dunque, non dovreste avere problemi. Ma molti altri sì. Al punto che conoscendo la cattiva abitudine di molti utenti che usano la stessa password per tutti i siti Internet a cui sono iscritti, il sito ZDNet ha invitato tutti i suoi lettori a dare un’occhiata al documento pubblicato da Lulz Security e ad accertarsi che i loro indirizzi non fossero finiti su piazza.
(...)Continua a leggere 26.000 indirizzi e-mail e password spiattellati in Rete: ecco cosa significa usare gli stessi dati di accesso ovunque, su Geekissimo
26.000 indirizzi e-mail e password spiattellati in Rete: ecco cosa significa usare gli stessi dati di accesso ovunque, pubblicato su Geekissimo il 14/06/2011
© naqern per Geekissimo, 2011. | Permalink | 11 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Email, Sicurezza. Post tags: hacker, Lulz Security, password
Email  Sicurezza  password  Lulz_Security  hacker  from google
june 2011 by hanicker
Come leggere gratis i giornali italiani
E-giornali italiani a pagamento, sicurezza colabrodo: ennesimo fallimento del paywall
Questo è il link diretto all'editoriale di Giorgio Bocca sulla versione iPad a pagamento dell'Espresso del 26 maggio scorso.

È una pagina presa a caso: la regola per consultarle tutte, gratuitamente, è questa:

http://ws.ipad.espresso.repubblica.it/_deploy/pdf/[annomesegiorno]/p_[numeropagina].pdf
E questo è il link diretto alla pagina 5 del Sole 24 Ore del 29 maggio scorso. Non spiego neanche come funziona la regola per consultare le altre; non ce n'è bisogno.

Non ci vuole altro. Niente password da rubare, niente codici strani da digitare. Il paywall, l'invenzione salvifica che doveva consentire all'editoria di entrare nel mondo digitale controllando la distribuzione delle copie attraverso le App e i vari apparecchietti lucchettati come l'iPad e il Kindle, è una fregatura inutile, che danneggia e rende scomoda la vita solo agli utenti onesti, esattamente come gli informatici avevano avvisato. Naturalmente senza essere ascoltati.

La scoperta è stata pubblicata da Andrea Draghetti su Oversecurity.net, dove trovate le istruzioni per molti altri e-giornali italiani e stranieri. Alcune hanno smesso di funzionare, altre sono allegramente ancora aperte nonostante i responsabili siano stati avvisati. Seriamente, cari editori: un URL pubblico per contenuti a pagamento? Ma da chi vi siete fatti fregare?

Pubblicità
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
DRM  paywall  sicurezza  from google
may 2011 by hanicker
MySQL order by SQL injection
E' probabilmente cosa vecchia, ma la scopro oggi: è possibile effettuare delle SQL Injection anche sfruttando la clausola ORDER BY in MySQL 5.

Un esempio?

L'url

http://www.test.com/list.php?orderby=rand((select table_name from information_schema.tables limit 1)<=128))
esegue una query non autorizzata su test.com non correttamente protetto esponendo il nome delle tabelle presenti nel database del sito web.

Decisamente carino (e inquietante).

