Archivio per il tag: sicurezza
Linux: scoperto un “bug” in X.org che permette di sbloccare lo schermo senza password
Quello di cui vi parlo non è esattamente un bug, bensì una sorta di “funzionalità di debug fin troppo esposta”: è quello il motivo per cui, alla pressione di una determinata combinazione di tasti, a partire da X.org versione 1.11 (e superiori) è possibile sbloccare lo schermo senza l’inserimento di password alcuna. La segnalazione arriva direttamente dalla Francia: l’utente Gu1, che ha scoperto per la prima volta questa sorta di vulnerabilità, ci dà la spiegazione seguente:
Google Chrome è il browser più sicuro secondo uno studio accurato
Una notizia che sorprenderà alcuni, mentre lascerà indifferenti altri che si aspettavano qualcosa del genere: secondo uno studio di Accuvant, nota azienda di analisi di sicurezza software, Google Chrome sarebbe il browser più sicuro esistente, al momento, sulla scena informatica. C’era da aspettarselo: Chrome, d’altra parte, è rimasto inespugnato per tre anni di fila al Pwn2Own, cosa mai successa agli altri browser concorrenti.
Per onor di cronaca c’è da puntualizzare che lo studio è stato commissionato all’azienda dallo stesso team Google, anche se ci è stato assicurato che i risultati non sono stati in alcun modo manipolati, tantomeno influenzati dall’azienda di Mountain View.
[Sicurezza] Violato HTTPS, grazie ad una vulnerabilità vecchia 10 anni.
Non sono molte le news in campo di sicurezza capaci di portare ad un vero e proprio allarme rosso ma, a mio avviso, questa merita davvero di essere conosciuta. Si vociferava già da tempo che HTTPS dovesse tremare ancora, in quanto i due genietti in questione – che conosceremo tra pochissimo - avevano rilasciato delle pesanti dichiarazioni riguardo la sicurezza di SSL/TLS, ed avevano lasciato intendere che la violazione, di fatto, era avvenuta.
Ed ecco arrivare i fatti: la notizia è di Venerdì, e porta la firma di Juliano Rizzo e Thai Duong: l’algoritmo – e omonimo tool – da loro sviluppato si chiama BEAST (che non sta per bestia, ma per Browser Exploit Against SSL/TLS), è stato per la prima volta presentato lo scorso Venerdì alla settima edizione della conferenza di sicurezza Ekoparty (Argentina), e a grandi linee segue questo criterio: grazie ad un attacco di tipo CPA (chosen-plaintext), qualche nozione di statistica, ed una vulnerabilità documentata già 10 anni fa – ma mai exploitata, quindi mai considerata critica – è stato possibile violare diverse versioni di SSL/TLS.
Facebook: sapevate di avere più di una password?
Ebbene: il titolo non è una frottola. Anzi. Emil Protalinski@ZDNet, infatti, si è ritrovato ad accedere a Facebook digitando la sua password con il tasto CAPS-LOCK (inconsapevolmente) attivo. E, sorpresa delle sorprese, è riuscito nonostante ciò ad accedere. Non è esatto, però, affermare che le passwords siano case insensitive. Vi spiego meglio.
Alt, fermi, stop: non è un bug. Protainski, infatti, si è messo immediatamente in contatto con il team di sicurezza di Facebook, che ha assicurato che le password memorizzate nei loro database siano protette da sicurissimi algoritmi di cifratura (non chiedetemi quali, ho fatto un botto di ricerche ma non sono riuscita a cavare un ragno dal buco)… nonostante siano memorizzate in “triplice simil-copia“.
[Penetration Distro] Backbox Linux si aggiorna: ecco la versione 2!
Backbox Linux è una distribuzione completamente orientata ai tests di rete: analisi della sicurezza, monitoraggio, stress tests… in due parole, è una distribuzione orientata ai penetration testings. Sebbene utilizzi, come sistema operativo sottostante, niente poco di meno che Ubuntu 11.04 Natty, Backbox fa capolino tra le sue “colleghe” per la sua estrema leggerezza e per la sua semplicità d’uso.
