Prevenire è meglio che curare ?

15 luglio 2013

Dopo anni di dibattito all’interno del mondo della Sicurezza Informatica tra i sostenitori dell’approccio proattivo e quelli del paradigma reattivo, oramai non sfugge a nessuno come l’idea di poter prevenire le minacce informatiche si sia anche troppo affermata.

Leggi il resto di questo articolo »

Triage, Investigate, Remediate

9 luglio 2013

Triage, Investigate, Remediate ( T.I.M ) è il titolo di un recente webcast di Mandiant che potete trovare al seguente link.

In estrema sintesi, i punti che vorremmo porre in evidenza sono :

Leggi il resto di questo articolo »

Sicurezza Informatica Per Aziende – Quadro Generale

6 aprile 2012

Al fine di fornire al cliente una visione d’insieme sui trend di evoluzione delle principali problematiche relative alla Sicurezza Informatica in ambito aziendale, riportiamo di seguito una serie di dati statistici raccolti da alcuni dei più importanti analisti del settore (*):

Leggi il resto di questo articolo »

Malware Analysis Online Tools

9 agosto 2010

Di seguito una lunga lista di strumenti gratuiti e disponibili online riguardanti la risposta ai malware e ai loro principali vettori di propagazione ( siti web e phishing ) dall’analisi del file binario sospetto fino ai sistemi di Reputazione ( ricerca sulle url e gli indirizzi IP sospetti ). Può essere utile anche nell’analisi delle email di phishing e spam.

Leggi il resto di questo articolo »

CACE Technologies

30 ottobre 2009

Tutti ( o quasi ) conoscono Ethereal uno dei più utilizzati analizzatori di protocollo famoso per la sua facilità d’uso, l’enorme quantità di protocolli riconosciuti ed anche per il fatto di essere disponibile gratuitamente.
Non tutti sanno però che da qualche tempo il team di sviluppo di Ethereal ha divorziato dall’originario produttore per fondare una nuova realtà, la CACE Technologies, che ha dato vita a Wireshark il successore di Ethereal.  Fin qui la cronaca, ma la cosa interessante nasce dal fatto che nel team di CACE Tech sono confluiti gli sviluppatori di WinPcap, il driver più usato per l’estensione del Sistema Operativo nell’accesso ai livelli di rete in ambiente Microsoft e da questa sinergia sono nati alcuni eccellenti prodotti per l’analisi del traffico di rete tra cui sono davvero insostituibili i seguenti:

  • AirPcap – soluzione HW/SW per reti 802.11
  • TurboCap – soluzione HW/SW per reti Ethernet

Contatti di riferimento per la sicurezza dei servizi di Google

30 ottobre 2009

Col rapido crescere del Web 2.0 e dei suoi servizi (dalle webmail fino ai social network) può capitare di trovarsi nella situazione in cui i nostri dati (account, informazioni personali, identità digitale, etc…) siano oggetto di abusi da altre persone a volte in modo inconsapevole altre volte con chiari intenti malevoli.

Leggi il resto di questo articolo »

Sicurezza & Programmazione

19 dicembre 2008

Non voglio qui discutere dell’importanza di conoscere linguaggi di programmazione come C, C++, Java o Assembly per chi si occupi professionalmente di Information Security. Tutto questo è sostanzialmente scontato e comunque abbiamo già trattato l’argomento nell’articolo “Sicurezza Informatica Come Professione“.  Piuttosto, vorrei brevemente soffermarmi sull’estrema utilità dei cosiddetti linguaggi interpretati.

Leggi il resto di questo articolo »

Sicurezza Informatica Come Professione

15 dicembre 2008

Spesso chi desidera iniziare il proprio percorso formativo mirando a sviluppare una professionalità specifica nel campo dell’Information Security (IS) si chiede quali siano le competenze richieste in questo particolare settore. Prima di tutto, bisogna sapere che l’argomento è così vasto da essere solitamente diviso in due domini complementari ma distinti:

  1. il primo rivolto agli aspetti legali ( adeguamento a normative e leggi, azioni civili e/o penali in risposta a violazioni o aggressioni informatiche ) ed organizzativi ( sviluppo di politiche e procedure aziendali, di piani di Incident Response, analisi del rischio ). Solitamente questo ruolo viene ricoperto da figure professionali di estrazione giuridico-manageriale;
  2. il secondo è prettamente tecnologico e viene svolto da persone con lunga ed elevata esperienza nel mondo dell’Information Technology.

Rimanendo chiaro che nella realtà le due aree di interesse di cui sopra sono difficilmente separabili ma piuttosto tendono a completarsi reciprocamente, lo scritto seguente intende riferirsi al solo secondo profilo professionale.

