Non memorizzate le vostre password.

Una cosa che quelli che fanno il mio lavoro suggeriscono continuamente: non usate password che si ricordano facilmente e che siano tutte diverse fra loro per ogni servizio che usate.

L’articolo estremizza dicendo di usare unicamente un gestore di password per l’accesso ai siti. Una scelta giusta ma non sempre praticabile dappertutto.

Usate comunque un gestore password.

j j j

Ieri la NSA ha reso pubblicamente scaricabile con licenza Open Source il suo tool Ghidra.

Ghidra è un software per il reverse engineering, ovvero l’operazione di estrarre da un programma quelle che sono le istruzioni, il codice, l’architettura e tutte le sue caratteristiche che non sono immediatamente interpretabili dai Files a disposizione dell’utente.

Nessun tool di hacking offensivo come accadde per Vault7, la suite di software usata dalla CIA svelata da WikiLeaks e utilizzata per migliaia di episodi criminali negli ultimi due anni.

Il reverse engineering è una pratica importante dal punto di vista della sicurezza, soprattutto nell’ambito della malware Analysis, nella quale si utilizza per ricostruire il comportamento di software malevolo e aggiornare gli strumenti di difesa.

“If you’ve done software reverse engineering what you’ve found out is it’s both art and science, there’s not a hard path from the beginning to the end” [Link]

j j j

Microsoft Edge permette ancora a qualcuno di utilizzare Flash.

by Carmine Bussone

Microsoft Edge lets Facebook run Flash code behind users’ backs

Fino a pochi giorni fa, il browser Edge di Microsoft permetteva ad un gruppo ristretto di siti (58) di utilizzare Flash. Le impostazioni di sicurezza di default normalmente permettono di eseguire il plugin solamente se autorizzato dall’utente.

Un ricercatore di Google ha scoperto il mese scorso che Edge conteneva una lista di domini per la quale non era necessario alcun consenso dell’utente all’esecuzione di Flash che tra l’altro – in questo caso – permetteva anche di sfruttare una vulnerabilità di Adobe.

Fra le url, oltre a MSN, Deezer e altri, c’era anche il sito di un salone di bellezza spagnolo (!).

Attualmente, dopo la segnalazione, Microsoft ha forzato l’uso dell’https e i domini sono diventati due.

Tutti e due appartenenti a Facebook.


j j j

Inside the UAE’s secret hacking team of U.S. mercenaries

Dietro il nome di Progetto Raven c’era (c’è?) un gruppo di informatici esperti di sicurezza e intelligence.

Fin qui nulla di strano, se non fosse che questi informatici erano praticamente dei mercenari provenienti da tutto il mondo e che lavoravano per una compagnia basata negli Emirati Arabi.

In questo reportage, la storia di come si raccoglievano informazioni sulle persone a livello mondiale avendo alle spalle risorse infinite e pochissimi scrupoli.

“Some days it was hard to swallow, like [when you target] a 16-year-old kid on Twitter, […] but it’s an intelligence mission, you are an intelligence operative. I never made it personal.” [Link]

j j j

L’ennesima legge fatta male con la scusa della sicurezza.

by Carmine Bussone

In Australia potrebbe essere approvata una legge che consentirebbe alle forze dell’ordine di ordinare il sequestro di informazioni criptate detenute dalle aziende.

In poche parole: se sei un’azienda o uno sviluppatore che ha la possibilità di leggere informazioni criptate a te indirizzate o hai la capacità di decriptare le informazioni che arrivano alle tue piattaforme localizzate in Australia, potresti essere costretto a consegnare tali informazioni alla polizia. Pena multe molto salate o addirittura la galera.

Non è difficile immaginare le conseguenze, sia per la riservatezza che per le aziende che utilizzano crittografia e che si troveranno ad essere molto meno appetibili.

There’s no end to the damage this law could do if there’s even a single corrupt judge, law enforcement agent, or politician on the Australian continent. [Link]

j j j