Articoli

Wordpress Logo

Nelle ultime due settimane abbiamo visto nella cronaca della Sicurezza Informatica il nome di WordPress per ben due volte, infatti come ha riportato Paolo sul suo blog le ultime versioni di WordPress contenevano una vulnerabilità di tipo XSS Stored (è definita stored una vulnerabilità che viene memorizzata/salvata nel filesystem o nel database della vittima, in questo caso nel database). WordPress è corsa ai ripari aggiornando la sua piattaforma di Blogging con la versione 4.2.1 ma ieri è corsa nuovamente ai riparti rilasciando la versione 4.2.2 poiché sono state trovate altre vulnerabilità XSS come ha riportato The Hacker News.

La vulnerabilità di tipo XSS Stored è stata scoperta da Jouko Pynnönen ed essendo di tipo Stored è indubbiamente la vulnerabilità di tipo XSS più pericolosa, ma non voglio soffermarmi sugli aspetti tecnici perché potete tranquillamente trovare tutti i dettagli sul blog di Jouko compreso di un ottimo video dimostrativo. Quel che mi ha stupito e vorrei condividere con voi, magari per avere un vostro parere, è la seguente dichiarazione rilasciata da Jouko:

WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.

Il ricercatore avrebbe tentato di comunicare a WordPress la vulnerabilità a Novembre 2014, senza ricevere alcuna risposta Jouko ha poi chiesto al CERT e ad HackerOne di comunicare la gravità della vulnerabilità individuata ma ancora volta non è stata data nessuna risposta. Così lo scorso 26 Aprile 2015 Jouko ha deciso di rendere pubblica la vulnerabilità.

La gravità di questa vicenda è l’assenza di risposte dal Team di IT Security di WordPress per ben 6 mesi, 6 mesi!!! E sempre Paolo Perego mi fa notare che sul sito ufficiale di WP vi è riportato quanto segue:

The WordPress Security Team is made up of approximately 25 experts including lead developers and security researchers — about half are employees of Automattic (makers of WordPress.com, the earliest and largest WordPress hosting platform on the web), and a number work in the web security field. The team consults with well-known and trusted security researchers and hosting companies.

Circa 25 persone lavorano nel reparto di IT Security di WordPress, se fosse un’azienda Italiana diremmo subito che sono dei fannulloni ma è sempre meglio evitare affermazioni affrettate ma quel che è certo che è incomprensibile l’aver ignorato tale vulnerabilità e la relativa comunicazione da parte di Jouko. Capisco che non è sempre possibile individuare le vulnerabilità di un proprio progetto, anche se si è in 25, ma ignorare il lavoro svolto da una terza persone che cortesemente vi sta comunicando un’importante falla di sistema lo trovo veramente sbagliato!

Jouko avrebbe potuto rivendere la vulnerabilità in qualche Black Market vista l’insoddisfazione nel ricevere un ringraziamento ufficiale e sicuramente guadagnare un buon gruzzoletto, visto che WordPress è il primo CMS mondiale con un adozione stimata al 55%.

In sostanza, da WordPress mi aspettavo molto di più!!

BackBox_4_screenshot

L’avevo preannunciato già ieri sera su Twitter, dopo un ciclo di test in tarda serata abbiamo ufficializzato il rilascio di BackBox 4.2! In questa nuova versione abbiamo fatto un grande lavoro per correggere i bug che ci avete segnalato (Es. pannello Audio ed Energia), abbiamo aggiornato il Kernel, siamo passati da Ruby 1.x alla nuova versione 2.1.x e come sempre abbiamo aggiornato i tools dedicati all’Hacking!

Certamente BackBox 4.2 è un Minor Update ed è stato rilasciato con l’intento di correggere i bug e di migliorare le performance globali del sistema operativo, questo ci permetterà di lavorare al meglio sulla futura BackBox 5! Avere una solida base è sempre la soluzione migliore per continuare saldamente un progetto. Nelle ultime 24h mi sono pure giunte voci sull’abbandono del progetto BackBox, ma voglio pubblicamente smentire queste affermazioni; il Team quotidianamente si confronta e testa le novità da introdurre! BackBox 5 porterà indubbiamente nuovi tools e una grande varietà di novità!

