Tempo fa parlai di come integrare il supporto U2F in WordPress attraverso due plugin. Da allora ho sempre utilizzato u2f-login svilupatto da shield-9. La cosa che mi ha sempre reso perplesso è l'impossibilità di modificare il nome della chiavetta registrata. Nel caso avessimo più U2F keys a tutte sarà affibbiato il nome "New Security Key"... La modifica del nome non è tutto banale e richiede di mettere mano al database. Nella tabella wp_usermeta, se fate una ricerca per il vostro user id e dovreste trovare vari record u2f_registered_key, a seconda del numero di chiavi di sicurezza che avete registrato. Bisognerà editare il contenuto di questi record. Nel campo meta_value, verso la fine, tra le tante informazioni troverete la voce "name" seguita da s:16. Tra le virgolette troverete il famigerato "New Security Key". Per editare il nome della chiavetta registrata sarà sufficiente inserire il nome che più desiderate tra le virgolette. Dopodiché dovrete sostituire quel numero 16 con il numero di caratteri contenuti nella stringa del nome (anche gli spazi contano ovviamente). Salvate il record e avrete cambiato il nome. Salut …
Tag: Sicurezza
Il supporto allo standard U2F arriva anche per Dropbox. Ora già due grandi colossi dell'IT (Google e ora anche Dropbox) prevedono questo metodone come secondo fattore di autenticazione. Speriamo che molti altri prendano questa strada, e che magari, in un futuro non troppo lontano, anche gli istituti bancari (PayPal in primis) introducano questo fantastico sistema. Addio a tutti i token generator che ci portiamo dietro. Alcuni potrebbero obbiettare che le app per iPhone e Android che permettono di generare gli OTP (Google Authenticator in primis) possano essere già un'ottima soluzione al problema di avere un secondo fattore di autenticazione solido. E io condordo in pieno. Il difetto di queste app a mio avviso è che sono fortemente legate al telefono, un dispositivo che un giorno c'è e il giorno dopo non c'è più: perchè è stato sostituito, smarrito, rubato oppure semplicemente formattato. Una volta che questo succede è necessario effettuare le operazioni di recupero della password per ogni servizio che va ad utilizzare l'OTP. Con le chiavi di sicurezza invece si ha uno strumento dedito ad un unico scopo. Una stessa chiave permette il login a più servizi e pià chiavi possono essere associate al medesimo servizio. Questo ci permette …
Premetto che su CentOS 6 questo è ancora un work in progess, probabilmente sbaglierò io qualcosa, ma i binari e le librerie prodotte non riescono a instaurare una comunicazione corretta tra bus USB e sistema, anche se la Yubikey viene vista correttamente dal sistema. La compilazione di pam-u2f richiede parecchie dipendenze e le librerie necessarie non sono disponibile nei repo ufficiali (incluso epel). Preso dalla frustrazione ho tirato su una VM CentOS 7 e con grande soddisfazione ho trovato alcune librerie necessarie (json-c e hidapi) in epel. In questo caso la compilazione va a buon fine in maniera semplice semplice e possibile applicare il modulo pam-u2f a tutte quelle applicazioni pam-aware. Lo stesso vale per Debian 8. Nel caso non sapeste cosa e come funzioni PAM, consiglio la lettura di questo ottimo articolo. Vi darà un'infarinatura generale sulle potenzialità di PAM, uno strumento spesso non considerato. INSTALLAZIONE Per prima cosa installiamo un po' di pacchetti necessari, per la guida prenderò in considerazione installazioni CentOS 6 e CentOS 7: yum groupinstall "Development Tools" yum install epel-release json-c json-c-devel hidapi hidapi-devel gengetopt help2man openssl openssl-devel check check-devel pam-devel Da tenere in considerazione che alcuni pacchetti come json-c (presente nei repo, ma non …
