Faccio una piccola parentesi su come fare per "costruire" un proprio certificato SSL, che poi andremo a utilizzare sul QNAP. Io personalmente ho impostato il NAS per utilizzare solo connessioni https:// ( quindi sicure ). Per creare il nostro certificato però dovremmo, seppur temporaneamente, disattivare questa funzionalità per motivi di sicurezza. Se ad esempio sbagliate a creare il certificato non potrete più accede al menù di amministrazione. Con questa opzione disattivata invece potrete comunque entrare nella WEBGUI non protetta ( http:// ) e ripristinare il certificato di default della QNAP. Vi ricordo che per disattivare la forzatura delle connessioni in SSL dovrete andare in Amministrazione di sistema -> Impostazioni generali e togliere la spunta da Forzare soltanto la connessione sicura (SSL). Fatto questo potremmo procedere tranquillamente. Da questo sito scaricate la versione di OpenSSL che più preferite, 32 o 64 bit. Per quello che dovrete fare la versione Light vi sarà più che sufficiente. Per l'installazione avrete bisogno del Visual C++ 2008 Redistributables, scaricabile dal sito. Tutti coloro che utilizzano sistemi Linux invece avranno OpenSSL già installato di default, al massimo lo trovate sui vostri repository. Installato OpenSSL aprite un prompt e dirigetevi in C:\OpenSSL\bin ( il path potrebbe cambiare a seconda …
Tag: Sicurezza
Poche ora fa è stata rilasciata la versione 6 di Avast antivirus ( 6.0.100 ). Io sono passato ad Avast già dalla versione 4 e poi non l'ho più abbandonato. Le prime versione avevano il brutto vizio di dare molti falsi positivi ma ora è tutto cambiato. Penso che Avast sia uno degli antivirus migliori sulla piazza. E' free ed è leggero, non credete a quelli che affermano che Avast è pesantissimo ( forse questi lo fanno girare su un 386 ), per un computer moderno far girare Avast è dispendioso quanto far girare Messenger. Probabilmente non ci crederete ma io ho perfino la licenza pro... so che sembra strano, ma tempo fa sono incappato in un'offerta particolarmente vantaggiosa: 2 anni di licenza per 20€, allora lo ho comperato 😀 Comunque anche la versione free è più che valida e ora la versione 6 implementa ( anche per la versione gratuita ) l'autosandbox. Questa particolare funzionalità esegue i programmi sospetti in un area di memoria isolata dal resto del sistema, il sistema dovrebbe quindi andare ad inibire il malware che si ha avviato. Qui trovate la versione free, pro e internet security. 😉 …
Il 7 febbraio il team di sviluppo WordPress ha rilasciato una minor release: la 3.0.5. Stando al post nel blog ufficiale si tratterebbe di una security release che va "rattoppare" alcuni problemi di sicurezza legati ai livelli "Autore" e "Collaboratore". Tramite un exploit utenti con diritti di questo livello potevano incrementare i propri diritti d'accesso fino a controllare il sito. Potete trovare tutti i dettagli all'indirizzo riportato sopra. Si consiglia l'aggiornamento della piattaforma, tramite auto-update o update manuale. 😉 …
Oggi Opera incassa un brutto colpo, il "gancio destro" arriva da VUPEN Security, il bug, scoperto e confermato, è considerato critical ( critico ). Tale bug affigge sia la versione 11, sia al 10.63 e precedenti installate su Windows XP Sp3 e Windows 7. Il bug, come detto, è critico e permette ad un malintenzionato di eseguire codice malevolo e di conseguenza prendere il controllo del pc attacco; il tutto tramite una pagina preconfezionata ad-hoc. Il problema riguarderebbe il file "opera.dll". Al momento non esiste nessuna patch per risolvere il problema. Da Opera non si sa niente, ma con tutta probabilità la società è al lavoro per risolvere il problema. Per ora la miglior difesa è prestare la massima attenzione. C'è però da dire che in questo caso la poca fetta di mercato di Opera aiuta, infatti sarà abbastanza difficile imbattersi in qualche exploit che sfrutta questo bug. UPDATE 27 gennaio 2011: Come ci si aspettava, Opera Software ha rilasciato un minor update, 11.01 che va a risolvere anche il problema di sicurezza citato sopra. Per le altre novità vi rimando al changelog. …
Come molti di voi sanno, quando un file viene cancellato dal nostro hard disk ( o qualsiasi altro dispositivo ) l'operazione non va a modificare il file in questione, infatti il sistema operativo si limita solamente ad eliminare il puntatore a quel file presente nella MFT (Master File Table) nel caso di un file system NTFS. Questo significa che con software appositi si recupero è possibile recuperare i dati eliminati. Solitamente questo è bene, perchè se ad esempio i file vengono eliminati accidentalmente ( questo vale soprattutto, per quelli come me, che abusano di Shift-CANC ) possono essere recuperati facilmente se non vengono sovrascritti da qualcos'altro. Cosa succede però se dobbiamo cancellare dei dati personali? E se dobbiamo vendere il nostro PC ad un'altra persona? In questi casi dobbiamo essere sicuri che determinati file vengano eliminati sul serio e non ci sia nessun modo per poterli recuperare. Per poter fare questo possiamo usare Eraser, un ottimo software open-source che applica diversi algoritmi di eliminazione e sovrascrittura. Forse il più conosciuto, e anche più complesso, è il metodo Gutmann (35 passi), che assicura l'eliminazione al 100%. Tuttavia già il metodo US DoD 5220.22-M a 3 passi assicura l'eliminazione. Il primo metodo …