Rimanete sintonizzati, non ve ne pentirete! 😉

Changelog

  • Preinstalled Linux Kernel 3.16
  • New Ubuntu 14.04.2 base
  • Ruby 2.1
  • Installer with LVM and Full Disk Encryption options
  • Handy Thunar custom actions
  • RAM wipe at shutdown/reboot
  • System improvements
  • Upstream components
  • Bug corrections
  • Performance boost
  • Improved Anonymous mode
  • Predisposition to ARM architecture (armhf Debian packages)
  • Predisposition to BackBox Cloud platform
  • New and updated hacking tools: beef-project, crunch, fang, galleta, jd-gui, metasploit-framework, pasco, pyew, rifiuti2, setoolkit, theharvester, tor, torsocks, volatility, weevely, whatweb, wpscan, xmount, yara, zaproxy

Download

Il download è possibile effettuarlo sul sito ufficiale del progetto, BackBox Download!

Upgrade

Per chi volesse effettuare un upgrade dalla precedente versione 4 o 4.1 alla nuova 4.2 dovrà seguire la seguente procedura da terminale:

$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get install -f
$ sudo apt-get install linux-image-generic-lts-utopic linux-headers-generic-lts-utopic linux-signed-image-generic-lts-utopic
$ sudo apt-get purge ri1.9.1 ruby1.9.1 ruby1.9.3 bundler
$ sudo gem cleanup
$ sudo rm -rf /var/lib/gems/1.*
$ sudo apt-get install backbox-default-settings backbox-desktop --reinstall
$ sudo apt-get install backbox-tools --reinstall
$ sudo apt-get install beef-project metasploit-framework whatweb wpscan --reinstall
$ sudo apt-get autoremove --purge

Logo_Hackinbo

HackInBo è il primo evento gratuito sulla Sicurezza Informatica nella città di Bologna! L’evento nasce per sopperire alla mancanza di una manifestazione di questo tipo sul territorio Bolognese, gli interessati avranno l’occasione per parlare e incontrare esperti del settore in un’atmosfera rilassata e collaborativa cogliendo l’occasione per rimanere aggiornati sulle ultime tematiche riguardanti l’IT-Security.

Il tema di questa prima edizione sarà la Sicurezza Aziendale e vi saranno relatori di notevole fama nazionale:

  • Alessio L.R. Pennasilico
  • Gianni Amato
  • Paolo Dal Checco
  • Emanuele Gentili
  • Gianluca Ghettini

Yvette Agostini invece presenterà e modererà l’evento!

L’evento si terrà presso la Fondazione Aldini Valeriani, in Via Bassanelli 9/11 Bologna a partire dalle ore 14,00. Sala Polivalente Romano Martelli, in Via Faenza 4, 40139  Bologna.

L’evento patrocinato dalle associazioni AIPIISFA e CLUSIT è del tutto gratuito; quindi, al fine di evitare spiacevoli inconvenienti, il consiglio è di confermare in fretta la vostra presenza. Per qualsiasi informazione potete visitare il sito internet ufficiale.

CERT

L’allestimento di Cert nazionali “ben rodati e provvisti di una base comune in termini di capacità” marca un passaggio imprescindibile per dotare l’Europa di una “batteria contraerea” capace di fronteggiare con efficacia le aggressioni informatiche. La Commissione di Bruxelles lo va predicando sin dal 2009. Ossia sin dalla presentazione della comunicazione “Proteggere le infrastrutture critiche informatizzate”. All’epoca l’Ue aveva appena metabolizzato lo sgomento per il virulento attacco cibernetico patito un anno e mezzo addietro dall’Estonia: “un brusco risveglio” (copyright: il ministro britannico Francis Maude) su una minaccia inedita, in parte ignota. Dopo il quale, l’esecutivo Ue non aveva avuto più scuse per continuare a traccheggiare sul nodo cyber sicurezza. La comunicazione della Commissione poneva il primo mattone di una strategia su vasta scala intesa a temprare una “governance europea” in materia di sicurezza informatica. Traguardo realizzabile a patto che “tutte le parti in causa dispongano di informazioni affidabili in base alle quali intervenire”. Cioè: attraverso il lavoro dei singoli Cert nazionali e, a fortiori, potenziandone il coordinamento. Tant’è vero che nel 2010 questa priorità è entrata tra gli obiettivi dell’Agenda digitale: gli stati membri devono istituire entro il 2012 la propria squadra di risposta alle emergenze informatiche.

