Il taccuino di Armando Leotta Rotating Header Image

gennaio, 2009:

MacOsX sotto i riflettori

gen 27th, 2009
by ArMyZ.
1 comment

security_macVincenzo Iozzo, uno studente italiano del Politecnico di Milano esperto in sicurezza informatica presenterà al Black Hat Conference di febbraio il talk dal titolo “Let Your Mach-O Fly”. Dopo un un articolo su The Register in merito ad una vulnerabilità del sistema MacOsX si è innalzato il livello di attenzione su questo aspetto.
Iozzo sostiene di poter mandare in esecuzione del codice senza invocare il kernel e senza che esso risieda localmente sulla macchina target sfruttando una variante della tecnica userland-exec (e la nota assenza di randomizzazione del dynamic linker all’interno dell’address space dei processi). L’aspetto decisamente nuovo della ricerca di Iozzo è rappresentato dalla possibilità di iniettare un intero eseguibile da remoto e non solo degli script (shell-code); inoltre, sostiene lo studente, la tecnica messa a punto non lascerebbe alcuna traccia sulla macchina target. Entrambi questi aspetti sono nuovi per la piattaforma OsX.

Non resta che aspettare gli sviluppi ed il proof of concept (scritto in C) che verrà rilasciato dopo il talk.

Cultura digitale e politica dell’innovazione

gen 15th, 2009
by ArMyZ.
No comments yet
Istituto per le politiche dell'innovazione

Istituto per le politiche dell'innovazione

 Si è conclusa ieri 15 gennaio 2009 la Conferenza “Cultura digitale e politica dell’innovazione” organizzata dall’Istituto per le Politiche dell’Innovazione.

Con il patrocinio della Camera dei Deputati, nella singolare cornice della Sala Colonne presso la Camera, il Presidente dell’Istituto Guido Scorza, esponenti della comunicazione digitale, dell’impresa, dell’università e della politica si sono confrontati in più tavole rotonde per stimolare il confronto costruttivo tra le parti.
Punto di contatto e di osservazione privilegiato tra industria, associazioni, utenti, consumatori, giuristi e politici ha costituito un’occasione per valutare lo stato dell’arte dell’innovazione digitale in Italia come strumento abilitante l’accesso e la fruizione di servizi da parte di una parte sempre più consistente della popolazione.

L’innovazione come bene comune“.

Un personale plauso agli organizzatori affinchè iniziative del genere non siano fattori isolati ma sintomi di nuove sensibilità verso le potenzialità della comunicazione digitale in Italia.

Warning: falla su Safari

gen 15th, 2009
by ArMyZ.
1 comment

safari2Sono diversi i siti in cui viene riportata la scoperta di una falla nel browser Safari (sia MAC che Windows) che risiede nella gestione dei feed RSS.

Il rischio, spiega Brian Mastenbrook, accreditato di avere già scoperto diverse vulnerabilità in passato, è la perdita di riservatezza dei dati presenti sul disco rigido dell’ignaro utente.

Un  malintenzionato, con una pagina web creata ad hoc, potrebbe ottenere l’accesso a dati riservati, email, cookie e dunque potenzialmente mettere a serio repentaglio la sicurezza di tutti i servizi online utilizzati di cui si ha traccia sul disco.

Fino al rilascio di un’apposita patch da parte Apple è consigliabile modificare il lettore di feed RSS ed utilizzarne uno alternativo a Safari come ad esempio NetNewsWire e NewsFire (entrambi gratuiti).

Massima attenzione quindi, sia per la tipologia di informazioni a rischio sia per la natura potenzialmente trasparente dell’eventuale intrusione. Specialmente gli utenti Mac, fortunatamente non abituati a continue sensibilizzazioni in materia di navigazione sicura, faranno bene a non sottovalutare la vulnerabilità.

In ogni caso, oltre alla modifica manuale all’interno delle impostazioni di Safari, segnalo un’applicazione, RCDefaultApp, utile a modificare le associazioni di default del sistema MacOsX.

Programmazione sicura? Ecco i 25 errori più pericolosi

gen 14th, 2009
by ArMyZ.
No comments yet

Dalla collaborazione del SANS Institute, esperti internazionali del settore della programmazione sicura e del Common Weakness Enumaration (CWE-MITRE) prende forma la lista dei 25 errori di programmazione più pericolosi.

Tale lista porta con sè l’esperienza della TOP 20 vectory attack del SANS (http://www.sans.org/top20/) e del MITRE Common Weakness Enumeration (CWE) (http://cwe.mitre.org/).

E’ organizzata in 3 macrocategorie:

  • interazione non sicura tra componenti
    (il modo in cui i dati vengono veicolati tra i vari componenti software);
  • gestione non oculata delle risorse impiegate
    (le modalità con le quali vengono creati gli oggetti, cancellati, liberata la memoria, processi concorrenti, etc…);
  • scarsa attenzione alle misure preventive di sicurezza
    (mancanza di autenticazione, autenticazioni in chiaro, algoritmi fallati, mancati aggiornamenti, valori di default eccessivamente permissivi, etc…).

In risalto ancora una volta la mancata verifica e validazione dei valori d’inputcontenimento delle operazioni all’interno dello spazio di memoria a disposizione nonchè il controllo improprio degli accessi.

Per chi volesse approfondire segnalo l’indirizzo ufficiale TOP 25 e qui il paper in pdf.

Segnalo inoltre, per gli addetti ai lavori, il recente rilascio della lista CWE 1.2, un’iniziativa della comunità che mantiene l’attenzione sulle vulnerabilità del software.

Buona lettura.

Due notizie ai genovesi

gen 12th, 2009
by ArMyZ.
No comments yet

Una cattiva ed una buona: sono due le notizie che presto verranno date ai genovesi per le vie del centro.

Era nell’aria  ed è arrivata la conferma: la campagna atea “bus ateo” sbarca in Italia e Genova, non a caso, fa da apripista.

Bus atei a Genova?

Bus atei a Genova?

 

La cattiva notizia è che Dio non esiste. Quella buona, è che non ne hai bisogno“.

(continua…)

← Earlier Posts