Seminario sulla sicurezza informatica di base.


Un momento del seminario sulla sicurezza informatica di base.

Questo sembra tanto uno spot pubblicitario, ma non lo è.

A giugno 2009 il mio amico Daniele Gagliardi e io abbiamo tenuto un seminario sulla sicurezza informatica di base presso l’Ordine degli Ingegneri di Padova, al quale ci pregiamo di appartenere. Abbiamo cercato di essere agnostici sul nostro sistema operativo preferito, ma l’audience era più abituata a Windows che a Linux, per cui c’è una leggera polarizzazione.

Di quell’evento è stato girato un video di circa quattro ore e mezzo. Lo rendiamo disponibile su archive.org diviso nelle due parti che abbiamo tenuto, rispettivamente identità digitale, sicurezza fisica e logica dei dati e skeptical computing (Daniele Gagliardi) e malware, VoIP e reti wireless (Antonio Tringali). Le slide in PDF mostrate nei video sono invece disponibili qui.

Che Matteo Falsetti e gli altri professionisti della sicurezza mi perdonino per le inesattezze, so di averne detta qualcuna nella foga e nella stanchezza (finito oltre le 23.00). Vi leggo sempre con estremo piacere ragazzi! :-)

L’insicurezza di MD5 colpisce i siti “sicuri”


Abbiamo scoperto una vulnerabilità nella Public Key Infrastructure (PKI) utilizzata per generare certificati digitali per i siti web “sicuri”. Come proof of concept abbiamo eseguito un vero e proprio attacco, creando un certificato da Certification Autority ritenuto attendibile da tutti i browser più diffusi. Questo certificato ci permette di impersonare qualsiasi sito su Internet, inclusi quelli di banche ed e-commerce che utilizzano HTTPS.

Il nostro attacco sfrutta la vulnerabilità detta “MD5 collision” che permette la creazione di diversi messaggi che hanno lo stesso hash MD5.

[Leggi tutto →]

Linux&C. 63 in edicola!


Copertina63
DVD63_2
DVD63_1

Finalmente in edicola il nuovo numero!

  • Sun Microsystems acquista MySQL

    E’ di questi giorni la notizia dell’acquisizione di MySQL AB, la società che sta dietro al database OpenSource più diffuso al mondo, da parte di Sun Microsystems. Per capire i retroscena dell’operazione, abbiamo posto alcune domande ad Emanuela Giannetta, Software Product Marketing di Sun Microsystems Italia.

  • Filesystem su Linux: uno sguardo ai moduli e al kernel

    Un’analisi a livello kernel del funzionamento dei filesystem, elemento fondamentale di tutti i moderni sistemi operativi. Prendiamo in esame la struttura e le chiamate da implementare per creare un driver di supporto per un ipotetico rumfs.

  • Tips ‘n’ Posta n° 63

    Calcolare il traffico in ingresso e in uscita da un-interfaccia di rete, Anti-Spoofing in pillole

  • Software News n° 63

    Elisa 0.3.3, player multimediale – OOo SVN 0.3.8, version control per OpenOffice – Writer2latex 0.5, esportare latex da OpenOffice

  • Crittografia applicata, il web server Apache e OpenSSL

    Dopo aver introdotto i principi della crittografia moderna e dopo aver presentato il modello a chiave pubblica, vediamo come configurare un server HTTP che implementi i servizi SSL.

  • Apt-Build, ottenere una Debian o Ubuntu su… misura!

    Molti utenti Linux amano ricompilare i sorgenti dei propri programmi preferiti per la sensazione di “controllo totale” che tale operazione sa donare, anche se non sempre i benefici sono reali: con apt-build è possibile integrare il processo con le distribuzioni Debian based.

  • KDE 4, la recensione del desktop è arrivata

    E’ stata finalmente rilasciata la prima release della nuova serie di KDE: ecco tutte le più importanti novità introdotte!

  • Erlang, un linguaggio per le applicazioni web del futuro

    Erlang nasce nei laboratori Ericsson per lo sviluppo di applicazioni parallele, distribuite, real time e mission critical per la gestione di switch telefonici. Oggi si propone come valida alternativa per lo sviluppo di applicazioni web scalabili

  • Nel DVD: Debian 4.0r3 DVD, KDE 4…

    ed ancora… andLinux, Firefox 3 beta 3, OpenSolaris con Nexenta e Indiana, CentOS Live CD – Live KDE4 per provarlo senza installare, e i pacchetti per Windows e Ubuntu.