Leggi il resto di questo articolo »

SEH – Structured Exception Handling

15 dicembre 2008

La ricerca di vulnerabilità del codice tramite tecniche di Reverse Engineering e/o Fuzzing è una delle attività principali per chi davvero si voglia occupare attivamente di Information Security. Negli ultimi anni, sono sorti molti framework ( alcuni disponibili gratuitamente vome il celebre Metasploit ) per la creazione di exploits, i quali guidano il pentester nella conduzione di un attacco a volte con fin troppi automatismi. Ma dietro a queste apparenti semplificazioni sono ovviamente rimaste tutte le complessità che il framework svolge ma che sarebbe davvero errato ignorare.

Leggi il resto di questo articolo »

Oltre l’MBR: il GUID Partition Table (GPT)

14 dicembre 2008

Tutti conoscono lo schema ed il funzionamento del Master Boot Record (MBR), ereditato dal modello PC BIOS di IBM e molti sono anche consapevoli dei limiti intrinsechi a questo tipo di scelta. Ad esempio, l’MBR consente di inserire nella propria Partition Table un numero massimo di quattro Partizioni Primarie ( o tre partizioni primarie, una partizione estesa e un numero illimitato di unità logiche ). Inoltre la dimensione dei singoli volumi è limitata a 2 TeraByte.

Leggi il resto di questo articolo »

Missing Operating System ?!?

10 dicembre 2008

Questo articolo (indirizzato ad un pubblico con conoscenze tecniche di base) ha lo scopo di ripercorrere passo-passo le fasi di risoluzione di uno dei tanti problemi che si possono presentare ad un normale utente Microsoft ( Windows XP nello specifico ) che accenda il proprio notebook e inaspettatamente si trovi di fronte ad una schermata che impietosa recita…MISSING OPERATING SYSTEM.

Leggi il resto di questo articolo »

Security Distributions

2 dicembre 2008

Di seguito, sono elencati una serie di link a siti che ospitano liste di distribuzioni (solitamente basate su Linux in modalità Live CD) dedicate ai vari aspetti della Sicurezza Informatica: Hacking & Pentest, Forensics, Incident Response.

A caccia di…..indesiderati

27 novembre 2008

Molto spesso si possono volere analizzare i processi caricati in memoria ed il loro comportamento sul sistema più a fondo di quanto il Task Manager di Windows ci consenta. E questo si verifica tutte le volte che abbiamo bisogno di indagare sullo stato generale del sistema con riferimento a problemi di stabilità e prestazioni o piuttosto sulla possibile presenza di malware più o meno evoluti.
In questi casi, ci vengono in aiuto una serie di strumenti di cui trovate una lista qui di seguito.
Leggi il resto di questo articolo »

Zeroshell

27 novembre 2008

Zeroshell è una piccola e gratuita distribuzione Linux avviabile anche da Cd utile per creare una potentissima appliance di rete magari riutilizzando vecchio hardware ormai obsoleto.  Molto buona anche la documentazione disponibile in lingua italiana sul sito.

Leggi il resto di questo articolo »

Reflection Attack

26 novembre 2008

Pur non essendo certo una novità per chi si occupa di Sicurezza Informatica, si è tornato di recente a parlare di Reflection Attack a causa di una recente importante vulnerabilità dei sistemi Microsoft (http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx) che, se opportunamente sfruttata, consentirebbe l’esecuzione di codice remoto sulla macchina vittima.

Leggi il resto di questo articolo »

Stop IE ActiveX !

26 novembre 2008

Esiste una tecnica per bloccare l’esecuzione degli ActiveX all’interno del contesto di esecuzione di Internet Explorer (5, 6 e 7) utilizzando quello che Microsoft chiama un killbit ovvero una semplice modifica del Registro di Configurazione di Windows.
Seguendo il link, troverete tutte le informazioni necessarie.

http://support.microsoft.com/kb/240797

MS Windows 32 bit & RAM

26 novembre 2008

Uno degli argomenti più controversi nella comunità è da sempre stato quello del quantitativo massimo di RAM supportata dai sistemi Windows nella versione a 32 bit. C’è chi dice che tale limite sia 4GB, chi 3GB chi addirittura 64GB…ma chi ha ragione e cosa dice la Microsoft in merito?

