security

Nascondere file e directory su Apache disabilitando il browsing

furibondox — Wed, 14 May 2008 22:21:58 +0200

Oggi mi è capitato di dover impedire l'indicizzazione di una directory presente sul mio server web che invece mostrava tutto il suo contenuto. Brevemente, per impedire che ogni utente possa visionare il contenuto di una directory (qualora manchi l'index.php/index.html) occorre apportare una piccola modifica al file di configurazione di apache oppure inserire una direttiva nell'.htaccess.

Problema di sicurezza con OpenSSL

minopausa — Wed, 14 May 2008 15:57:10 +0200

In un messaggio inviato alla mailing list di Debian sulla sicurezza, Florian Weimer ha fatto notare la presenza di un bug nel pacchetto OpenSSL: il generatore di numeri casuali presente nel pacchetto, in realtà, non sarebbe efficace e le chiavi sarebbero prevedibili.

[OT] HACKER SENZA COSCIENZA

Mon, 12 May 2008 14:25:55 +0200

Stavolta un manipolo di hacker ha davvero superato tutti i limiti dell’immaginazione e del buon gusto. Le motivazioni che contraddistinguono gli scaltri smanettoni della rete hanno avuto sempre trovato una spiegazione – non sempre giustificabile, ma quanto meno comprensibile -. Tra loro troviamo gli hacker etici - spinti da obiettivi degni di ogni rispetto – che si occupano di individuare falle nei sistemi, a comunicarle agli interessati e non di rado a collaborare per eliminare queste imperfezioni. La stessa Microsoft ha addirittura affermato come questi “cervelli” debbano essere tutelati. Nessuno di questi però è stato mai in grado di infliggere sofferenze fisiche ai destinatari delle loro attenzioni se non esclusivamente forti preoccupazioni per il danno economico subito. Quello che è accaduto in questo caso, invece, non trova davvero alcuna scusante. A cura di Davide Mancini, ispettore della Guardia di Finanza, responsabile dell’Unità Computer Forensic del GAT Nucleo Speciale Frodi Telematiche

[OT SECURITY]Chung, Shen, Kang…Boeing!

Wed, 16 Apr 2008 14:33:58 +0200

Per proteggersi dal furto di informazioni non è sufficiente “blindare” i sistemi informativi, ma è anche necessario selezionare con attenzione le persone che si servono di computer e reti. A cura del Colonnello Umberto Rapetto

Tentativi di phishing ai danni di utenti Gmail

KikoWeb — Mon, 14 Apr 2008 11:00:18 +0200

Da un pò di giorni circolano nei forum e nei blog italiani un pò di commenti e richieste di aiuto, di post e di allarmi generali su Gmail. Motivo: una serie di attacchi agli utenti del più famoso servizio di posta elettronica. Google Italia ha rilasciato poche informazioni e in un post ufficiale ha solo tentato di smorzare l’allarme. Il problema, ancora una volta, è l’alto tasso di successo (almeno così pare, nonostante dati ufficiali non sono stati nè pubblicati nè discussi) di questi attacchi. Allora, ecco un ragionamento e un pò di consigli per non cadere nella trappola.

Backup incrementale con rsync tramite ssh

furibondox — Wed, 09 Apr 2008 23:35:12 +0200

E' da un po' di tempo che la stavo preparando ma solo oggi sono riuscito a terminare la guida per creare un potente e funzionante sistema di backup con solo un paio di script bash e l'utilizzo di rsync e ssh. Lo script proposto lo stiamo utilizzando ormai da un paio di anni per spaghettilinux.org (seppur con qualche modifica ogni tanto) e devo dire che funziona egregiamente. Inoltre lo abbiamo proposto gia' ad alcuni nostri clienti. Che dire... provatelo ;-)

CyberStorm, simulazione di guerra cibernetica (Parte 2/2)

KikoWeb — Thu, 27 Mar 2008 15:04:04 +0100

Nella seconda parte dell’articolo l’attenzione è posta a quel che può significare CyberStorm circa gli standard di cybersecurity, quindi quali possibili conseguenze per la ricerca in ambito di sicurezza informatica. Pur mancando di feedback ufficiali (poichè evidentemente le relazioni sono segrete) si avanzano alcune ipotesi, non troppo lontane dalla realtà.

CyberStorm, simulazione di guerra cibernetica (Parte 1/2)

KikoWeb — Tue, 25 Mar 2008 13:41:28 +0100

Il bene contro il male, i cattivi contro i buoni, sistemisti contro cracker, polizia contro criminalità. Attacco ai sistemi più delicati, worm lanciati contro i computer delle agenzie e dei governi più importanti al mondo. Ma è soltanto un gioco, solamente una delle più grandi simulazioni di guerra in rete.

The Laws of Full Disclosure

Wed, 05 Mar 2008 16:16:59 +0100

Full disclosure has a long tradition in the security community worldwide, yet different European countries have different views on the legality of vulnerability research. SecurityFocus contributor Federico Biancuzzi investigates the subject of full disclosure and the law by interviewing lawyers from twelve EU countries: Belgium, Denmark, Finland, France, Germany,Greece, Hungary, Ireland, Italy, Poland, Romania, and the UK.

SECURITY BROKER? PERCHE’ NO?

Mon, 18 Feb 2008 15:12:34 +0100

L’individuazione di un’azienda cui affidare la protezione dell’impresa, e in questa la tutela del patrimonio informativo, deve presupporre adeguata capacità di committenza... A cura del Colonnello Umberto Rapetto.