Oggi parliamo di U2F (Universal Second Factor), una tecnologia sponsorizzata dalla FIDO Alliance. Esistono due implementazioni di questa tecnologia per WordPress, entrambe sono pacchettizzate in comodi plugin da aggiungere al vostro blog. Il primo rilasciato direttamente da Yubico necessita dell'utilizzo di composer per risolvere un po' di dipendenze. In entrambi i casi è consigliabile (per il secondo plugin è un requisito) usare una versione di PHP pari o superiore alla 5.5. Per l'installazione basta eseguire il seguente comando nella cartella wp-content/plugins/ git clone https://github.com/Yubico/wordpress-u2f L'unico valore da impostare è l'AppID, si tratta semplicemente del nostro dominio preceduto da http:// o https://. Il secondo plugin invece è scritto da una terza parte. Molto valido. Ne caso non avessimo una chiave U2F ci permetterà di autentificarsi tramite l'utilizzo di un token inviato alla casella mail. Al momento in cui scrivo è presente un problema, ho dovuto fare un bel po' di debug per scovare l'inghippo, in quanto i messaggi di errore non sono proprio così chiari. Una volta scaricato il plugin nella cartella dei plugin di WordPress bisognerà modificare un file. Attenzione che il progetto include moduli da altri repository. Nel caso si utilizzasse git sarà necessario usare l'opzione --recursive oppure dopo …
Oggi ho lottato duramente contro SELinux, in una sfida uomo-macchina dove alla fine l'uomo è risultato vincitore. 😀 Non sto qui a spiegarvi l'impatto che ha l'autenticazione a due fattori sulla sicurezza, mi limito a dire "something you know, something you have". Installata la CentOS 6.4 e configurato il webserver passo al SSH server. Cambio la porta, rimuovo l'accesso per l'utente root e limito la connessione solo a certi utenti. Stabilisco i gracetime, le connessioni massime, fail2ban per i brute force e le regole per iptables. Fatto questo passo a configurare il two-step authentification e mi imbatto sempre in "Access Denied". Guardo il log con: tail /var/log/secure -n 100 e noto: Jul 16 17:15:32 sshd(pam_google_authenticator)[5646]: Did not receive verification code from user Jul 16 17:15:32 sshd(pam_google_authenticator)[5646]: Invalid verification code Jul 16 17:15:32 sshd(pam_google_authenticator)[5646]: Failed to update secret file "/home//.google_authenticator" Faccio una veloce ricerca su Google e noto che il problema è dovuto a SELinux (Security-Enhanced Linux). Ovviamente col cavolo che lo disabilito solo per far funzionare l'autenticazione a due fattori. I problemi tra SELinux e pam_google_autheticator sono ben noti, fortunatamente esiste un semplice workaround. Approfitto di questo per scrivere un intero post dedicato su come integrare Google Authenticator nel SSH …
Pochi giorni è stata rilasciata la versione finale di Avast 8. Con questa versioni sono state introdotte numerose novità rispetto alla precedente. Ovviamente la prima cosa che salta all'occhio è l'interfaccia grafica rinnovata. Personalmente non ho avuto nessun problema nell'adattarmi. Tutte funzionalità sono categorizzate nel modo corretto, così come le impostazioni. Le funzionalità che più apprezzo di Avast 8 sono sostanzialmente due: il modulo software update e browser cleanup. Entrambi presenti in tutte le versioni, quelle gratuite e quelle non. Il primo a mio avviso è un sistema VITALE! Soprattutto per i non addetti ai lavori, che non seguono le release dei vari software principali. Questo modulo vi permetterà di tenere sempre aggiornati i software più critici dal punto di vista della sicurezza: Adobe Flash, Adobe Reader, Oracle Java e i vari browser. Oltre a questo sono previsti gli aggiornamenti anche di altri software come 7zip, irfanview e sicuramente altri. Questi due per lo meno sono quelli che mi vengono proposti. Avast installa automaticamente le nuove release, e nel caso non fosse in grado penserà bene di notificare l'aggiornamento all'utente, in modo che quest'ultimo possa installarlo manualmente. L'altra funzionalità è il browser cleanup, mi sono sfogato giusto pochi …
La settimana scorsa, parlando con gli amici, è saltata fuori questa questione: la sicurezza online. Come tutti sapete internet offre grandi benefici, tuttavia il pericolo è sempre dietro l'angolo. E per quanto mi sia difficile concepire ci sono ancora moltissimi individui che cascano come polli alle più banali trappole. In quest'occasione però vorrei spostare l'attenzione su un altro argomento, al di fuori di phishing e truffe in generale. La sicurezza online è solo una responsabilità dell'utente finale? Io dico di no, e spero che la maggioranza sia d'accordo con me. Molto spesso sempre su internet troviamo articoli e dépliant informativi riguardanti la sicurezza, ma tutte quelle regole d'oro offerte vengono annichilite quando l'anello debole, invece di essere l'utente, è colui a cui diamo le nostre informazioni. Dobbiamo pensare che ogni volta che ci registriamo su qualche sito e inseriamo la nostra mail, password e i nostri dati personali queste informazioni finiscono dirette su un database. Se questo database è vulnerabile perchè il gestore del servizio presta poca attenzione alla sicurezza non c'è articolo sulla sicurezza che possa salvarci. La colpa non è di certo nostra, però intanto i nostri dati sono in mano a persone non autorizzate, ancora peggio se …