  • Kernel News n° 63

    Nel numero scorso abbiamo parlato dei bug fix al rilascio del kernel di linux 2.6.23 e dell’approssimarsi del 2.6.24. Pur essendo passata una discreta quantità di tempo, nel momento in cui scriviamo il kernel 2.6.24 non è ancora stato ufficialmente rilasciato mentre si succedono i release candidate e ancora vengono resi disponibili dei patch bundle al 2.6.23.

  • News Update n° 63

    Prossimi eventi Linux, Nokia acquisisce Trolltech, .NET opensource ma non per tutti, la nuova versione di Zend su Eclipse.

  • Deep Focus: Malware, Random JS, Apache e Rootkit WWWebbing in salsa Cluedo

    Tutto inizia il 14 Gennaio con una classica press release via web. A parlare è nientepopodimeno che Finjan, una società che si occupa di scansione in tempo reale di payload (più o meno). La loro superlativa (n.d. press) tecnologia ha scoperto, nel mese di Dicembre, un nuovo episodio di malware via web, capace di eludere antivirus, sistemisti e utenti tutti…

  • Saldi di stagione (attacco con tre)

    MySQL non ha certo bisogno di presentazioni, è il database opensource più diffuso in assoluto: Sun Microsystems ne ha annunciato l’acquisizione – che si è conclusa il 26 febbraio – per la considerevole cifra di un miliardo di dollari, quotazione in linea comunque con le valutazioni di mercato.

  • SNMP, controllo dello stato dei sistemi e integrazione con Nagios

    SNMP è il protocollo più utilizzato in ambito Enterprise per il controllo remoto dello stato dei sistemi, che essi siano apparati di rete o server multi processore. Vediamo come è possibile farlo con Linux ed integrare tali controlli con la console Nagios

  • GIT, il controllo di versione secondo gli sviluppatori del kernel

    Per gli sviluppatori, il controllo di versione è fondamentale, specialmente quando si lavora in team. GIT è un progetto nato grazie agli sforzi dei kernel hacker, che si erano stufati delle limitazioni di CVS: ecco come installarlo ed utilizzarlo.

  • Asus EeePC, Linux in versione ultraportabile, per tutti…

    Asus ha presentato un notebook ultra portatile con schermo da 7”” ed una distribuzione Linux personalizzata preinstallata a 299€. L’abbiamo provato su strada per voi!

Crittografia applicata, il web server Apache e OpenSSL


Dopo aver introdotto i principi della crittografia moderna e dopo aver presentato il modello a chiave pubblica, vediamo come configurare un server HTTP che implementi i servizi SSL.

Linux&C. 62 in edicola!


Copertina62
DVD62_2
DVD62_1

Il nuovo numero finalmente in edicola!

  • OpenLDAP, aumentare l’affidabilità e la sicurezza del servizio

    Dopo aver centralizzato l’autenticazione su un server OpenLDAP un problema si intravede all’orizzonte: come rendere affidabile il servizio? In questo articolo vedremo di dare una prima risposta!

  • Android: con Google arriva la rivoluzione dei cellulari liberi…

    Una cosa è certa: in futuro nell’ambito mobile ne vedremo delle belle. Google, e la Open Handset Alliance, promettono di inventare il cellulare 2.0, con a bordo quei servizi che siamo abituati a fruire tramite un normale PC. Con in più il fatto che sia mobile e geolocalizzabile. E personale. Tanto.

  • Tips ‘n’ Posta n° 62

    Estrarre indirizzi email da un file, Effettuare il wrapping di un file, Rappresentare la struttura ad albero di un file-system, Effettuare l’aggiornamento delle regole di Snort

  • Software News n° 62

    Wubi Installer, Installare Linux tramite Windows – Skype 2.0.0.13, Chiamate e VideoChiamate VoIP – Xming, Desktop Linux anche su Windows.

  • Crittografia applicata: da SSH ai certificati digitali, ad OpenSSL

    La crittografia a chiave asimmetrica ha praticamente rivoluzionato il mondo delle comunicazioni sicure: vediamo di fare chiarezza sull’importanza della stessa, sull’utilizzo dei certificati e sugli usi possibili.

  • Documentare il codice, facile e veloce con Doxygen

    La scrittura della documentazione di un software viene sempre lasciata indietro, ed effettuata quando ormai si sono dimenticati alcuni dettagli implementativi magari importanti. Eppure basterebbe qualche accortezza in più durante la scrittura del sorgente, affinché la documentazione esca fuori quasi gratis!