Alcuni paesi erano già in regola. Altri, dal Lussemburgo all’Irlanda, hanno provveduto ad uniformarsi nell’arco degli ultimi due anni. Al momento, a voler tracciare un’ipotetica mappa dei Cert nazionali, resterebbero appena tre spazi bianchi. Oltre all’Italia, sulla lista semivuota degli “inadempienti” campeggiano solo Cipro e Malta. Ancora per poco, tuttavia. Come dichiarato al Corriere delle Comunicazioni da Graeme Cooper dell’Enisa – l’Agenzia europea per la sicurezza delle reti e dell’informazione – Valletta e Nicosia sono al disbrigo delle ultime formalità prima di inaugurare i proprio team di risposta. Con la conseguenza che, dopo la fatidica data del 2012, l’Italia farebbe figura di unico e ultimo paese Ue a non essersi dotato di un Cert nazionale. Anche se Cooper ci tiene a precisare che nel nostro paese “sono già attivi diversi Cert settoriali”. Piuttosto, appare evidente che i solleciti pubblici più e più volte levatisi dalla Commissione, pur evitando di fare nomi, erano indirizzati ad un risicatissimo nucleo di stati, tra cui il nostro. Ancora il 12 settembre Neelie Kroes ripeteva in conferenza stampa che “l’Agenda digitale esorta tutti i paesi membri a istituire i propri Cert”. Esortazione inserita anche nella comunicazione sulla cyber-sicurezza su cui l’esecutivo europeo dovrebbe alzare il velo nei prossimi mesi.

Tanta fretta sui Cert ha una sua ratio. L’obiettivo urgente è quello di creare una rete che “sarà la pietra angolare di un sistema europeo di condivisione delle informazioni e di allarme per i cittadini e le Pmi, da costruire con le risorse e le capacità nazionali entro il 2013”. Insomma, dall’anno prossimo la Commissione vuole mettere in piedi un concreto sodalizio tra le varie squadre di risposta nazionali che lavorerà sotto gli auspici del Cert-Eu. Quest’ultimo, dopo una fase di rodaggio, è stato istituito in maniera permanente subito dopo l’estate. E dovrebbe preoccuparsi di presiedere ad una maggiore armonizzazione tra i 27. Anche perché, come spiegano all’Enisa, “ci sono ancora differenze tra i modus operandi dei Cert nazionali. E l’esistenza di approcci nazionali diversi aumenta il rischio di frammentazione e di inefficienza in tutta Europa”.

Fonte | Corriere Comunicazioni

Software Commerciale o Software Libero? L’eterna diatriba scende in campo anche nel mondo dell’IT Security, Shay Chen (Ricercatore di Sicurezza Informatica) ha stilato una preziosa classifica nella quale confronta dettagliatamente tutti i software in distribuzione in grado di effettuare scansioni sulle principali vulnerabilità web (xss, sql injection, ecc ecc).

Il confronto vede in gioco più di 50 software per i quali sono stati analizzati aspetti tecnici, precisione dei risultati e rapporto qualità/prezzo.

Non c’è un vincitore assoluto del concorso, per l’anno 2012, per ogni categoria di test spicca un software diverso, ai primi posti vediamo pur sempre un Software Commerciale seguito a ruota da uno o più software Open Source.

Il vincitore del concorso, per l’anno 2012, è il software Ammonite della categoria di Software Commericale, seguito a ruota dal software libero W3AF già incluso nella famosa distribuzione BackBox dedicata al Pen Testing. Ammonite ha vinto la sfida per soli 6 punti percentuali, riuscendo per ben 63,97% di volte a individuare una vulnerabilità contro i 57,58% di W3AF il quale ha però una miglior accuratezza nel determinare i falsi positivi con uno scarto di 1 a 3 sul rivale.

Il ricercatore infine ci tiene a precisare che oramai il divario tra Open e Commercial è veramente minimo, quest’ultima categoria ha dalla sua parte una miglior interazione con l’utente e semplicità di utilizzo e di installazione.

Per chi fosse interessato ad approfondire la sfida può trovare la classifica generale dei migliori 10 software per categoria al seguente sito oppure tutti i dettagli dell’analisi condotta sul blog del ricercatore.

Questo articolo sarà l’ultimo del 2011 viste l’imminente fine dell’anno, inizio subito RINGRAZIANDO tutti i nostri lettori che giornalmente ci seguono gratificano il nostro lavoro e ci segnalano le notizie più importanti.

Il 2011 è stato un anno impegnativo per Over Security nel quale abbiamo però ottenuto grandi successi e record di letture.

Il nostro Blog di Sicurezza Informatica nasce nel Gennaio 2010 con l’intento di informare i nostri lettori dei principali temi di IT Security, quest’anno per nostra grande soddisfazione siamo stati citati da altrettanti grandi Blog come Il Disinformatico di Paolo Attivissimo, Download Blog, HD Blog, ecc ecc ai quali devo un GRAZIE per la preziosa collaborazione.

L’anno 2011 si chiude pertanto con ottimi risultati, 422 mila visitatori per una media giornaliera di circa 1100 visitatori e più di 944 mila pagine viste!