Nella giornata di ieri ho parlato di una vulnerabilità critica riguardante Adobe Flash Player e Adobe Reader. Adobe ha da poco rilasciato alcune informazioni sul rilascio delle patch che risolveranno i gravi bug. La patch per Adobe Flash Player 10.x ( per Windows, Mac OS X e Linux ) arriverà il 10 giugno, dovranno invece aspettare gli utenti che utilizzano Solaris. Per quanto riguarda Adobe Reader invece non ci sono buone notizia, infatti la patch non sarà disponibile ancora per un paio di settimane, si prevede infatti che la patch non sarà rilasciata prima del 29 giugno. Ricordiamo però che a questo indirizzo è presente un workaround che risolve il problema temporaneamente fino all'arrivo della patch. 😉 …
Pochi giorni fa Adobe ha diramato un bolletino di sicurezza ( APSA10-01 ) riguardo ad una pericolosa vulnerabilità 0-day, classificata come critical. Questa falla è già stata implementata con successo in alcuni exploit. Adobe, per il momento, non ha ancora rilasciano nessun aggiornamento. La vulnerabilità in questione può essere usata in due modi: per mandare in crash l'applicazione o per prendere il controllo della macchina su cui si sferra l'attacco. Questa seconda modalità è stata confermata dalla stessa Adobe. I sistemi che possono essere colpiti da questo tipo di vulnerabilità sono: Adobe Flash Player 10.0.45.2, 9.0.262, e le precedenti versioni 10.0.x e 9.0.x per Windows, Macintosh, Linux e Solaris Adobe Reader e Acrobat 9.3.2 e le precedenti versioni 9.x per Windows, Macintosh and UNIX Fortunatamente la falla non colpisce la versione 10.1 RC7 di Adobe Flash Player. Al momento quindi la miglior cosa da fare è installare tale versione, immune al problema, o disattivare del tutto il Flash Player. Mentre per quanto riguarda Adobe Reader e Acrobat può essere utilizzato un workaround per immunizzare il programma. Basta infatti rinominare uno ( o entrambi dei due file ) in aurhplay.dll.old. C:\Programmi\Adobe\Reader 9.0\Reader\authplay.dll C:\Programmi\Adobe\Acrobat 9.0\Acrobat\authplay.dl Nella speranza che Adobe rilasci un fix …
Thomas Mackenzie ha allertato il team di sviluppo su una grave falla di sicurezza presente in WordPress 2.9 che permetterebbe ad utenti loggati sulla proprio piattaforma di visionare tutti i post presenti nel cestino. La falla è stata prontamente tappata ed è già disponibile la versione 2.9.2 ( solo in inglese per il momento ). Per maggiori dettagli potete visionare il post del team di sviluppatori. …
Io mi sono sempre chiesto cosa volesse indicare quel piccolo lucchetto giallo in basso a sinistra delle icone in Windows 7. Ebbene poco fa lo ho scoperto. Microsoft con l'introduzione di Windows 7 ha voluto uniformare il suo sistema operativo con lo standard di sicurezza attuale, implementato già da un bel po' da Linux e Mac OS X. Se ricordare in Windows XP, come in Vista ( e tutti i predecessori ) l'utente poteva creare le cartelle ovunque. Ora invece l'utente, come succede in Linux e nel Mac, dovrebbe lavorare solo nella sua home, con pieni diritti di lettura e scrittura. Se un file viene copiato dalla "home" dell'utente (C:\Users\NomeUtente) in una cartella nella root il sistema operativo segnala l'operazione aggiungendo un lucchetto giallo sull'icona del file o della cartella. Su Linux invece sappiamo benissimo che questo non è possibile, in quando l'utente può interagire in scrittura solo nella propria home ( questo ovviamente non vale se stiamo usando l'utente root o un utente con privilegi speciali ). …
Il team di sviluppo, dopo la segnalazione di Dawid Golunski ( ne ho parlato ieri in questo post ), sforna una nuova security release del trunk 2.8 di WordPress. I problemi fixati sono sostanzialmente due, il primo riguarda una vulnerabilità XSS scoperta da Benjamin Flesch, maggiori informazioni sono consultabili a questo indirizzo. Mentre la seconda riguarda proprio la vulnerabilità di Unrestricted File Upload Arbitrary PHP Code Execution. L'annuncio ufficiale del rilascio è consultabile a questa pagina del team degli sviluppatori. Si consiglia a tutti gli utenti della piattaforma WordPress si aggiornare al più presto. 😉 …