Di seguito sono riportati alcuni link per farsi un’idea su questo tema e per esplorare la tecnologia Physical Address Extension (PAE) decisiva per venirne a capo.

http://support.microsoft.com/kb/929605/

http://msdn.microsoft.com/en-us/library/aa366778(VS.85).aspx

http://msdn.microsoft.com/en-us/library/aa366796(VS.85).aspx

http://www.onehardware.it/tag/pae/

XSS – Cross Site Scripting

19 novembre 2008

Di seguito sono riportate alcune tipologie di attacco che utilizzano il XSS:

Leggi il resto di questo articolo »

Memory Corruption – Vulnerabilità

18 novembre 2008

Esistono molte tipologie di vulnerabilità che hanno come esito l’esecuzione arbitraria di codice malevolo. Alcuni esempi sono:

  • Buffer Overflow
  • Integer Overflow
  • Out-Of-Bounds Array Access
  • Uninitialized Memory Use

Diverse linee di difesa sono state introdotte nei recenti Sistemi Operativi. Tra queste troviamo:

Leggi il resto di questo articolo »

Ridimensionare Partizioni in Windows Vista

13 novembre 2008

In Windows Vista è possible ridimensionare le partizioni (volumi) del disco rigido sia utilizzando l’interfaccia grafica offerta dallo snap-in “Gestione Disco” sia avvalendosi del tool a riga di comando “diskpart”. E’ di questo secondo metodo che vogliamo brevemente trattare qui di seguito.
Leggi il resto di questo articolo »

Professional Storage – Vendors

11 novembre 2008

802.11 : Nuovo Attacco Contro WPA-TKIP

11 novembre 2008
  • L’attacco riguarda l’algoritmo di cifratura TKIP utilizzato da WPA.
    L’algoritmo AES ne è invece immune.
  • L’attacco consente di decifrare singoli frames 802.11 (allo stesso modo dell’attacco Chopchop contro WEP), sfruttando la debolezza del materiale su cui si basa il keystream ed in particolar modo dell’algoritmo di integrità (MIC).
    Infatti, laddove l’attacco Chochop utilizza gli ACK frames, questo nuovo attacco si avvale dei messaggi di notifica creati dall’algoritmo MIC.
  • L’attacco consente anche di porre in essere tecniche di frame-injection.
  • I frames possono essere injected solamente se sono in uso le estensioni multimediali del protocollo 802.11 (802.11e o WMM). Infatti, i pacchetti creati ad-hoc vengono inviati tramite una differente coda QoS, aggirando in questo modo il meccanismo offerto dal Sequence Number del TKIP.
  • Ogni volta che un frame soggetto ad injection viene successivamente confermato da un messaggio di notifica del MIC, un nuovo bit dello stream sotto attacco viene scoperto. Ma a differenza del Chopchop, questo nuovo attacco deve aspettare 60 secondi tra le varie injections, per non far scattare uno dei meccanismi di difesa del MIC che rinnovando le chiavi vanificherebbe il tentativo di attacco.
    Quindi, ad esempio, per decifrare 16 bit tramite questa tecnica, si impiegherebbero 900 secondi ovvero 15 minuti.
  • E’ importante notare come il nuovo standard 802.11n richieda l’estensione WMM. Nonostante l’802.11n ufficialmente non supporti più il TKIP, possono esistere soluzioni proprietarie ibride e quindi potenzialmente pericolose.
  • L’attacco permette di decifrare ed iniettare frames solo nella direzione dall’Access Point al Client.

http://radajo.blogspot.com/2008/11/wpatkip-chopchop-attack.html 

http://www.aircrack-ng.org/doku.php?id=tkiptun-ng

Link-local Multicast Name Resolution (LLMNR)

3 novembre 2008

Alcuni di voi avranno notato che usando Windows Vista capita di rilevare tentativi di connessioni in uscita verso gli indirizzi multicast 224.0.0.252 (IPv4) e FF02::1:3 (IPv6).
Ma cosa sono???
In Windows Vista è stato introdotto un nuovo protocollo che fornisce un metodo aggiuntivo per risolvere i nomi dei nodi della rete. Il suo nome è Link-local Multicast Name Resolution (LLMNR) e si rivela particolarmente utile per quelle reti in cui sia assente un server DNS.
Infatti, il vecchio NetBIOS, oltre a non funzionare con Ipv6, non ha mai brillato per efficienza dato il suo utilizzo di traffico broadcast per le richieste di risoluzione.
Invece, LLMNR utilizza richieste multicast inoltrate agli indirizzi sopra riportati in cerca di macchine in ascolto sulla porta UDP 5355 (il listener del protocollo).

Potete trovare ulteriori dettagli al seguente link
http://technet.microsoft.com/it-it/library/bb878128(en-us).aspx

LIBRI & BOOKS

7 ottobre 2008

______________________________________________________

__________________________2003________________________

______________________________________________________

__________________________2004________________________

______________________________________________________

__________________________2005________________________

______________________________________________________

__________________________2006________________________

______________________________________________________

__________________________2007________________________

______________________________________________________

__________________________2009________________________

______________________________________________________

__________________________2010________________________

______________________________________________________

__________________________2011________________________

______________________________________________________

__________________________2012________________________

______________________________________________________

__________________________2013________________________

______________________________________________________

__________________________2014________________________

______________________________________________________

______________________________________________________