Ci auguriamo di continuare con impegno il nostro lavoro per l’anno venturo!

Un Augurio di un Felice 2012 a Tutti i Nostri Lettori!

IT Security a rischio in azienda: secondo una recente ricerca condotta da BalaBit, la gran parte del personale IT non adotta comportamenti conformi alle policies aziendali, addirittura, compiendo attività illecite: il 74% abusa del proprio ruolo per accedere ad informazioni riservate degli altri lavoratori, mentre il 54% viola le policy aziendali scaricando contenuti illegalmente.

A rispondere al questionario anonimo sulla sicurezza informatica in azienda sono stati tutti i professionisti IT, compresi CIO, CSO, amministratori o manager di sistema.

Il pericolo vero (e la tentazione) sta nella condivisione di password e l’accesso condiviso con più colleghi a sistemi e applicazioni aziendali per attività di amministrazione (il che avviene nel 42% dei casi). Tutto questo espone a seri rischi, perché in caso di incidenti diventa difficile trovare il reale responsabile.

Forse per questo solo l’8% degli intervistati si è dichiarato contrario al monitoraggio del proprio lavoro, mentre il 92% del campione non si è dimostrato affatto contrario. Più in particolare il 34% ne sarebbe addirittura contento ed il 58% non avrebbe nessun problema.

Eppure esiste un 74% che sarebbe già stato licenziato se l’azienda avessere delle registrazioni video del proprio “operato”: solo il 36% dichiara infatti di non aver mai effettuato nessuna attività illecita!

In media chi ha infranto le policies IT lo ha fatto almeno due volte, tra le attività illegali più gettonate c’è il download di contenuti illegali praticato dal 54% dei responsabili IT; la creazione di regole eccezionali nei sistemi IT come firewall per ragioni personali (48%); il prelievo di informazioni aziendali (29%); la visione di file riservati relativi ai colleghi presenti nei server dell’azienda, come buste paga etc. (25%); la lettura delle email dei colleghi (16%); la cancellazione o modifica dei file di gestione dei log (15%).

Dalla ricerca emerge quindi la necessità per le aziende di introdurre soluzioni di monitoraggio delle attività degli utenti con accessi privilegiati, soprattutto amministratori di sistema e top manager. Investimenti in soluzioni innovative di controllo in tempo reale e di tracciamento degli accessi, che le aziende dovrebbero prendere in considerazione anche a fronte delle recenti previsioni Gartner, che stima un sempre più massiccio utilizzo di smartphone e tablet da parte dei dipendenti, nonché un maggiore ricorso al cloud computing.

Fonte | PMI

Nei mesi passati si è tanto sentito parlare di questa nuova applicazione denominata Anti per i dispositivi Android in grado di testare la sicurezza delle infrastrutture di rete. Dopo una lunga attesa oggi è stata resa disponibile la prima versione ai Beta Tester.

Lo sviluppatore Itzhak Avraham mi ha voluto rendere partecipe in questo progetto pertanto a breve recensirò questa applicazione per tutti gli IT Security Italiani. Rimanete collegati…

Se intanto gradite avere maggiori informazioni sul software vi lascio il video introduttivo ed il sito ufficiale.

Come vi avevo anticipato, oggi si è tenuta a Roma una delle più importanti conferenze gratuita nel settore dell’IT Security la Digiconf (Digital Forensics & Security Conference). I temi trattati variano dalla Sicurezza Informatica alla Computer Forensic, Cybercrime e Cyberwar. Vi è stata partecipazione di relatori importanti quali Nanni Bassetti, Gianni Amato,  Denis Frati,  Mario Pascucci, Avv. Francesco Paolo Micozzi e Giovanni Battista Gallus.

Per chi, come me, non ha potuto partecipare di persona alla conferenza gli autori hanno reso disponibili le Slide delle conferenza scaricabili attraverso i seguenti collegamenti:

  • “Casi reali di workaround e problem solving nelle fasi di acquisizione ed analisi” – Nanni Bassetti (Download)
  • “Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefield forensic” – Denis Frati (Download)
  • “Come lacrime nella pioggia: cosa rischia di rimanere delle nostre vite digitali” – Mario Pascucci (Download)
  • “Le nuove frontiere del Cybercrime ” – Gianni Amato (Download)
  • “Ripetibilità vs irripetibilità – accertamenti vs attività tecniche – I recenti arresti giurisprudenziali e dottrinali in materia di acquisizione della prova digitale. Il riesame delle misure ablative.Il sequestro dei siti internet” – Francesco Paolo Micozzi (Download) e Giovanni Battista Gallus (Download)