CC BY-NC-SA 2006 - 2011 · MySQL order by SQL injection
Programmazione  mysql  sicurezza  from google
april 2011 by hanicker
StartEd Lite, personalizzare la configurazione di avvio di Windows in tutta sicurezza
All’avvio del sistema e, in questo caso specifico, di Windows, insieme a tutti quelli che sono i processi fondamentali al fine di attuare la procedura di startup risultano però presenti, generalmente, anche tutta una serie di programmi non indispensabili e che tendono ad occupare solo memoria.
In tal modo le performance dell’OS vengono notevolmente ridotte per cui, al fine di ottenere le migliori prestazioni da parte del proprio fido PC potrebbe essere tanto utile quanto, al tempo stesso, fondamentale, disattivare tutti quei processi definibili come superflui che vanno ad avviarsi in concomitanza dell’inizializzazione del sistema.
Ma come possono essere riconosciuti tali processi evitando di causare l’insorgere di eventuali problematiche? Semplicissimo: utilizzando un apposita utility quale StartEd Lite.
(...)Continua a leggere StartEd Lite, personalizzare la configurazione di avvio di Windows in tutta sicurezza, su Geekissimo
StartEd Lite, personalizzare la configurazione di avvio di Windows in tutta sicurezza, pubblicato su Geekissimo il 26/03/2011
© Martina Oliva (Bugeisha) per Geekissimo, 2011. | Permalink | Commenta! | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Freeware, Sicurezza, Software, Utility, Windows. Post tags: avvio, Backup, processi, ripristino, software freeware, startup, trojan, Utility, Windows
Windows  trojan  Backup  Sicurezza  Utility  avvio  processi  Freeware  software_freeware  startup  ripristino  Software  from google
march 2011 by hanicker
Due ottime guide per amministratori di sistema
Nel cercare di risolvere strani problemi di rete (tabelle ARP non aggiornate e stupidaggini simili ), mi sono imbattuto in due testi davvero buoni.
…roba tosta, da amministratori seri !
Amministrare reti con GNU/Linux
Il primo testo suggerito è Guide to IP Layer Network Administration with Linux.
In quasi 200 pagine vengono spiegati concetti e utilizzati [...]
guide_e_manuali  amministrazione_di_sistema  how-to  networking  sicurezza  sistemista  from google
march 2011 by hanicker
Internet Explorer è più sicuro di Chrome e Firefox, dice Bit9. Intanto esce IE9 Tech Preview 7
Giornata campale, quella di ieri, per Internet Explorer. Stranamente senza brutte notizie per il browser di Microsoft.
Innanzitutto, è uscita la Tech Preview 7 di Internet Explorer 9 che pare aumentare notevolmente le prestazioni del nuovo motore javascript di IE (Chakra). Poi – e questa è la vera notizia del giorno – è stato pubblicato uno studio che sembrerebbe confermare quanto Secunia, tra infinite polemiche, aveva già certificato qualche mese fa, ossia che Internet Explorer è meno vulnerabile degli altri browser. (...)Continua a leggere Internet Explorer è più sicuro di Chrome e Firefox, dice Bit9. Intanto esce IE9 Tech Preview 7, su Geekissimo
Internet Explorer è più sicuro di Chrome e Firefox, dice Bit9. Intanto esce IE9 Tech Preview 7, pubblicato su Geekissimo il 18/11/2010
© naqern per Geekissimo, 2010. | Permalink | 19 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Internet Explorer, Sicurezza. Post tags: browser war, ie9, internet explorer 9, vulnerabilità
vulnerabilità  browser_war  Internet_Explorer  Sicurezza  internet_explorer_9  ie9  from google
november 2010 by hanicker
Una visita Web e so esattamente dove sei
Falla nei router permette di localizzare gli utenti via WebLo smanettone ed esperto di sicurezza Samy Kamkar ha documentato una vulnerabilità nel modo in cui i router gestiscono le richieste di identificazione, che può essere sfruttata per localizzare con estrema precisione un visitatore di un sito Web. Per "estrema precisione" s'intende nove metri, in uno dei casi dimostrati da Kamkar alla conferenza Black Hat a Las Vegas pochi giorni fa. La sua presentazione era intitolata, in modo piuttosto inquietante, "Come ho incontrato la tua ragazza".La vulnerabilità funziona così. Di solito ci si connette a Internet tramite un router (magari Wifi) e di norma solo i computer connessi direttamente al router possono interrogarlo per ottenerne l'identificativo univoco, il MAC address. Ma Kamkar ha trovato il modo di confezionare una pagina Web in modo da attivare un'interrogazione che sembra provenire dal computer localmente connesso e passarla alla geolocalizzazione di Google. Le auto di Google che hanno mappato le città per il servizio Street View hanno infatti associato alle coordinate GPS i MAC address dei router incontrati durante le loro esplorazioni.In questo modo il ficcanaso di turno può ottenere l'ubicazione geografica precisa del router e quindi localizzare e identificare il visitatore. Questa localizzazione non si basa sull'indirizzo IP, come altre funzioni già disponibili in Rete. La dimostrazione online di Kamkar funziona con qualunque browser.Kamkar è famoso (o famigerato) perché nel 2005 creò un worm che sfruttava le falle dei browser e gli permise di raccogliere oltre un milione di "amici" su Myspace in un solo giorno. La bravata gli costò una condanna in tribunale, con tre anni di libertà vigilata, tre mesi di servizio civile e un'ammenda.Il rischio riguarda solo gli utenti di router Wifi che siano stati catalogati da Google, ma è un'altra dimostrazione di come l'anonimato su Internet sia sempre più un mito. Chi pensa di poter approfittare della Rete per fare lo stupido senza farsi beccare stia quindi attento.