  • Erlang, il linguaggio scelto per la sua affidabilità, ed utilizzato laddove l’affidabilità è fondamentale

    Affidabilità, disponibilità di servizio, performance: sono queste le parole che ultimamente si sentono ripetere sempre più spesso quando si parla di infrastrutture solide. La soluzione che l’informatica moderna fornisce è costituita da un mix di componenti hardware e applicazioni software. Una domanda, però, nasce spontanea: cosa viene utilizzato negli ambienti dove queste necessità esistono da sempre? Uno dei linguaggi che si incontra più di sovente è Erlang. Erlang, nato più di vent’anni fa nei laboratori di una società di telecomunicazioni, la Ericsson, è un linguaggio appositamente progettato e realizzato per scrivere software per gestire router, switch, centraline telefoniche, pur non essendo limitato a quel particolare ambito.

  • Nel DVD: Ubuntu 7.10 e Fedora 8

    Le migliori distribuzioni per desktop e sviluppo

  • Kernel News n° 62

    Quando, ormai diverso tempo addietro, presentammo l’architettura X86_64 su questa rivista, non mancammo di far notare come in realtà si trattasse dell’architettura X86_32 evoluta in modo tale da supportare il calcolo a 64 bit, tant’è vero che il codice a 32 bit su codesti processori gira nativamente. In effetti, da un punto di vista prettamente architetturale, non vi è alcuna differenza sostanziale fra X86_32 ed X86_64 se non nel numero dei registri FP e General Purpose e nella grandezza di quest’ultimi…

  • News Update n° 62

    Sun Microsystems balla da sola, Linux vive dentro la mother…, Indagine sui desktop Linux, OpenOffice cresce sempre più…

  • Deep Focus: Segnalazione lancio DDOS, scendiamo a DEFCON 4. Da Petrov a McAfee, passando per Uplink

    Stavo leggendo la classifica dei 10 peggiori disastri economici provocati da problemi hardware e/o software su ZDNet Australia (riportato il 3 Dicembre da Repubblica.it) e mi sono imbattuto in qualcosa di decisamente più gustoso: I governi di ogni nazione del globo sono impegnati in una guerra virtuale dove le armi sono hacker e cavalli di troia e il premio per la vittoria di una battaglia è rappresentato da segreti aziendali e menomazione delle infrastrutture tecnologiche del nemico. Wow. Atari. Molto meglio di Missile Command e The Day After. Stesso anno, altro film, riferimento al problema di errata segnalazione di lancio missilistico evidenziato dal tenente colonnello Stanislav Petrov: Wargames, 1983…

  • OpenSource: un business sostenibile?

    E’ di oggi la notizia che RedHat, la nota società produttrice dell’omonima distribuzione, ha subito un downgrade da parte di una nota società di rating, dovuto alla considerazione che la forte concorrenza potrebbe limitare la crescita dei profitti. Le pressioni del downgrade hanno portato il titolo a perdere il 2,70%. Eppure anche quest’anno la stessa azienda è stata segnalata dalla prestigiosa rivista CIO Insight come il fornitore che offre, a giudizio di svariati tecnici di prim’ordine delle più grandi aziende mondiali, la più alta affidabilità delle soluzione fornite (80%, contro il 60% di Novell, il 59% di Oracle, il 61% di Microsoft).

  • Prove di convivenza tra Windows e Linux, Active Directory e gestione utenti

    Dopo aver visto come preparare l’ambiente Windows perché possa fornire home e autenticazione agli utenti Linux, vediamo le operazioni da effettuare sugli host Linux perché l’autenticazione effettivamente abbia luogo.

  • Nagios, controlli personalizzati con i plugin fai-da-te!

    Uno dei punti di forza di Nagios è la possibilità di personalizzare i controlli già esistenti o scriverne di nuovi da zero in maniera semplice e veloce: in questo articolo mostreremo come sviluppare un semplice agent per il controllo di MySQL.

  • OpenMoko, Qtopia e Neo1973: finalmente un cellulare libero!

    Openmoko, una distribuzione pensata per i dispositivi mobili, e Neo1973, un cellulare costruito intorno a quella distribuzione: il futuro della telefonia mobile inizia da qua?

  • Zenity, chi ha detto che gli script devono essere solo testuali?

    Una finestra di selezione dei file, o una classica finestra di conferma: quante volte ne avete sentito la necessità all’interno vostri script? Impossibile con la shell? Avete mai provato ad utilizzare Zenity? E’ un altro pianeta.

Crittografia applicata: da SSH ai certificati digitali, ad OpenSSL


La crittografia a chiave asimmetrica ha praticamente rivoluzionato il mondo delle comunicazioni sicure: vediamo di fare chiarezza sull’importanza della stessa, sull’utilizzo dei certificati e sugli usi possibili.

Linux&C. 60 in edicola!


Copertina60
DVD60_2
DVD60_1

Finalmente in edicola il nuovo numero!

  • Memoria Virtuale: una introduzione pratica

    La memoria virtuale è una delle più importanti caratteristiche dei processori moderni, ma il suo funzionamento rimane spesso abbastanza oscuro perché risulta difficile vederne l’applicazione pratica. Vediamo di rimediare con questo articolo!

