0
Lug 17 2016

Firejail

Una delle grandissime caratteristiche del software libero è che i rischi per sicurezza e privacy sono esposti agli occhi di tutti.

Quindi personalmente mi fido molto del software proveniente dal repo main di Debian, invece non mi fido di software proprietari di terze parti, per esempio di Spotify.

Avevo già cercato di mettergli una sandbox attraverso i container, però non è una soluzione pratica per questo genere di problema: si perde l’integrazione con l’ambiente desktop (notifiche, tasti multimediali…) e la soluzione è parecchio pesante, infatti serve che ci siano comunque tutte le dipendenze in un piccolo sistema operativo.

Recentemente invece ho sentito parlare di firejail, un programma che permette di isolare dei programmi mediante alcune funzionalità del kernel Linux, come i namespace.

Per ogni applicazione che si vuol far girare ha bisogno di un profilo, in cui si fa una whitelist e una blacklist di file e altre risorse cui essa può o non può accedere. È addirittura capace di bloccare le richieste a programmi come su e sudo.

È veramente rassicurante vedere che di default blocca subito l’accesso completo a file critici per la sicurezza come la cartella .ssh o ai… [Leggi il resto...]

1
Dic 06 2015

Let’s Encrypt

Let’s Encrypt è un’iniziativa intrapresa da alcune aziende e fondazioni importanti nel campo di internet, come Mozilla, Cisco e Akamai, unite nell’Internet Security Research Group.

Il loro obiettivo è fornire un modo semplice per ottenere chiavi crittografiche e installarle in modo da offrire HTTPS velocemente e senza passare attraverso complicati sistemi.

Al momento il progetto è in fase di public beta, ovvero chiunque può registrarsi e ottenere delle chiavi per il proprio sito e funziona comunque molto bene.

Era da tempo che volevo installare un certificato per HTTPS, così ne ho aprofittato, dunque potete provare a connettervi alla versione HTTPS del sito, sempre non l’abbiate già fatto.

Installazione su Debian Jessie

L’installazione non è ancora semplicissima, in quanto il pacchetto si trova solo nel ramo experimental. Le opzioni quindi sono di installarlo tramite i repository in pinning, oppure il download manuale sempre del .deb, oppure ancora l’installazione per le distribuzioni generiche.

Io ho scelto la seconda, in modo da avere il maggior numero di dipendenze possibili sotto forma di pacchetti che si aggiornano da soli.

Alcuni pacchetti hanno bisogno comunque dei… [Leggi il resto...]

0
Dic 12 2014

BadUSB

Ormai siamo a Dicembre 2014 e non si può di certo dire che questo sia stato un anno molto fortunato per la sicurezza: Heartbleed e OpenSSL, Poodle e SSL 3, Shellshock e BASH e l’ultimo, che secondo me è passato molto più in sordina, è BadUSB.

Ieri mi sono stupito leggendo di articoli su internet che parlavano di una grossissima falla su USB, la più grande del protocollo, a detta di alcuni.

Ma veniamo al dunque: USB, al contrario di interfacce più vecchie molto più semplici, può fornire molte funzionalità: da periferiche HID (Human Interface Device) tipo mouse, a memorie, a schede audio etc… Perciò i dispositivi necessitano di un software che gestisca anche questo aspetto, come anche chi si è dilettato un po’ con l’elettronica digitale sa.

Ma questa è una funzionalità di USB, se i produttori di chip non fanno il loro lavoro, la colpa non è di USB. Non si può negare che sia preoccupante quest’apparente facilità nel riprogrammare i firmware dichiarata dai media, ma a me sembra solo un abuso da parte di media che cercano di attirare lettori.

In ogni caso non sono preoccupato: penso mi accorgerei di un’interfaccia di rete in più…

Comunque magari questa sfortuna del 2014 potrebbe essere vista invece positivamente: abbiamo chiuso bug di anni e anni fa…

0
Apr 18 2014

Heartbleed

OpenSSL è una delle librerie più diffuse per la crittografia, è usata da tantissimi software, inclusi Apache, OpenSSH, OpenVPN etc…

Recentemente si è scoperto che le release degli ultimi due anni soffrivano di un bug nell’heartbeat, chiamato Heartbleed.

Questo bug, in pratica, permette di ottenere i dati rimasti in memoria, tra i quali anche la chiave privata di un sito, rilasciata normalmente da autorità di certificazione dopo aver controllato documenti su documenti che verifichino l’identità del richiedente.

È un durissimo colpo, il 66% dei siti web era vulnerabile: Google (con tutti i suoi prodotti, inclusi Android 4.1 e 4.1.1), Facebook, Wikipedia e persino Microsoft, sebbene sia software libero, ne erano affetti!12

Lo è sia per tutte le tecnologie che usavano versioni infette della libreria, che, penso, per il progetto OpenSSL in sé.

Molti siti e software importanti hanno già rilasciato le patch, Debian ha addirittura rilasciato la patch il giorno stesso e il giorno dopo una serie di ISO di Wheezy corrette, aggiornando addirittura il numero di versione.

Come al solito la mia “filosofia” vince ancora: mai fidarti dei mezzi che vanno su una rete pubblica, anche se ben… [Leggi il resto...]

0
Ago 07 2011

Un login più sicuro?

Stavo pensando al modo di creare un login più sicuro: questa era un’idea che mi era venuta già un po’ di tempo fa ma poi ho rinunciato a compierla perché mi ero incasinato, così sono tornato al classico cookie con id e password.

Questo tipo di login però è un po’ rischioso: intanto l’hash della password (o l’hash dell’hash, come preferite ;) ) rimane salvato in un computer e non è mai una bella cosa; inoltre rende più possibili i tentativi di attacco, per esempio tramite forza bruta: una volta scoperta la funzione dell’hash (soprattutto in assenza di un salt), si può saltare il form di login e provare direttamente con i vari cookie.

Il sistema a cui invece ho pensato si basa sempre su un cookie, ma che racchiude un id del login (generato magari con la funzione uniqid) e un codice di sicurezza diverso dalla password.

Di svantaggio ha il fatto che se a un utente viene “rubato” il cookie può fare tranquillamente il login, ma ciò avveniva anche con l’altro metodo.

Il secondo svantaggio è che il cookie che dura per la sessione viene fatto sparire dal browser, mentre applicando quest’idea bisognerebbe pensare a un tot di tempo di validità per il login breve.

Tuttavia, qualora… [Leggi il resto...]