social_enginnering

Come può qualcuno che non è mai entrato in contatto con noi, conoscere così tante informazioni sulla nostra organizzazione, sui nostri progetti o sui nostri processi aziendali? Come possono queste informazioni aiutare un competitor o un criminale? Motori di ricerca, social network e quasi tutti i servizi web che utilizziamo ogni giorno raccolgono automaticamente quantità enormi di dati per ognuno di noi. Social network come Facebook, Linkedin, Twitter sono un’arma fondamentale per le prime fasi di Intelligence di ogni attacco informatico.

eLearnSecurity Martedì Mercoledi 25 Giugno alle ore 21:30 attraverso un Webinar ci sarà una serie di dimostrazioni pratiche su come hacker e criminali ogni giorno ricavano informazioni e dati sensibili che rendono possibili attacchi sofisticati ad organizzazioni di ogni ordine di grandezza.

Insieme al Ricercatore ed Istruttore Francesco Stillavato scopriremo come competitor e criminali possono sfruttare le informazioni (come foto, post, documenti, etc.) che ogni giorno lasciamo su social network e servizi  web, sia per aumentare le chance di successo di un potenziale attacco sia per preparare sofisticati attacchi di social engineering.

Chiunque è interessato può iscriversi gratuitamente sul sito internet ufficiale.

Password

Il portale CrackStation ha recentemente rilasciato un archivio contenente oltre un miliardo di parole (esattamente 1,493,677,782) sfruttabili per un attacco a dizionario, complessivamente l’archivio occupa 15GiB di spazio ed è scaricabile gratuitamente ma è ben accetta una donazione visto il duro lavoro che è stato eseguito per archiviare questo dizionario.

La lista contiene ogni parola presente nei dizionari e le password che sono state trovare su internet grazie ai leak dei Database. Contiene inoltre ogni parola nel database di Wikipedia (in tutte le lingue), così come un sacco di libri da Project Gutenberg. Infine comprende anche le password da alcuni database a basso profilo che sono stati violati e/o venduti negli anni scorsi.

Il formato della lista è un file di testo standard contenente le parole in ordine alfabetico non case-sensitive. Le righe sono separate con il “\n” ovvero il carattere di nuova riga.

Per chi è interessato può eseguire il download e trovare le indicazione per effettuare una donazione  sul sito ufficiale di CrackStation.

BlackBerry_Z10

Il nuovo prodotto di casa RIM è soggetto ad una grave vulnerabilità che permette di effettuare una escalation dei permessi, la vulnerabilità identificata con il codice CVE-2013-3692 sfrutta una debolezza dell’applicativo “BlackBerry Protect” per garantire ad un malintenzionato i permessi di root sul dispositivo.

Per evitare questa vulnerabilità vi basterà effettuare un aggiornamento software all’ultima versione 10.1.

Via | THN

AircrackGUI_Android

Marco Deviato, ha intrapreso lo scorso Aprile un importante iniziativa che lo vede impegnato nel porting della famosissima suite AirCrack nel mondo Android. AirCrackGUI è infatti un software installabile su alcuni dispositivi Android in grado di effettuare test di sicurezza delle reti WiFi, come l’omonima suite per computer sarà possibile catturare pacchetti IVS e calcolare la chiave di protezione delle reti protette con il protocollo WEP oppure catturare l’Handshake delle reti WPA/WPA2.

Attualmente il software supporta due chipset Wireles:

  • BCM4329, presente negli smartphone: Nexus One, Evo 4G, Desire, Desire Z, Wildfire S;
  • BCM4330, non supporta il packet injection ed è presente nel Galaxy S II.

Per chi volesse provare AirCrackGUI per il proprio dispositivo Android trova sul blog XDA le istruzioni per l’installazione e i link all’APK.

wp_waf

Gianni Amato ha recentemente rilasciato la seconda versione di WP WAF, un Web Application Firewall per WordPress semplicemente installabile come plugin esterno.

La nuova release mantiene interamente le feature presenti nella precedente versione e introduce un ulteriore layer di sicurezza agendo direttamente sulle direttive del file .htaccess al fine di risolvere il noto problema del directory listing e mitigare gli attacchi ai plugin vulnerabili.

La configurazione iniziale del file .htaccess verrà salvata nella root con nome original.htaccess e ripristinata automaticamente quando il plugin verrà rimosso.

Per il momento potete installare la nuova versione scaricando il file zip da Github, nei prossimi giorni l’aggiornamento sarà disponibile anche sul repository WordPress.

Eventuali bug potete segnalarli attraverso il sito ufficiale di Gianni Amato.