Wifi  sicurezza  from google
august 2010 by hanicker
Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo
Uno dei dubbi più annosi del mondo geek è sicuramente quello riguardante la sicurezza dei vari sistemi operativi. Windows è più sicuro di OS X? Qual è più affidabile fra Linux e Windows? Sarà più vulnerabile un Mac o un sistema Linux? Domande alle quali, ammettiamolo, è praticamente impossibile dare una risposta certa. Almeno fin quando non si ha la ventura di avere a che fare con Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo.
Sì, cari amici, avete letto bene. Damn Vulnerable Linux è – come recita anche la sua presentazione ufficiale – tutto quello che una buona distribuzione Linux non dovrebbe essere. Un’accozzaglia di software obsoleto, mal configurato e soggetto ad exploit, che rende il sistema vulnerabile ad attacchi informatici di ogni grado di pericolosità.
Sappiamo già cosa state pensando: Microsoft avrà deciso di sviluppare una sua distro Linux e questo è il risultato. No, tranquilli. Damn Vulnerable Linux (abbreviato DVL) è molto più semplicemente una versione speciale del sistema del pinguino studiata per far impratichire gli studenti di sicurezza informatica. (...)Continua a leggere Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo, su Geekissimo
Damn Vulnerable Linux, il sistema operativo meno sicuro del mondo, pubblicato su Geekissimo il 23/07/2010
© naqern per Geekissimo, 2010. | Permalink | Commenta! | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Linux, Sicurezza. Post tags: distro linux, falla, università, vulnerabilità
vulnerabilità  Sicurezza  falla  Linux  università  distro_linux  from google
july 2010 by hanicker
Panic Button per facebook
Uno degli argomenti più scottanti di questi ultimi periodi sono stati proprio la privacy e la sicurezza legata ai social network. Preso di mira una delle principali reti sociali, Facebook. C’è da dire che facebook ha cercato in tutti i modi possibili di arginare questo problema, installando nuove applicazioni ed aggiornando costantemente questo social net. Ma la ricerca continua per rendere la navigazione dell’utente al 100% SICURA. Infatti da pochi giorni, gli utenti inglesi di età compresa tra i 13 e i 18 possono navigare in piena sicurezza lontani dai male intenzionati.
Si inatti è stata introdotta una nuova applicazione “Panic Button” che consente agli adolescenti di essere avvisati tramite un messaggio visualizzato sul home page di eventuali abusi sul profilo.
(...)Continua a leggere Panic Button per facebook, su Geekissimo
Panic Button per facebook, pubblicato su Geekissimo il 13/07/2010
© Francesco Grauso per Geekissimo, 2010. | Permalink | Commenta! | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Facebook, Internet, Social Network. Post tags: abusi, Facebook, minori, Privacy, Sicurezza
Privacy  Facebook  Social_Network  Sicurezza  abusi  minori  Internet  from google
july 2010 by hanicker
Webutation, conoscere la reputazione dei siti web d’interesse
Tutti coloro che possiedono e gestiscono un sito web o un blog, di certo sapranno quanto possa essere importante avere a propria completa disposizione tutta una serie di appositi strumenti mediante cui verificare l’effettiva efficienza, oltre che la sicurezza, delle proprie pagine web facendo riferimento a quelli che sono i principali criteri di valutazione.
Esistono infatti molteplici ed appositi tool mediante cui è possibile eseguire tale tipologia d’operazione, tuttavia, qualora volessimo visionare, rapidamente e senza troppe complicazioni, le informazioni in questione, allora, si potrebbe considerare l’idea di ricorrere all’impiego di un interessante ed apposito applicativo online quale Webutation.
Si tratta infatti di un apposita risorsa web che, in modo semplice e veloce, consente di conoscere la reputazione di un dato sito web o blog, fornendo tutt’un insieme di informazioni relative alla notorietà ed al grado di sicurezza.
(...)Continua a leggere Webutation, conoscere la reputazione dei siti web d’interesse, su Geekissimo
Webutation, conoscere la reputazione dei siti web d’interesse, pubblicato su Geekissimo il 13/07/2010
© Martina Oliva (Bugeisha) per Geekissimo, 2010. | Permalink | Commenta! | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Applicazioni Online, Internet, Siti Web. Post tags: analizzare sito web, informazioni siti web, reputazione, servizio web, Sicurezza, valutazioni, Webutation
Siti_Web  informazioni_siti_web  reputazione  Webutation  Applicazioni_Online  Sicurezza  valutazioni  servizio_web  analizzare_sito_web  Internet  from google
july 2010 by hanicker
USB Write Protect, proteggere i dati presenti sulla propria chiavetta USB evitandone la modifica e la cancellazione accidentale!
Tra gli strumenti maggiormente utilizzati mediante cui archiviare, trasferire, trasportare e scambiare file da un PC all’altro, vi sono senz’altro da citare le più che celebri chiavette USB, degli oggettini tanto piccoli quanto capienti che, proprio grazie al loro utilizzo semplice ed intuitivo, vanno a risultare alla portata di qualsivoglia tipologia d’utente.