Inanzittutto premetto che tutto quello scritto qui sotto funziona si su Windows Server 2008 R2 ma funziona su tutte le versioni precedenti e sicuramente anche su quelle future. Spieghiamo il tuto facendo un semplice esempio che applica alle necessità di "tutti i giorni". Si presuppone di dover creare una cartella al cui interno sono presenti diverse sottocartelle, ognuna rappresentate un diverso settore di un’azienda (ad esempio: amministrazione e tecnico). All’interno di queste sottocartelle avremmo un’ulteriore classificazione in base all’utente (ad esempio: Utente1, Utente2, Utente3, ecc.). Otterremmo quindi una struttura a tre livelli. Vediamo quindi come impostare in modo corretto le condivisioni e le autorizzazioni in Windows Server. Cosa vogliamo ottenere? La prima cosa da porsi prima di mettersi a smanettare con le autorizzazioni è porsi la domanda “Qual è il risultato che dovrò ottenere?”. Questo è molto importante in quanto ogni scenario avrà delle sue peculiarità, che ovviamente dovranno essere soddisfatte. Noi basiamo l’intera guida su un caso abbastanza comune e completo, che ci permette di esplorare in modo abbastanza approfondito il discorso autorizzazioni e condivisioni di Windows. Il risultato che vorremmo ottenere è il seguente: in una cartella vogliamo avere due sottocartelle: amministrazione e tecnico. Queste due cartelle hanno …
Non è certamente la soluzione migliore, però in certi casi può tornare davvero utile. Anche se la password in Windows non comporta di fatto nessuna sicurezza aggiuntiva, è sempre bene usarla. Io recentemente ho dovuto bypassarla perchè su un computer in cui risiedono svariate macchine virtuali, il mancato login comportava un'estrema lentezza nel trasferimento dati su rete LAN Gigabit ( circa 2MB/s ). Windows Vista/7 Andate su esegui ( tasto Win + R ) e scrivete: netplwiz Ora vi basterà togliere la spunta dalla voce "Per utilizzare questo computer è necessario che l'utente immetta il nome e la password". Date Ok e il gioco è fatto! Windows XP Su Windows XP la cosa è molto simile, il comando per accedere al menù però è questo: control userpasswords2 Anche in questo caso dovrete togliere la spunta alla voce "Per utilizzare questo computer è necessario che l'utente immetta il nome e la password". …
Si Si, avete ragione, matrimonio perfetto è fin troppo esagerato. D'altro canto la cosa funziona perfettamente anche con altri servizi di hosting dinamico, come no-ip.org. Solitamente però DynDns è uno di quei servizi che ha di fatto il monopolio, lo si trova implementato in moltissime periferiche hardware, tra cui router e NAS. I QNAP solitamente offrono la possibilità di accedere a uno di questi servizi: http://www.no-ip.com/ http://www.dyndns.org/ http://update.ods.org/ http://www.dhs.org/ http://www.dyns.cx/ http://www.3322.org/ Aprire la finestra che da sul Web è estremamente semplice. Basta infatti registrarsi a uno di questi servizi ed in seguito impostare l'aggiornamento dell'IP sul NAS o sul Router, la cosa è indifferente. Per creare l'account free potete tranquillamente seguire questa guida, oppure questa ( QNAP wiki ). Potete scegliere tra vari domini di secondo livello, ad esempio dyndns.org, dyndns-free.com, dyndns-home.com, ecc.. Sceglietene uno, tanto uno vale l'altro. Una volta terminato il procedimento di registrazione e attivazione dell'host entrate nel pannello di configurazione del vostro QNAP e andate in Amministrazione di sistema -> Impostazioni Rete -> DDNS. Mettete la spunta su Attiva servizio DNS dimanico, scegliete il servizio DynDNS e inserite il nome dell'account con la quale vi siete registrati, relativa password e il nome dell'host che avete scelto. …