L’11 Luglio si terrà ad Orvieto un inusuale hack contest, piuttosto movimentato, che richiederà ai partecipanti il crack dei diversi access point wireless installati per le strade della città. A quanto pare l’uno darà indicazioni riguardanti il successivo, così da costituire una catena di informazioni preziose per giungere all’ostacolo finale.

Prima della competizione, la conferenza degli sviluppatori di BackTrack, tra le più conosciute distro live di Linkux improntate alla sicurezza informatica.

Orvieto non è proprio dietro l’angolo, ma..perchè no?

Sono in crescita gli episodi che vedono un blogger o un webmaster sollecitato a rimuovere un qualsivoglia contenuto presente sulle sue pagine perchè contrario alle leggi sulla privacy o sulla diffamazione. Con il tempo si penserà sicuramente a coloro che vengono “invitati” a rimuovere tali contenuti, nel frattempo si è pensato a coloro che avanzano tale richiesta.

Perchè spesso si è portati ad immedesimarsi al poveretto accusato di diffamazione, ma non sono rari i casi nei quali una pagina web si trasforma in un cocktail di informazioni fasulle e talvolta diffamatorie. Il nuovo servizio di Gianni si propone di dare una mano proprio alle vittime di tali crimini. Si chiama Hashbot, e rappresenta il primo strumento in grado di immortalare una pagina web così come si trova in un ben preciso istante. Ciò che lo rende unico è il fatto che le sue acquisizioni rappresentano prova legale (UPDATE: maggiori info a riguardo tra i commenti).

E’ infatti facile per un diffamatore scrivere qualcosa e poi, dopo essere stato denunciato, eliminare tale contenuto. In sede di giudizio un semplice screenshot della pagina di quando ancora conteneva i testi contestati non ha valenza giuridica. C’è la cache di Google, ma se il sito dell’accusato non è visitato frequentemente dagli spider di Google, è facile che si riveli inutile.

Hashbot invece funziona così:

“Dopo aver ricevuto la risposta dal server remoto, in caso di risposta positiva scaricherà il documento, calcolerà gli hash MD5 e SHA1, assegnerà un codice univoco al singolo processo di acquisizione e salverà tali informazioni nel suo database. Alla fine l’utente sarà tenuto a scaricare l’archivio contenente il documento validato e le informazioni di certificazione scientifica. Da questo momento in poi si potrà interrogare il database per chiedere verifica della validazione. Inserendo nell’apposita form il codice di validazione e l’hash (a scelta MD5 o SHA1), l’applicazione in caso di matching positivo, ritornerà tutte le informazioni salvate in sede di acquisizione del documento.”

Il servizio, a cura di Gianni Amato e di Davide Baglieri non manterrà traccia sui suoi server dell’archivio ZIP generato.

Autore: Pecciola

Ancora bachi di sicurezza molto pericolosi in applicazioni utilizzate quotidianamente da milioni di utenti. Microsoft ha rilasciato un bollettino di security in cui sottolinea di aver scoparto una falla in Excel che potrebbe portare ad eseguire codice da remoto.

Il Bug Excel :

In pratica se ricevete via mail un file di Excel esposto al rischio la possibilità che un trojan si insinui è molto elevata e quindi occhio a  file che vi arrivano soprattutto se provenienti da fonti sconosciute. 
Microsoft si sta adoperando per capire le cause e mettere in piedi una patch quanto prima per evitare disastri e McAfee informa che, per ora, il numero degli attacchi è limitato ma coloro che sono colpiti hanno una backdoor e un malware in ascolto sulla porta 80 del loro PC. (continua…)

Autore: 4nT0

Le password, croce e delizia di ogni sistema di autenticazione. Se da un lato esse sono un buon compromesso di semplicità, praticità e sicurezza per un sistema di autenticazione, dall’altro si possono trasformare nel tallone di Achille delle risorse protette.

Le password, infatti, vanno usate con la consapevolezza che alcune di esse sono molto più insicure di altre. Basta osservare alcune semplici regole per non scegliere una parola chiave che lasci la via libera a chiunque voglia entrare. Ma molte persone, preoccupate di non ricordare in un secondo momento la password scelta, si affidano a scelte banali e molto prevedibili, anche per servizi di una certa importanza.

(continua…)

Autore: Pecciola

TinyURL lo conosciamo, bene o male, tutti o tutti l’abbiamo più o meno utilizzato come servizio. Anche questo sito, da qualche tempo, è utilizzato da criminali informatici per indirizzare i navigatori ignari verso pagine web contenenti virus, trojan e altre forme di  malware.
Questi criminali stanno utilizzando il servizio di TinyUrl per evitare che i loro siti web vengano direttamente segnalati dai meccanismi di Safe Browsing implementati nei moderni browsers come Mozilla Firefox e Google Chrome.

Infatti, entrambi, impiegano il Google Safe Browsing : una feature cha allarma e avverte gli utenti circa siti di phishing e malware. Sfruttando TinyURL i criminali riescono, invece, a nascondere le loro URL pericolose rindirizzando il navigatore verso siti e pagine pericolose senza alcun avviso di sorta. (continua…)