Tuttavia, come di certo gran parte di voi lettori di Geekissimo avrà avuto modo di notare in varie occasioni, nonostante le caratteristiche sopra menzionate, i ben noti USB flash drive risultano però particolarmente a rischio per quanto concerne la perdita dei dati in essi archiviati a causa di errori accidentali da parte dell’utente che, in maniera del tutto inavvertita, spesso e volentieri si ritrova a cancellare o modificare i file d’interesse, se non addirittura a formattare l’intera unità, implicando dunque l’impossibilità di recuperare, così come all’origine, tutto quanto d’interesse.
Onde evitare di incorrere in situazioni di tale tipologia e dunque al fine di una maggiore sicurezza, si potrebbe considerare l’idea di ricorrere all’utilizzo di un piccolo, pratico ed apposito strumento portable mediante cui, nel giro di qualche click e con estrema facilità, ciascun utente viene messo in condizione di rendere la propria chiavetta USB non modificabile.
(...)Continua a leggere USB Write Protect, proteggere i dati presenti sulla propria chiavetta USB evitandone la modifica e la cancellazione accidentale!, su Geekissimo
USB Write Protect, proteggere i dati presenti sulla propria chiavetta USB evitandone la modifica e la cancellazione accidentale!, pubblicato su Geekissimo il 29/06/2010
© Martina Oliva (Bugeisha) per Geekissimo, 2010. | Permalink | Commenta! | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Freeware, Sicurezza, Utility, Windows, file. Post tags: chiavetta USB, file, flash drive, impossibile cancellare file, penna usb, programma gratuito, proteggere, USB Write Protect
chiavetta_USB  Windows  impossibile_cancellare_file  programma_gratuito  Sicurezza  Utility  penna_usb  flash_drive  file  Freeware  USB_Write_Protect  proteggere  from google
june 2010 by hanicker
Nuova tecnica di furto password: tabnabbing
L'attacco della scheda mutaformaQuesto articolo vi arriva grazie alle gentili donazioni di "veronicalareina" e "maurimds".Aza Raskin, esperto di interfacce e figlio d'arte (il padre era il celebre Jef Raskin che avviò il progetto Macintosh per Apple), ha annunciato una nuova forma di attacco informatico particolarmente subdola.La maggior parte degli attacchi di phishing (furto di password tramite false pagine Web di autenticazione simili a quelle effettive) funziona secondo un meccanismo standard: la vittima riceve una mail che contiene un link, clicca sul link, viene quindi portata a una pagina Web gestita dall'aggressore ma identica a quella di autenticazione di un servizio usato dalla vittima (per esempio la posta di Gmail), immette il proprio nome utente e la propria password e così le regala all'aggressore.La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato una maniera per renderla molto meno evidente e l'ha chiamata tabnabbing (letteralmente, "catturare la scheda di un browser"). Funziona molto bene sugli utenti che tengono aperte molte pagine nel proprio browser, in modo che ciascuna sia in una scheda (tab).Nel tabnabbing, la vittima clicca su un link trovato su Internet e finisce su una pagina dall'aria del tutto innocua che non gli chiede password o altro e quindi non lo mette sul chi vive, ma ha un contenuto interessante (immagini osé o altro). Così la vittima non la chiude ma passa a un'altra scheda del browser. Quello che l'utente non si aspetta è che la pagina-trappola a questo punto aspetta che nessuno la stia guardando e si trasforma: cambia la propria icona (favicon) e il proprio contenuto, diventando una pagina che richiede l'autenticazione per un servizio adoperato dall'utente: per esempio, la login di Gmail.La vittima penserà molto probabilmente di aver lasciato aperta una scheda del servizio e crederà di essere stato scollegato dal servizio per mancato utilizzo, come avviene periodicamente, e quindi immetterà nella pagina-trappola le proprie credenziali nel tentativo di fare login, regalando così all'aggressore i propri codici. Per completare il furto con destrezza, l'aggressore può poi trasferire l'utente e le sue credenziali alla pagina vera del servizio, così l'utente farà effettivamente login e non si accorgerà che gli è stata sottratta la password di accesso.La trappola, come nota Raskin, si basa sull'idea sbagliata che una scheda sia immutabile e usa il forte richiamo visivo di un'icona. Per dimostrarne l'efficacia, ha predisposto una dimostrazione innocua: andate qui nel sito di Raskin e poi aprite un'altra scheda del browser, restando sulla nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che prima ospitava la pagina di Raskin, cambierà icona e contenuto, diventando la pagina di login di Gmail. Il trucco funziona con quasi tutti i browser più diffusi. Raskin lo dimostra in un video:A New Type of Phishing Attack from Aza Raskin on Vimeo.In questa dimostrazione volutamente blanda, l'utente può accorgersi dell'inganno notando che l'URL nella barra dell'indirizzo non è quello giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per mascherare anche l'URL.La soluzione migliore contro questo tipo di trappola è aprire sempre una scheda nuova per fare login a qualunque servizio e immettere manualmente l'indirizzo oppure prenderlo dai Preferiti.
phishing  sicurezza  from google
may 2010 by hanicker
URLVoid, analizzare un sito web per verificare se nasconde virus o malware
Considerando la notevole importanza assunta da un argomento quale quello della sicurezza online, nel corso del tempo, così come vi è stato modo di verificare anche qui su Geekissimo, sono stati resi disponibili diversi ed interessanti servizi mediante cui cercare di prevenire l’insorgenza di eventuali minacce informatiche.