  • GPL 3: licenza nuova, problemi vecchi

    Già dai primi draft la nuova licenza della FSF ha fatto discutere: con il rilascio definitivo le dichiarazioni a favore e contro si sono susseguite a ritmo incessante. Diamo uno sguardo alle reali novità che possono interessare gli utenti italiani di questa licenza.

  • OpenLDAP in pratica: realizzare una rubrica condivisa

    Dopo aver presentato i concetti alla base di LDAP ecco come utilizzarlo in pratica: una prima, semplice configurazione per prendere confidenza con il server, i client, i programmi a disposizione e creare così una rubrica condivisa!

  • Tips ‘n’ Posta n° 60

    I contenuti di questo articolo non sono ancora disponibili. Vuoi aggiungerli? Scrivi a redazione@oltrelinux.com

  • Software News: abbiamo provato per voi Google Desktop, Nero Linux 3.0, PidGin

    I contenuti di questo articolo non sono ancora disponibili. Vuoi aggiungerli? Scrivi a redazione@oltrelinux.com

  • Utilizzo di filesystem cifrati per la massima sicurezza

    L’hardening di un sistema Linux niente può contro l’accesso fisico alle risorse: basta smontare il server, sottrarre un disco e copiarne il contenuto. Ma se il filesystem è cifrato le problematiche per chi vuole rubare informazioni aumentano non poco…

  • BSD News n° 60

    I contenuti di questo articolo non sono ancora disponibili. Vuoi aggiungerli? Scrivi a redazione@oltrelinux.com

  • WebGuard, ecco come proteggersi con l’aiuto di bash e iptables

    Navigando su Internet con un IP pubblico, anche se soltanto dinamico, si è spesso vittime di tentativi di attacchi destinati ad altri sistemi. Un semplice script di bash può porre facilmente rimedio a queste noie

  • Enigmail e GPG: crittografia facile con Thunderbird

    Se pensate che la crittografia non faccia per voi, forse è bene sapere che le mail passano di server in server, e qualsiasi amministratore di quei server può visionare il loro contenuto senza problemi!

  • Kernel News: il nuovo SLUB allocator del kernel

    I contenuti di questo articolo non sono ancora disponibili. Vuoi aggiungerli? Scrivi a redazione@oltrelinux.com

  • News Update n° 60

    I contenuti di questo articolo non sono ancora disponibili. Vuoi aggiungerli? Scrivi a redazione@oltrelinux.com

  • Deep Focus n° 60

    Può un errore banale, una svista di programmazione, diventare un exploit per netfilter?

  • Ruby on Rails in pratica: gestire un archivio di CD

    Dopo aver presentato le basi di MVC con Ruby on Rails nello scorso numero, ecco un esempio pratico di quanto sia semplice e veloce sviluppare una applicazione web dotata di tutte le funzioni essenziali, che potranno essere ampliate e personalizzate in ogni loro aspetto.

  • LaCIE ED Mini da 500 GB, una Linux box in un hard disk esterno

    I contenuti di questo articolo non sono ancora disponibili. Vuoi aggiungerli? Scrivi a redazione@oltrelinux.com

  • Obbligati alla libertà (secondo Stallman)

    La FSF ha un grande merito, innegabile, quello di aver portato l’attenzione di milioni di sviluppatori alla licenza di distribuzione del software. Fino alla prima GPL, non c’era una licenza di riferimento, tutti i programmatori scrivevano la loro, con un moltiplicarsi di clausole e con l’effetto collaterale che era pressoché impossibile utilizzare materiale di altri per ovvi motivi di incompatibilità…

  • Nagios: mantenere il controllo della propria rete… (1)

    Quando una infrastruttura cresce, aumentano di pari passo anche i rischi che qualcosa non funzioni come dovrebbe… per evitare che ci si accorga del problema quando ormai è troppo tardi, è consigliabile dotarsi di strumenti di monitor come Nagios…

  • Nel DVD: Fedora 7, SIDUX, linuX-gamers, il nuovo OpenOffice…

    Per chi è ancora al lavoro, ecco Fedora 7, in versione DVD per x86 mentre, sul secondo lato, in versione 64 bit live con KDE. Se invece siete in ferie, apprezzerete sicuramente il DVD live con i miglior giochi per Linux…

Utilizzo di filesystem cifrati per la massima sicurezza


L’hardening di un sistema Linux niente può contro l’accesso fisico alle risorse: basta smontare il server, sottrarre un disco e copiarne il contenuto. Ma se il filesystem è cifrato le problematiche per chi vuole rubare informazioni aumentano non poco…

Post precedenti »