Partendo da tale presupposto, quest’oggi diamo uno sguardo ad un nuovo ed efficiente strumento web che, permettendo di eseguire esattamente quanto appena accennato, va a risultare una più che valida risorsa alla portata di tutti gli appassionati navigatori della grande rete.

(...)Continua a leggere URLVoid, analizzare un sito web per verificare se nasconde virus o malware, su Geekissimo

© Martina Oliva (Bugeisha) per Geekissimo, 2010. |
Permalink |
2 commenti |
Aggiungi su del.icio.us

Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Antivirus, Applicazioni Online, Sicurezza.

Post tags: analizzare sito web, malware, NoVirusThanks, servizio web, sicurezza online, Urlvoid, virus
Antivirus  Applicazioni_Online  Sicurezza  analizzare_sito_web  malware  NoVirusThanks  servizio_web  sicurezza_online  Urlvoid  virus  from google
may 2010 by hanicker
BtProx, bloccare automaticamente il PC sfruttando il bluetooth
Quando ci si ritrova ad utilizzare il proprio computer in un luogo pubblico o, molto più semplicemente, se si ha intenzione di salvaguardare la privacy evitando che le informazioni contenute nella postazione multimediale in uso siano esposte agli occhi di tutti, potrebbe risultare sicuramente utile ricorrere al blocco del PC.

L’operazione in questione è sicuramente molto efficiente ma, per ovvie ragioni, potrebbe esserlo ancor di più se eseguita in modo del tutto automatico piuttosto che passando per quella che è la procedura di default offerta dal sistema in uso.

Se utilizzate un OS di casa Windows e se avete a vostra disposizione un computer ed un cellulare con bluetooth integrato (dubito che di questi tempi ci sia qualcuno che ne sia sprovvisto) allora un ottima soluzione è data senz’altro da BtProx (Bluetooth Proximity Utility Lock).

(...)Continua a leggere BtProx, bloccare automaticamente il PC sfruttando il bluetooth, su Geekissimo

© Martina Oliva (Bugeisha) per Geekissimo, 2010. |
Permalink |
3 commenti |
Aggiungi su del.icio.us

Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Freeware, Sicurezza, Software, Utility, Windows.

Post tags: bloccare pc, Bluetooth, Bluetooth Proximity Utility Lock, BtProx, cellulare, programma gratuito, tool, Windows
Freeware  Sicurezza  Software  Utility  Windows  bloccare_pc  Bluetooth  Bluetooth_Proximity_Utility_Lock  BtProx  cellulare  programma_gratuito  tool  from google
may 2010 by hanicker
PDF trappola, non c’è tregua
Un PDF può diventare un wormMi sa che è ora di riscrivere la regola 11 del mio piccolo dodecalogo. Non mi lamento: ha retto benino per quasi sette anni, che in informatica sono un'eternità. Ma il consiglio di usare PDF come formato di scambio sicuro di documenti sta diventando una trappola.The Register segnala che Didier Stevens, ricercatore di sicurezza, ha dimostrato che è possibile annidare codice ostile eseguibile – un virus, insomma – all'interno di un documento PDF. Aprendo un documento del genere con Adobe Reader, normalmente compare una finestra di dialogo che chiede all'utente se vuole procedere, ma Stevens è riuscito a manipolarne il testo in modo che inganni buona parte degli utenti. Disabilitare Javascript è inutile e non è possibile rimediare aggiornando Reader, perché secondo Stevens non si tratta di una vulnerabilità, ma soltanto di un uso "creativo delle specifiche del linguaggio PDF". Sono disponibili un video e un PDF dimostrativo.Stevens ha già condiviso la propria scoperta con Adobe, nella speranza che venga trovata una soluzione. I programmi alternativi di lettura di documenti PDF non se la cavano meglio: fino a pochi giorni fa, Foxit Reader non visualizzava nessun avviso (il problema è stato corretto con la versione 3.2.1, rilasciata il primo d'aprile, secondo questa comunicazione).Il problema è appunto che l'esecuzione di applicazioni e di Javascript e l'invio di dati a un URL (quindi, per esempio, a un sito Internet) fa parte delle specifiche del formato PDF (tabella 198 delle specifiche stesse, segnalata da F-Secure).Jeremy Conway di NitroSecurity ha rincarato la dose, partendo dalla segnalazione di Stevens e dimostrando come sia possibile infettare un documento PDF in modo che infetti tutti gli altri PDF del computer e della rete locale (per esempio quella aziendale) in modo invisibile all'utente: un documento PDF diventa insomma un worm. Lo spiegone e il video sono qui su Sudosecure.net (nome quanto mai azzeccato, visto che questa magagna farà sudare di sicuro molti utenti).Che fare? In attesa che i produttori di software di lettura dei documenti PDF trovino una soluzione, F-Secure consiglia di non aprire i documenti PDF sul proprio computer, ma di visualizzarli tramite servizi come Google Documenti: un'operazione automatizzabile mediante plug-in per i browser, come gPDF (usabile in Chrome, Opera, Firefox e Iron, che è una variante meno ficcanaso di Chrome/Chromium) per i documenti PDF che trovate online, oppure usando un programma di lettura di PDF poco diffuso, sulla base del principio che un programma poco conosciuto sarà oggetto di minore interesse da parte degli aggressori. Conway suggerisce invece l'uso di un programma di lettura minimalista, che non supporti le funzioni avanzate delle specifiche PDF.Come dargli torto: l'errore di fondo è che l'evoluzione delle specifiche PDF ha snaturato il formato, che era nato per consentire la visualizzazione universale di documenti ma ora ha trasformato i documenti in file eseguibili. Sarò un informatico vecchio stile, ma non mi sembra eccessivo o retrogrado chiedere che un documento resti un documento e non si travesta da programma, visti i rischi che ne derivano. In altre parole, less is more: avere meno funzioni significa avere più sicurezza.
PDF  sicurezza  from google
april 2010 by hanicker
Attenti alle foto con coordinate GPS
Cellulari e fotocamere con GPS, occhio a non rivelare troppoSe avete un telefonino o una fotocamera con GPS integrato, attenti a cosa fotografate e a come pubblicate le vostre foto: se non le ripulite prima di diffonderle, addio anonimato, con conseguenze piuttosto imbarazzanti.Prendete per esempio la signorina qui accanto, che ha deciso di immortalare la parte migliore di sé usando un iPhone (l'inquadratura originale è più ampia ma probabilmente inadatta a un blog per famiglie, a meno che siano famiglie di proctologi). Si è coperta il viso in modo da non essere riconoscibile e quindi sfruttare l'anonimato per un'esibizione molto personale.Ma nelle fotografie digitali vengono memorizzati vari dati, come la data e l'ora dello scatto e le regolazioni della fotocamera. Nelle fotocamere e nei telefonini dotati di GPS, come appunto gli iPhone recenti, insieme a questi dati ci sono le coordinate geografiche del luogo dove è stata scattata la foto. Addio anonimato.Con questi dati è sufficiente un giretto su Google Maps e (se disponibile) su Street View per scoprire dove si trova la disinibita donzella.Non posso garantire che i dati siano reali o che la foto sia autentica, visto che la fonte dell'esempio è 4chan, ma il concetto è certamente valido.Una foto del genere, associata al proprio nome e cognome, potrebbe causare non pochi problemi per anni, per esempio durante una ricerca di lavoro. Al potenziale datore di lavoro basterebbe una Googlata per trovare un quadro molto chiaro e aperto della situazione.Anche foto meno compromettenti possono essere fonte di guai se corredate di dati GPS. La vostra foto al bar o al ristorante o in ufficio diventa improvvisamente localizzabile. Una manna dal cielo per qualunque persona voglia pedinarvi o molestarvi o fare di peggio: basta sfogliare le vostre foto pubbliche per sapere che locali frequentate, dove lavorate, dove abitate e che orari fate. Lo stesso vale anche per le persone che conoscete: una foto etichettata "A casa di Piera" è innocua, ma la stessa foto con dati GPS permette a chiunque di sapere dove abita Piera.Se volete davvero pubblicare o distribuire foto anonimizzate, ricordatevi di purgare i dati EXIF dalle immagini (il metodo più semplice e sicuro che mi viene in mente è visualizzare la foto sullo schermo e catturarla, poi pubblicare la cattura, ma ci sono vari programmi che rimuovono i dati EXIF per i vari sistemi operativi). L'iPhone permette di disattivare l'inclusione dei dati GPS nelle foto.Maggiori dettagli sono in questo articolo di Kelsocartography (in inglese).
iPhone  fotografia  sicurezza  privacy  from google
march 2010 by hanicker
La scatola che scavalca l'SSL
Il lucchetto nel browser? I governi lo scavalcano allegramente. Forse non solo loroQuesto articolo vi arriva grazie alle gentili donazioni di "srevai" e "sergio".Da tempo immemorabile, uno dei consigli ricorrenti per gli internauti è di controllare che nella finestra del browser ci sia l'icona del lucchetto chiuso durante le transazioni via Internet che coinvolgono soldi o segreti: acquisti online, ordini per la propria banca, telefonate tramite Internet, scambio di e-mail di dissidenti in regimi non democratici, eccetera. Il lucchetto indica che la comunicazione è segreta e sicura grazie alla cifratura e ai certificati. O almeno così ci hanno detto. Ma non è vero: non sempre, perlomeno.Infatti la scatoletta della Packet Forensics mostrata qui sopra, stando a un articolo di Wired, è in grado di vanificare l'uso della comunicazione cifrata SSL/TLS: quella che si nasconde dietro il lucchetto. In estrema sintesi, quando ci colleghiamo per esempio al sito della nostra banca, il sito deve dimostrarci di essere davvero quello che dice di essere. Per farlo manda un certificato digitale: un codice generato da un'autorità fidata. Il nostro browser controlla il certificato e, se è in ordine, ci segnala che tutto va bene chiudendo il lucchetto.Ma le autorità fidate primarie (root certificate authorities) che generano questi certificati sono oltre un centinaio (un elenco ordinato per paese è disponibile presso Tractis.com), e per quanto siano severamente controllate, qualche pecora nera c'è sempre, come la Etisalat degli Emirati Arabi, che a luglio 2009 fu colta a infilare un programma-spia nei cellulari degli utenti, camuffato da aggiornamento. Inoltre un governo o una forza di polizia o di sicurezza nazionale può generare un proprio certificato per qualunque sito del mondo oppure obbligare una delle autorità di generazione di certificati a produrne uno fasullo. È interessante notare che nessuno dei principali browser si fida dei governi di Singapore, del Regno Unito e di Israele, per esempio, stando all'articolo Certified Lies: Detecting and Defeating Government Interception Attacks Against SSL di Christopher Soghoian e Sid Stamm.È qui che entra in gioco la scatoletta della Packet Forensics: una società in cui persino il catalogo dei prodotti ha una sezione protetta da password. Adorabile.A una recente fiera riservata agli specialisti di settore a Washington è stato infatti offerto un depliant che ha rivelato le potenzialità della scatoletta in questione (che somiglia molto a questa, denominata LI-5B): in particolare, "la capacità di importare una copia di qualunque chiave legittima ottenuta (eventualmente su ordine del tribunale) oppure possono generare chiavi 'sosia' progettate per dare al soggetto un falso senso di fiducia nella sua autenticità". In altre parole, installando questa scatoletta presso un provider, è possibile far credere all'utente di essere connesso in modo sicuro e segreto alla propria banca o al proprio account di posta mentre in realtà tutto quello che fa viene intercettato. Il lucchetto si chiude, ma l'orecchio del Grande Fratello si apre.All'atto pratico ci sono modi più semplici per intercettare una comunicazione online, e la scatoletta scassa-SSL ha lo svantaggio che un utente esperto si accorge della sua presenza (inoltre Soghoian sta sviluppando un'estensione per Firefox che allerta automaticamente l'utente). Questa tecnica di intromissione, un classico man in the middle chiavi in mano, è un problema principalmente per chi viaggia all'estero.Lo scenario che viene spontaneo immaginare è infatti l'uomo d'affari che si reca in un paese straniero e da lì si collega via Internet per leggere la posta aziendale con i dettagli di un progetto o di una transazione commerciale importante. Se il suo browser non lo avvisa che il certificato di un sito è stato emesso da un'autorità diversa da quella che ha emesso il certificato originale di quel sito, rischia di essere intercettato inconsapevolmente nonostante il lucchetto sia chiuso.Per chi non viaggia per affari, invece, è importante conoscere l'esistenza di queste forme di intercettazione, per non pensare di essere invulnerabile e quindi non commettere idiozie in Rete credendo di farla franca.Fonti aggiuntive: The Spy in the Middle, di Matt Blaze.
sicurezza  from google
march 2010 by hanicker
Pwn2Own 2010: già bucati tutti i browser, tranne Chrome…
Google Chrome è il browser più difficile da “bucare”, ecco il responso della prima giornata di Pwn2Own 2010. L’ormai notissima sfida tra hacker in fase di svolgimento a Vancouver ha visto crollare uno dopo l’altro tutti i principali browser che usiamo quotidianamente per navigare sul web, meno uno, quello di “big G”, che non è stato ancora messo alla prova. Ma andiamo con ordine.

Il primo navigatore a cadere sotto i colpi degli hacker (senza accesso fisico alla macchina) è stato Safari 4 su Mac OS X Snow Leopard. A far breccia nel software cupertiniano ancora una volta l’immarcescibile Charlie Miller, che già aveva colto in fallo Safari l’anno scorso e che con il risultato di ieri si porta a casa un bel premio di 10.000 dollari.

Diecimila bigliettoni vanno anche all’olandese Peter Vreugdenhil, il quale ha strutturato un attacco su quattro livelli per bypassare le protezioni dei sistemi DEP ed ASLR e “bucare” così Internet Explorer 8 su Windows 7. Secondo quanto dichiarato da Vreugdenhil, ci è voluto meno di una settimana per dar vita all’exploit.
(...)Continua a leggere Pwn2Own 2010: già bucati tutti i browser, tranne Chrome…, su Geekissimo

© naqern per Geekissimo, 2010. |
Permalink |
24 commenti |
Aggiungi su del.icio.us

Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Browser, Sicurezza.

Post tags: browser war, falla, hacker, Pwn2Own
Browser  Sicurezza  browser_war  falla  hacker  Pwn2Own  from google
march 2010 by hanicker
Come scavalcare il PIN nelle carte di credito (UPD 20100218)
Il PIN delle carte di credito rubate? Con uno scatolino diventa 0000Questo articolo vi arriva grazie alle gentili donazioni di "masdemma" e "vdemontis" ed è stato aggiornato dopo la pubblicazione iniziale.Quando andavo a scuola io, non facevamo ricerche così divertenti. Un gruppo di ricercatori dell'Università di Cambridge ha scoperto una falla ridicolmente facile da usare nel sistema di gestione "chip and pin" delle transazioni effettuate con carte di credito nei terminali dei negozi.Secondo Ross Anderson, del Cambridge University Computer Laboratory, si tratta di "uno dei difetti più grandi mai scoperto nei sistemi di pagamento... in un sistema usato da centinaia di milioni di persone, decine di migliaia di banche e milioni di punti vendita".La falla permette al malfattore di usare una carta di credito rubata senza conoscerne il PIN. Il metodo, di cui non sono stati divulgati tutti i dettagli per ovvie ragioni, sembra essere un man in the middle: la carta rubata viene inserita in un lettore portatile collegato a un laptop sul quale gira un programma apposito scritto dai ricercatori di Cambridge. Il tutto è nascosto in un piccolo zaino, dal quale esce un cavetto, che viene dissimulato passandolo nella manica del manigoldo. Il cavetto si collega a una finta carta di credito, che è quella che viene infilata nel terminale del negozio al posto di quella vera.La transazione avviene nel modo normale, avendo l'accortezza di non far notare il cavetto che sporge dalla carta (non è difficile), ma al momento della richiesta del PIN il criminale è libero di digitare quello che preferisce, anche "0000", perché il software e la finta carta fanno credere al terminale che sia stato immesso il codice corretto. La ricevuta riporta l'indicazione che la transazione è stata verificata tramite PIN.Il programma Newsnight della BBC ha realizzato un video in cui mostra  questo trucco all'opera, naturalmente in condizioni controllate e con tutti i permessi del caso. Ha funzionato con due carte di credito e due di debito di quattro diversi istituti di credito britannici. Gli istituti, interpellati dalla BBC, hanno sottolineato che si tratta di un problema che riguarda l'intero settore e non è colpa di un singolo operatore e da quanto dicono sembra di capire che stiano già lavorando alla soluzione.Ora resta da chiarire se il problema si estende anche alle carte di credito non britanniche. Considerato che le carte di credito estere funzionano anche nel Regno Unito, la cosa sembra altamente probabile. Un rimedio possibile è disporre il terminale di lettura delle carte in modo che il malfattore non possa dissimulare il cavetto coprendolo con la manica del maglione o della giacca.2010/02/18La bozza dell'articolo dei ricercatori dell'Università di Cambridge è scaricabile qui come PDF.
frode_informatica  truffe  sicurezza  carte_di_credito  from google
february 2010 by hanicker
Paragon Rescue Kit Express, ripristinare Windows senza disco d’installazione
Tra amici, parenti, conoscenti e persone che sbagliano numero di telefono ma visto che ci sappiamo fare con il computer ci chiedono qualche dritta su come rimediare ai disastri informatici, noi geek siamo sempre impelagati in brutte faccende aventi come protagonisti sistemi che non vogliono più saperne di avviarsi normalmente, partizioni corrotte, MBR mandati a ramengo e cose del genere.

Fortuna che esistono i dischi di pronto soccorso, preziosi ferri del mestiere senza i quali saremmo condannati a chissà quante reclusioni forzate causa riparazione PC. Fra questi, spicca sicuramente Paragon Rescue Kit Express.

Paragon Rescue Kit Express è un programma gratuito (previa registrazione a costo zero sul sito) grazie al quale è possibile ripristinare Windows senza disco d’installazione, recuperare dati da partizioni danneggiate, recuperare partizioni cancellate e riparare il boot del sistema in svariati modi. Ecco una guida iper-veloce su come utilizzarlo al meglio:
(...)Continua a leggere Paragon Rescue Kit Express, ripristinare Windows senza disco d’installazione, su Geekissimo

© naqern per Geekissimo, 2010. |
Permalink |
11 commenti |
Aggiungi su del.icio.us

Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Sicurezza, Windows.

Post tags: disco pronto soccorso, live CD, mbr, rescue cd, ripristino windows
Sicurezza  Windows  disco_pronto_soccorso  live_CD  mbr  rescue_cd  ripristino_windows  from google
february 2010 by hanicker

related tags

abusi  account  Ambiente_isolato  amministrazione_di_sistema  analizzare_sito_web  Antivirus  Applicazioni_Online  autenticazione  avvio  Backup  bloccare_pc  Bluetooth  Bluetooth_Proximity_Utility_Lock  Browser  browser_war  BtProx  carte_di_credito  cellulare  chiavetta_USB  Chiavette_USB  controllare_sito  disco_pronto_soccorso  distro_linux  DRM  dropbox  Email  Facebook  falla  file  flash_drive  fotografia  Freeware  frode_informatica  Generali  gmail  google  guide_e_manuali  hacker  hacking  how-to  ie9  impossibile_cancellare_file  informazioni_siti_web  Internet  Internet_Explorer  internet_explorer_9  iPhone  Linux  live_CD  Lulz_Security  malware  mbr  minacce_informatiche  minori  monitorare_siti_web  mysql  networking  NoVirusThanks  password  paywall  PDF  penna_usb  phishing  privacy  processi  Programmazione  programma_gratuito  proteggere  proteggere_PC  proteggere_penna_usb  Pwn2Own  reputazione  rescue_cd  ripristino  ripristino_windows  sbloccare  schermo_del_computer  servizio_web  sicurezza  sicurezza_online  sicurezza_password  sicurezza_pc  sicurezza_siti_web  sistemista  Siti_Web  Social_Network  Software  software_freeware  spazio_gratis  startup  storage_online  Tecnica  tool  trojan  truffe  università  Urlvoid  USB_Write_Protect  Utility  valutazioni  virus  vulnerabilità  Webutation  Wifi  Windows  Wordpress 

Copy this bookmark:



description:


tags: